Cyber-risques : une menace pour les institutions financières

Les cyber-risques sont complexes et les nombreuses vagues d’attentats initiées ont prouvé qu’aucun système n’est sûr. Si les groupes internationaux de haute technologie, qui sont considérés comme le fer de lance de la numérisation, peuvent être attaqués avec succès, cela s’applique d’autant plus aux entreprises et aux institutions financières.

Qu’est-ce que le cyber-risque?

Le cyber-risque est essentiellement compris comme le risque pour la sécurité de l’information, c’est-à-dire la confidentialité, l’intégrité et la disponibilité des données. La sécurité de l’information peut être menacée de nombreuses façons, par exemple par la perte de données par négligence, le vol de données ou les attaques au moyen de logiciels malveillants.

La plupart des pirates informatiques ciblent les données des entreprises et les institutions financières sont notamment des cibles populaires. En effet, ils stockent et traitent des millions de données sur les clients, y compris les données relatives aux cartes de crédit et les données financières. Un marché noir de ces données est alors apparu sur Internet, et les criminels peuvent soit utiliser eux-mêmes les données saisies, par exemple pour le phishing ou les courriers électroniques non sollicités, soit vendre les enregistrements de données sur le site.

Toutefois, les pirates ne veulent pas toujours voler les données d’une entreprise. Une autre menace est la suppression délibérée ou l’endommagement de données ou de programmes pertinents. Les attaques par rançon, dans lesquelles un cheval de Troie chiffre des données sur le serveur et les rend inutilisables, font régulièrement la une des journaux. Ce n’est que lorsqu’un certain montant d’argent est transféré à Bitcoins que la victime reçoit le code permettant de décrypter les données. Lors des récents attentats, les dommages se sont souvent élevés à des centaines de millions d’euros – par entreprise car le cryptage des données a conduit à une défaillance partielle, voire totale, du système des entreprises attaquées.

Quantifier ses propres risques

Pour se protéger efficacement contre les cyber-risques, les banques doivent d’abord analyser et évaluer soigneusement leurs propres risques. Or, c’est précisément ce à quoi sont confrontés de nombreux établissements financiers, c’est pourquoi ils préfèrent mener leur gestion des risques sans analyse suffisante, en volant pratiquement à l’aveuglette. Le montant de la perte potentielle est toutefois essentiel pour la banque, afin d’y adapter la gestion des risques. Quel doit être le montant de l’investissement dans la sécurité de l’information ou la somme assurée que je dois choisir dans le cadre d’une cyber-assurance ? Il est difficile de répondre à ces questions sans estimer le montant de la perte. L’approche la plus judicieuse pour quantifier cette perte consiste à constituer une équipe composée de personnes issues des services concernés d’une organisation. Il s’agit souvent des services de gestion des risques, des achats, du contrôle de gestion, du service juridique et du service informatique. L’expérience a montré qu’il est autrement difficile pour la personne responsable de l’analyse d’obtenir toutes les informations nécessaires.

Analyse de scénario : quels sont réellement nos joyaux de la couronne?

L’entreprise devrait alors examiner la question de savoir si et dans quels domaines elle stocke, traite ou gère des données sensibles ou personnelles, et comment des tiers pourraient accéder à ces données. La perte de données représente un risque très élevé, en particulier pour les banques. Par exemple en Europe, les demandes d’indemnisation de tiers pour perte de données sont encore relativement rares, même après l’introduction du RGPD. Toutefois, la prise de conscience croissante des risques signifie que les consommateurs ne toléreront plus le traitement négligent de leurs données. Aux États-Unis, il est déjà évident que les citoyens poursuivent plus fréquemment les entreprises en justice. Les États-Unis jouent un rôle particulier en termes de procès et de décisions judiciaires spectaculaires. Toutefois, on peut supposer que le nombre d’affaires judiciaires va également augmenter en Europe. Comme la sensibilité des autorités s’accroît également, les entreprises doivent être prêtes à payer des amendes plus élevées en cas de perte de données.

Une interruption d’activité peut également constituer une menace majeure pour une banque. Les transactions ne peuvent pas être effectuées, les clients ne peuvent pas retirer de l’argent ou la banque n’est tout simplement pas disponible. Ce serait simplement fatal pour une banque qui fait de la publicité en étant proche de ses clients et en étant constamment disponible.

Quel serait le dommage potentiel pour notre banque ?

Une analyse de scénario – telle que décrite ci-dessus – a déjà été effectuée par de nombreux établissements financiers. Cependant, les banques ont du mal à quantifier les scénarios. Ils manquent simplement d’expérience des coûts et des pertes qui pourraient survenir. Mais il est relativement facile de s’y mettre et l’exemple d’une perte de données peut illustrer cette situation. Si des données sensibles sur les clients sont volées, la gestion de la crise doit viser des objectifs à court et à long terme. La priorité est donnée, par exemple, à l’identification et à la réduction des lacunes en matière de sécurité. Les ressources internes en personnel ne sont généralement pas suffisantes pour cela. Un soutien externe sous la forme d’une expertise informatique est nécessaire. Il est facile de connaître les taux journaliers des spécialistes correspondants.

Un autre point important est le respect des exigences légales. Le RGPD précise quand et à quelle vitesse les autorités et les personnes concernées par une perte de données doivent être informées. Les procédures de signalement et les conseils juridiques entraînent inévitablement des coûts et les coûts de notification des clients peuvent également être élevés. Pour des raisons de réputation, la forme de la lettre est souvent recommandée. Les coûts d’impression et d’affranchissement doivent donc être pris en compte de manière complémentaire. C’est précisément la raison pour laquelle ils sont souvent ignorés lors de l’évaluation des risques. Cependant, pris ensemble, les coûts atteignent rapidement une somme à six ou sept chiffres. Les éventuelles demandes de dommages et intérêts de tiers ne sont pas encore incluses dans ce chiffre. À long terme, cependant, la banque devra faire face à la défense contre d’éventuelles réclamations de tiers. Bien qu’il soit difficile de prévoir les coûts sous forme de montant forfaitaire, les demandes de dommages et intérêts de tiers après une perte de données sont encore rares.

Une telle comparaison des coûts devrait alors être effectuée avec chaque scénario de dommage préalablement identifié.

Les menaces des cyber-risques vont augmenter

Les menaces des cyber-risques vont continuer à augmenter dans les années à venir. Le chemin vers une protection efficace contre les cyber-risques est long et ardu. Toutefois, les coûts du risque ne peuvent être réduits qu’en quantifiant les risques de manière adéquate.