La Banque centrale européenne (BCE) a récemment mené son premier test de résistance thématique sur la cyber-résilience. L’objectif était de déterminer si les banques étaient prêtes à faire face aux cyberattaques et comment elles y réagiraient. Cependant, à l’issue des tests, la BCE a indiqué qu’il y avait une marge de progression, ce qui suggère que la sécurité et la préparation générale à la lutte contre les cyberattaques ne sont pas à la hauteur de ses attentes.

Les tests montrent que les banques peuvent faire mieux

Lors des tests, environ 109 banques supervisées ont été confrontées à un scénario hypothétique dans lequel une cyberattaque parviendrait à perturber leur infrastructure informatique critique.

La BCE a déclaré que sur l’ensemble de ces banques, 28 ont fait l’objet d’une évaluation approfondie, pour laquelle elles soumettront ultérieurement des informations supplémentaires qui montreront comment elles ont géré l’incident hypothétique.

Dans le cadre du test de résistance, toutes les mesures préventives en place ont échoué et l’attaque a gravement affecté les bases de données des systèmes centraux de chaque banque participante. En d’autres termes, l’accent était mis sur la manière dont les banques réagiraient à un incident similaire et sur leur capacité à s’en remettre, et non sur la manière dont elles s’y prendraient pour empêcher une telle attaque.

Anneli Tuominen, superviseur de la BCE, a écrit un billet de blog commentant les résultats. Selon le billet, les banques ont mis en place des cadres de réponse et de relance de haut niveau. Cependant, la responsable de la BCE a déclaré qu’il y avait une marge de progression.

Les banques doivent s’assurer que leurs capacités de reprise sont à même de faire face au pire des scénarios et qu’elles peuvent atteindre leurs objectifs de reprise, à savoir la protection des actifs et des données des clients. Cela est nécessaire pour maintenir la confiance dans le système bancaire et préserver la stabilité financière.

Les banques doivent continuer à investir dans leur cyber-résilience

L’exercice était attendu depuis un certain temps déjà, puisqu’il a été annoncé début 2024. La BCE a eu l’idée de réaliser ce test dans un contexte de tensions croissantes avec la Russie.

Alors que beaucoup s’inquiétaient de la possibilité d’une cyberattaque contre le secteur bancaire dans le but de perturber les pays de l’UE et de provoquer une instabilité financière, la BCE a voulu effectuer un test pour voir quelle ampleur de risque représentait réellement un tel scénario.

Maintenant que le secteur bancaire s’appuie de plus en plus sur la technologie numérique pour maintenir ses opérations, les particuliers, les entreprises et les banques elles-mêmes doivent savoir que leur argent est en sécurité et que les banques peuvent gérer des attaques de cybersécurité majeures.

Tuominen a évoqué la récente panne de Crowdstrike, soulignant que la nature interconnectée des réseaux bancaires actuels signifie qu’un incident dans une institution peut avoir des effets en cascade sur plusieurs secteurs. La BCE a déclaré qu’à l’avenir, les banques devraient continuer à étudier leur cyber-résilience et qu’elle pourrait mener des exercices similaires à l’avenir.