Cybersécurité financière : le G7 renforce les règles mondiales
Le G7 vient de publier les 8 « éléments fondamentaux » pour contrer les menaces visant désormais le cœur du système financier mondial.
Au dernier G7 en Chine, les ministres des finances et banques centrales ont défini 8 principes de cyberdéfense pour les acteurs financiers, en réaction à la pression accrue des attaques logiques sur le centre nerveux du système financier, afin de préserver la confiance dans sa stabilité et son efficacité opérationnelle.
Ces lignes directrices s'imposent aux Etats et aux acteurs financiers privés et publics, exigeant une protection adaptée de leurs activités et une capacité rapide à reprendre leur exploitation après un incident. Chaque entité doit définir sa stratégie de cybersecurité et son plan opérationnel, sur la base d'une analyse de risque. Des responsabilités précises doivent être attribuées aux équipes chargées de les mettre en place et de les contrôler.
Chaque entité doit partager l'information sur tout incident de sécurité, ses impacts et la réponse apportée. L'apprentissage continu s'appuie aussi sur la réévaluation régulière des stratégies, au rythme de l'évolution de l'environnement et de l'expérience. Les gouvernements sont aussi soumis à une obligation de coopération et de transparence.
Notre analyse : Une riposte coordonnée pour devancer une attaque majeure
Tous les régulateurs financiers du G7 ont relayé cette initiative mondiale, dont le rapide déploiement est requis par la pression constante des hackeurs, que ne ralentit aucune frontière. Outre les récentes attaques via le réseau SWIFT et la banque centrale du Bangladesh, les compromissions répétées de DAB, comme en Europe de l'Est ou en Inde, illustrent l'urgence d'un renforcement coordonné de la cyber-résilience.
Une semaine après cette publication, les trois régulateurs financiers américains ont soumis leur projet d'exigences renforcées sur la résilience en cas d'attaque ou de panne technologique majeure. Elles couvriront toutes les infrastructures et toute banque détenant plus de 50 milliards de dollars aux USA. Elles devront mobiliser les techniques anti-intrusion les plus récentes. Leurs systèmes et procédures de secours devront permettre un retour au fonctionnement nominal deux heures après un incident majeur. Les commentaires sont attendus d'ici début janvier, avant adoption.
En regard, le PCI Security Standards Council souligne qu'une faille de sécurité impliquant des données personnelles coûtera, outre les pertes opérationnelles, d'investissement et d'image, une amende allant jusqu'à 4 % du chiffre d'affaires mondial annuel, une fois entré en vigueur en 2018 le Règlement Général de l'UE sur la Protection des Données. La même année verra d'ailleurs le transfert de responsabilité vers les acquéreurs sous le prochain régime 3-D Secure, dont la version “2.0” doit instamment être publiée par MasterCard et Visa.