Face à la menace cyber, la BCE teste la résistance des banques

La menace cyber fait désormais partie des risques que les banques doivent gérer. Et le superviseur européen s'apprête à tester leurs capacités pour faire face à des attaques informatiques, de la même manière qu'il vérifie leur résistance lors d'un choc économique grave.

En janvier, la Banque centrale européenne (BCE) va conduire pour la toute première fois des stress tests cyber. La quasi-totalité des établissements financiers supervisés par l'institution seront concernés, soit 109 au total. L'exercice sera essentiellement théorique.

Des lacunes graves

« Nous voulons savoir comment les établissements réagissent à une cyberattaque, comment elles s'en remettent, mais aussi comment elles reprennent leurs activités normales, a expliqué Anneli Tuominen, membre du conseil de surveillance prudentielle à la BCE, dans une interview au journal allemand 'Borsen-Zeitung', la semaine dernière. L'objectif principal, c'est d'identifier leurs faiblesses. »

Sur l'ensemble des banques soumises au test, 28 participeront à un exercice renforcé au cours duquel elles devront fournir des informations plus détaillées.

La mise en place de ce test, dont les résultats seront communiqués en milieu d'année, témoigne de l'attention croissante portée par la BCE au risque cyber, qui fait partie de ses priorités.

L'institution francfortoise a mené entre 2020 et 2023 plus d'une vingtaine d'inspections sur site dans des établissements de onze pays de la zone euro sur ce thème. Avec, globalement, « des lacunes plus graves et plus étendues que prévu », comme elle l'indiquait dans une note publiée mi-novembre.

Des attaques en hausse

« C'est le bon moment pour mener ce genre d'exercice […]. Il faut bien comprendre que la menace a grandi », avertit Anneli Tuominen. Selon la BCE, le nombre de cyberattaques est plus élevé qu'avant la pandémie. La guerre en Ukraine a notamment aggravé la situation.

Les opérations de type DDOS (distributed denial of service), qui consistent à inonder de requêtes les serveurs informatiques pour les faire tomber, sont celles qui ont le plus augmenté. Mais les rançongiciels augmentent également, comme en témoigne la vaste attaque menée au début du mois sur une filiale américaine de la banque chinoise ICBC .

En France, le gendarme financier partage les préoccupations de la BCE et estime que les établissements financiers doivent désormais être préparés.

Pas d'exigences de capitaux

« Les notices de l'ACPR sur la gouvernance du risque cyber tant pour les banques que pour les assurances datent désormais suffisamment pour que le contrôle de leur mise en oeuvre vienne vérifier le renforcement continu du niveau de protection des entreprises qui est requis », a prévenu mi-novembre Jean-Paul Faugères, le vice-président de l'Autorité de contrôle prudentiel et de résolution.

Les résultats des stress test cyber ne donneront pas lieu à des exigences supplémentaires en capitaux. Ce ne serait pas efficace en termes de prévention contre les cyber risques, juge la BCE.

Mais si une banque obtient de très mauvaises notes, cela pourrait peser lors de son examen individuel, réalisé chaque année par le superviseur (lors des SREP), et indirectement alourdir ses propres charges réglementaires.