(Photo : JuSun by Getty Images) (Photo : JuSun by Getty Images)

Le cyber-risque, nouvelle menace pour la stabilité financière

Jennifer Elliott et Nigel Jenkinson

Beaucoup d’entre nous trouvent tout naturel de pouvoir retirer de l’argent de notre compte bancaire, envoyer des fonds à notre famille dans un autre pays et payer nos factures en ligne. La pandémie mondiale nous a montré à quel point le numérique est important dans notre vie quotidienne. Mais que se passerait-il si, du fait d’une cyberattaque contre une banque, un virement ne pouvait être exécuté ?

Alors que nous devenons de plus en plus tributaires des services financiers numériques, le nombre de cyberattaques a triplé au cours des dix dernières années, et le secteur financier reste le plus ciblé. Le cyber-risque est indubitablement devenu une menace pour la stabilité financière.

Compte tenu des fortes interconnexions financières et technologiques, toute attaque réussie contre une grande institution financière ou contre un système ou un service central utilisé par un grand nombre de personnes pourrait rapidement se propager à l’ensemble du système financier et entraîner des perturbations et une perte de confiance à grande échelle. Les transactions pourraient échouer car les liquidités seraient bloquées et les ménages et les entreprises pourraient ne plus avoir accès aux dépôts et paiements. Dans des scénarios extrêmes, les investisseurs et les déposants pourraient exiger leurs fonds ou essayer de résilier leurs comptes ou d’autres services et produits qu’ils utilisent régulièrement.

Les outils de piratage sont aujourd’hui meilleur marché, plus faciles d’utilisation et plus puissants que jamais, ce qui permet aux pirates moins chevronnés de faire plus de dégâts pour beaucoup moins cher qu’avant. L’expansion des services sur appareils mobiles (seule plateforme technologique accessible au plus grand nombre) profite aux pirates informatiques. Ces derniers ciblent tant les grandes que les petites institutions, les pays riches comme les pays pauvres, et ne connaissent pas de frontières. La lutte contre la cybercriminalité et la réduction des risques doivent donc être menées de manière concertée aux échelles nationale et internationale.

S’il incombe aux institutions financières d’assurer au jour le jour les travaux fondamentaux de gestion des risques (entretien des réseaux, mise à jour des logiciels et respect d’une « cyberhygiène » rigoureuse), il faut également régler des problèmes communs et avoir conscience des incidences et des interconnexions à l’échelle du système financier. Les incitations destinées à pousser les entreprises à investir dans la protection ne suffisent pas ; il faut que les pouvoirs publics promulguent des réglementations et prennent des mesures pour éviter le sous-investissement et pour protéger l’ensemble du système financier des conséquences d’une attaque.

Le FMI estime que nombre de systèmes financiers nationaux ne sont pas encore aptes à riposter en cas d’attaque, tandis que la coordination internationale reste précaire. Dans une nouvelle étude, le FMI propose six grandes stratégies qui permettraient de renforcer sensiblement la cybersécurité et d’améliorer la stabilité financière dans le monde.

Cybercartographie et quantification des risques

Cartographier les principales interconnexions opérationnelles et technologiques et les infrastructures essentielles peut mettre en évidence les interdépendances du système financier mondial. Tenir davantage compte du cyber-risque dans l’analyse de la stabilité financière permettra de mieux comprendre et d’atténuer le risque à l’échelle du système. Quantifier les éventuelles répercussions permettra de mieux cibler la riposte et de promouvoir une plus forte mobilisation en ce sens. Les travaux dans ce domaine n’en sont qu’à leurs débuts, notamment en raison de l’insuffisance des données concernant les répercussions des incidents cybernétiques et des problèmes de modélisation, mais ils doivent être accélérés car ils sont de plus en plus importants.

Convergence des réglementations

Assurer une plus grande cohérence des réglementations et de la surveillance au niveau international permettra de réduire les coûts de mise en conformité et créera des conditions propices au resserrement de la coopération transfrontalière. Des organismes internationaux tels que le Conseil de stabilité financière, le Comité des paiements et des infrastructures de marché et le Comité de Bâle ont commencé à renforcer la coordination et à promouvoir la convergence. Les autorités nationales doivent œuvrer ensemble à la mise en œuvre.

Capacité de riposte

Les cyberattaques étant de plus en plus fréquentes, le système financier doit pouvoir reprendre rapidement ses activités même en cas d’attaque réussie, dans l’intérêt de la stabilité. Les stratégies dites de riposte et de relèvement en sont encore au stade embryonnaire, en particulier dans les pays à faible revenu, qui ont besoin d’une assistance pour les mettre au point. Il convient d’adopter des accords internationaux destinés à faciliter la riposte et le relèvement des institutions et des services transfrontaliers.

Volonté de partager

Échanger davantage d’informations sur les menaces, les attaques et les ripostes dans les secteurs privé et public renforcera la capacité de dissuasion et de réaction. Cependant, d’importants obstacles subsistent, qui sont souvent liés à des problèmes de sécurité nationale et aux lois de protection des données. Les autorités de contrôle et les banques centrales doivent élaborer des protocoles et des pratiques d’échange d’informations qui soient efficaces malgré ces contraintes. Un modèle d’échange d’informations arrêté au niveau mondial, l’utilisation accrue de plateformes d’information communes et l’expansion des réseaux sécurisés sont autant d’éléments qui pourraient réduire les obstacles.

Renforcement des mesures de dissuasion

Les cyberattaques devraient devenir plus coûteuses et plus risquées si des mesures efficaces sont prises pour confisquer les produits du crime et poursuivre les malfaiteurs. Intensifier l’action menée au niveau international pour prévenir, contrer et décourager les attaques réduirait la menace à sa source. Pour ce faire, il faut que les services répressifs et les autorités nationales responsables des infrastructures essentielles ou de la sécurité coopèrent étroitement, au niveau international et entre institutions. Les pirates informatiques ne connaissant pas de frontières, la criminalité mondiale exige une répression mondiale.

Développement des capacités

Aider les pays en développement et les pays émergents à se doter de moyens d’assurer la cybersécurité renforcera la stabilité financière et améliorera l’accès aux services financiers. Les pays à faible revenu sont particulièrement vulnérables au cyber-risque. La crise de la COVID-19 a mis en évidence le rôle décisif que joue la connectivité dans le monde en développement. L’exploitation sûre et sécurisée des technologies restera au cœur du développement et il faudra par conséquent veiller à prendre des mesures contre le cyber-risque. Comme c’est le cas pour tout virus, la prolifération des cybermenaces dans un pays donné compromet la sécurité du reste du monde.

Pour combler toutes ces lacunes, il faudra que les organismes de normalisation, les organismes nationaux de réglementation, les autorités de contrôle, les associations professionnelles, le secteur privé, les services répressifs, les organisations internationales et d’autres prestataires de services de développement des capacités ainsi que les donateurs agissent de manière concertée. L’action du FMI porte principalement sur les pays à faible revenu, en assurant le développement des capacités des autorités de surveillance financière et en soulevant les problèmes et les points de vue de ces pays devant les organismes internationaux et dans les instances d’élaboration des politiques au sein desquels ils ne sont pas suffisamment représentés.

*****

Nigel Jenkinson dirige la division de la réglementation et de la surveillance du secteur financier, qui relève du département des marchés monétaires et de capitaux. Il dirige les travaux du FMI concernant les politiques et le développement des capacités en matière de surveillance financière. Il possède une riche expérience dans tous les aspects de la stabilité financière et de la politique monétaire, notamment en ce qui concerne la cybersécurité, l’analyse des risques systémiques, la liquidité bancaire, les dispositifs de gestion des crises, le cadre international de réglementation financière, ainsi que les lacunes en matière de données et la qualité des données. Auparavant, il a travaillé pendant 30 ans à la Banque d’Angleterre, où il était spécialisé dans la stabilité financière et les questions monétaires. Il y a occupé les fonctions de directeur exécutif de la stabilité financière de 2003 à 2008, avant de prendre un poste de conseiller au Conseil de stabilité financière, où il s’est investi dans les réformes postérieures à la crise financière mondiale. Il a représenté la Banque d’Angleterre et le FMI au Comité de Bâle et dans d’autres instances internationales. Il est titulaire d’un Master of Science en économie mathématique et économétrie de la London School of Economics.

Jennifer Elliott dirige la division de la stratégie d’assistance technique, qui relève du département des marchés monétaires et de capitaux, et est responsable de la gestion des activités de développement des capacités menées par le FMI dans le secteur financier. Elle a travaillé en tant que régulatrice sur les marchés de capitaux canadiens avant d’entamer une carrière au FMI, où elle est principalement chargée de différentes questions de surveillance financière, notamment le risque pesant sur la cybersécurité, la prestation d’une assistance technique et la direction des programmes d’évaluation du secteur financier. Elle est titulaire d’un Bachelor of Arts de l’Université de Toronto et d’un Bachelor of Laws de l’Université de Victoria (Canada).