Le nombre de cyberattaques a plus que doublé depuis la pandémie de COVID-19. Les pertes directes enregistrées par des sociétés victimes de cyberattaques ont été jusqu’ici relativement modérées, mais certaines ont tout de même payé un beaucoup plus lourd tribut. Par exemple, l’agence de notation américaine Equifax a dû s’acquitter d’une amende de plus d’un milliard de dollars à la suite d’une violation massive de données qui avait touché environ 150 millions de clients en 2017.
Comme nous le montrons dans un chapitre de l’édition d’avril 2024 du Rapport sur la stabilité financière dans monde , le risque de pertes extrêmes provoquées par des cyberincidents est en hausse. Ces pertes pourraient confronter des sociétés à des problèmes de financement, voire compromettre leur solvabilité. L’ampleur de ces pertes extrêmes a plus que quadruplé depuis 2017 pour atteindre 2,5 milliards de dollars. De surcroît, les pertes indirectes, comme l’atteinte à la réputation ou les dépenses engagées pour renforcer la sécurité, sont devenues beaucoup plus lourdes.
Le secteur financier est plus exposé que tout autre au cyberrisque. Du fait des gros volumes de données sensibles et d’opérations qu’elles traitent, les sociétés financières sont souvent la cible de criminels cherchant à voler de l’argent ou à perturber l’activité économique. Les sociétés financières sont concernées par près d’un cinquième des attaques et les banques sont les établissements les plus exposés.
Des incidents survenant dans le secteur financier pourraient mettre en péril la stabilité financière et économique s’ils portent atteinte à la confiance accordée au secteur financier, désorganisent des services essentiels ou occasionnent des répercussions sur d’autres institutions.
Par exemple, un cyberincident de grande ampleur dans une institution financière pourrait ébranler la confiance et, dans des cas extrêmes, provoquer des cessions d’actifs massives sur les marchés ou des ruées sur les dépôts bancaires. Bien que l’on ne recense à ce jour aucun mouvement de panique majeur à la suite d’un cyberincident, notre analyse montre qu’une cyberattaque a donné lieu pendant un certain temps à des retraits de dépôts, certes modérés, dans des banques américaines de petite taille.
L’activité économique pourrait également être gravement perturbée par des cyberincidents entraînant une désorganisation de services essentiels comme des réseaux de paiement. Par exemple, la cyberattaque subie par la banque centrale du Lesotho en décembre 2023 a désorganisé le système national de paiement, empêchant les banques du pays d’effectuer des opérations.
Il faut également tenir compte du fait que les sociétés financières sous-traitent de plus en plus leurs activités informatiques à des prestataires tiers, une tendance qui devrait s’accentuer avec le rôle émergent de l’intelligence artificielle. Ces prestataires extérieurs peuvent certes renforcer la résilience opérationnelle mais ils exposent aussi le secteur financier à des chocs d’ampleur systémique. L’an dernier, par exemple, une attaque au rançongiciel sur un fournisseur de services informatiques sur le nuage a entraîné des interruptions de services simultanées dans 60 caisses de crédit mutuel américaines.
En cette période où, comme le montre le chapitre, le système financier mondial fait face à des cyberrisques considérables et croissants sous l’effet de l’accélération de la transition numérique et de l’exacerbation des tensions géopolitiques, les procédures et dispositifs de gouvernance au sein des sociétés doivent évoluer en conséquence.
Cependant, les motivations guidant le secteur privé pourraient ne pas suffire pour lutter contre les cyberrisques. Par exemple, les sociétés pourraient ne pas tenir pleinement compte des effets systémiques des incidents. Une intervention des pouvoirs publics pourrait alors se révéler nécessaire.
Or il ressort d’une enquête menée par le FMI auprès de banques centrales et d’organes de supervision que les dispositifs des pouvoirs publics en matière de cybersécurité restent souvent insuffisants, en particulier dans les pays émergents et les pays en développement. Par exemple, les pays dotés d’une stratégie nationale de cybersécurité ciblée sur le secteur financier ou de réglementations spéciales en matière de cybersécurité ne représentaient qu’environ la moitié de l’échantillon.
Pour renforcer la résistance du secteur financier, les autorités devraient mettre au point une stratégie de cybersécurité nationale adéquate, et l’accompagner de capacités de réglementation et de supervision efficaces englobant les axes suivants :
- évaluer régulièrement la situation de la cybersécurité et détecter d’éventuels risques systémiques liés à l’interconnexion des acteurs et aux concentrations, notamment ceux engendrés par les prestataires de services tiers ;
- promouvoir la « cybermaturité » au sein des sociétés du secteur financier, ce qui passe notamment par une expertise en matière de cybersécurité chez les dirigeants, comme le montre l’analyse du chapitre, qui laisse apparaître qu’une meilleure gouvernance en matière de cybersécurité pourrait atténuer le cyberrisque ;
- améliorer la « cyberhygiène » des sociétés, à savoir la sécurité en ligne et la fiabilité des systèmes informatiques (outils de protection contre les logiciels malveillants et authentification multifactorielle, par exemple), ainsi que la formation et la sensibilisation aux questions de cybersécurité ;
- donner la priorité à la communication des données et au recensement des cyberincidents, et diffuser les informations aux acteurs du secteur financier afin d’améliorer leur état de préparation collectif.
Sachant que les attaques sur des sociétés financières proviennent souvent de l’étranger et que les gains engendrés peuvent traverser les frontières, il est impératif de faire fonctionner la coopération internationale pour traiter le cyberrisque de façon efficace.
Des cyberincidents se produiront inévitablement mais le secteur financier doit être en mesure d’assurer la continuité de services essentiels pendant les périodes de perturbations. Pour ce faire, les sociétés financières devraient mettre au point et tester des procédures de riposte et de retour à la normale. Quant aux autorités nationales, elles devraient disposer de protocoles et de dispositifs de gestions de crise efficaces.
Le FMI s’emploie à aider ses pays membres à renforcer leurs dispositifs de cybersécurité en leur prodiguant des recommandations, par exemple dans le cadre du programme d’évaluation du secteur financier, et en leur fournissant des activités de développement des capacités.
— Ce billet s’inspire du chapitre 3 de l’édition d’avril 2024 du Rapport sur la stabilité financière dans le monde, intitulé « Les cyberrisques : une préoccupation croissante par la stabilité macrofinancière ».
