C'est l'une des questions que se pose la Banque centrale européenne (BCE), qui va tester l’an prochain, la cyber résilience de 111 établissements bancaires de l'Union européenne
Les menaces visant le système bancaire deviennent de plus en plus complexes.
Parmi le Top 5 des menaces croissantes identifiées par l'European Cyber Resilience Board ECRB, on retrouve ainsi:
Les attaques par ransomware.
Les vulnérabilités liées à des problèmes de patch et de mises à jour
Les vulnérabilités liées à la supply chain.
Le vol de données critiques
Les tests de résistance européens menés l'an prochain devront ainsi déterminer comment les 111 institutions bancaires réagissent en cas de cyberattaque réussie et comment elles sont capables de s’en relever. La BCE espère ainsi identifier “les forces et les faiblesses des banques” et leurs permettre de s'adapter rapidement afin de réduire la vulnérabilité de l'écosystème financier aux cyberattaques.
Vulnérabilité de la supply chain, Cloud et extra territorialité
La dépendance de l'écosystème financier à l'égard des produits et services de tiers informatique [A] constitue un risque majeur, en particulier lorsque les entités financières leur confient des fonctions essentielles opérationnelles.
Une cyberattaque sur ces tiers peut en effet avoir des effets étendus, voire systémiques, en touchant et compromettant plusieurs entités financières à la fois.
Dans ce contexte, le Cloud Computing (et le problème d'extra territorialité juridique des fournisseurs) vient encore plus fragiliser cet écosystème.
Les banques européennes (à l'instar de BNP Paribas, ou de la Société Générale) s’appuient sur de grands groupes américains, pour la fourniture d’infrastructure cloud computing public (IaaS). Mais pas seulement. Certains sous-traitants sont basés en Inde, “et même en Russie”.
La récente cyberattaque contre le fournisseur tiers irlandais ION Cleared Derivatives (division de ION markets) montre comment une attaque contre un fournisseur de logiciels peut se répercuter sur ses clients et sur l'ensemble du marché financier.
Beaucoup de banques sous-traitent des fonctions essentielles” à des acteurs “qui sont souvent situés dans d’autres juridictions”, note Andrea Enria, Président du conseil de surveillance de la BCE.
Autre exemple de fragilité dans le domaine de la chaine d'approvisionnement et des tiers avec le cas de l'Amsterdam Trade Bank, une filiale de la banque russe Alfa Bank.
Placée sur la liste des sanctions par les autorités américaines. la banque néerlandaise n'était plus en mesure de recevoir des services informatiques essentiels de la part de ses fournisseurs américains (dont Microsoft Azure et les services MS 365, Sharepoint, Github). Elle a été mise en faillite du jour au lendemain.
Afin de gérer la faillite, les administrateurs ont demandé un accès illimité aux dossiers administratifs hébergés dans l'environnement cloud public de Microsoft (lui même opéré dans des datacenters aux Pays Bas). Microsoft a refusé par crainte de sanctions de la part des autorités américaines.
Cette décision avait été vivement critiquée par la cour administrative, jugeant de l'attitude douteuse de Microsoft dans une affaire où le droit néerlandais prévaut (droit des administrateurs de s'acquitter de leurs obligations légales en vertu de la loi sur les faillites.)
Analyser toute la supply chain IT bancaire, un pré requis!
Cette affaire a mis en évidence la nécessité pour les entités financières d'examiner leurs fournisseurs tiers, les fournisseurs de ces tiers, leurs niveaux de cyber-résilience et l'impact systémique qui pourrait résulter d'une cyber-attaque sur l'un de ces fournisseurs
En particulier, il est essentiel d'évaluer les dépendances (verrouillage commercial, technique, juridique et contractuel) des services critiques à l'égard des produits et services de tiers qui pourraient être perturbés, voire interrompus, à la suite d'une cyberattaque ou de tout autre évènement à risque. Et de mettre en place des mesures d'atténuation, voire d'exit.
[A] Dans ce contexte, le G7 a récemment mis à jour ses éléments fondamentaux pour la gestion du risque cybernétique des tiers dans le secteur financier. En outre, l'ECRB a mis en place un groupe de travail en 2022 pour soutenir la gestion du risque cybernétique des tiers. [B] La chaîne d'approvisionnement ou supply chain comprend les éléments suivants Réseau interconnecté de tiers sur le web, produits, services et infrastructures IT et Cloud, ainsi que leurs fournisseurs, prestataires ou fabricants ou distributeurs de ces services.
Vous souhaitez vous faire accompagner sur les risques liés au choix de vos fournisseurs et tiers Cloud. Réservez un service ci-dessous ou découvrez notre service Cloud 360.