Peut mieux faire. C’est, en substance, le message délivré par la Banque centrale européenne (BCE) après les résultats des tests de résistance aux risques informatiques menés auprès de 109 institutions financières placées sous sa supervision directe.
Un scénario fictif grave mais plausible…
Lancé en début d’année, cet exercice s’articulait autour d’un scénario fictif dans lequel toutes les mesures préventives échouaient tandis qu’une cyberattaque dégradait gravement les bases de données des systèmes centraux de chaque banque. Une première du genre : son objectif était d’évaluer la réaction des banques face à une cyberattaque et leur capacité à s’en remettre, plutôt que leurs stratégies de prévention en la matière.
Dans ce cadre, les banques ont été invitées à détailler leur réponse et leur capacité à poursuivre leurs activités, notamment par l’activation de plans d’urgence et de procédures de rétablissement des opérations. Il est à noter que 28 d’entre elles ont été conviées à effectuer un test de restauration informatique et à apporter la preuve de son succès avec une visite sur place des autorités de surveillance. Cet échantillon, représentant divers modèles d’activité et zones géographiques, offre une vue d’ensemble pertinente du système bancaire de la zone euro et assure une coordination efficace avec les autres activités soumises à la surveillance prudentielle.
Cadres de réaction et de reprise de haut niveau
Coïncidence du calendrier, les résultats de ce test ont été publiés le 26 juillet, juste après une gigantesque panne informatique mondiale. Ils « montrent que si les banques disposent de cadres de réaction et de reprise de haut niveau, des améliorations sont encore possibles », a déclaré Anneli Tuominen, superviseur de la BCE. Lesquelles ? On n’en saura pas plus. L’institution européenne reste en effet très prudente dans ses commentaires et ses conclusions. Elle n’entre pas dans les détails des différents types de faiblesse ou vulnérabilité révélés par l’exercice et ne dévoile pas l’identité des banques concernées.
Lire aussi sur L’Essor de la Sécurité : Marché des produits de cybersécurité : Comment les startups françaises se démarquent
Cependant, « les superviseurs ont fourni un retour d’expérience à chaque banque » et certaines « ont déjà amélioré ou prévoient de remédier aux lacunes mises en évidence », assure la BCE dans un communiqué. Les résultats de ce programme alimenteront le « processus d’examen et d’évaluation prudentiels » (SREP) de 2024, effectué par la BCE pour mesurer les risques pesant sur chaque banque.