« Une banque systémique dont l’informatique cesse de fonctionner met en péril toutes les autres »

Home»Anciens1»« Une banque systémique dont l’informatique cesse de fonctionner met en péril toutes les autres »

« Une banque systémique dont l’informatique cesse de fonctionner met en péril toutes les autres »TRIBUNE. Les chercheurs en informatique Charles Cuvelliez et Jean-Jacques Quisquater rendent compte, dans une tribune au « Monde », d’un rapport alarmant de la Banque centrale européenne sur la sécurité informatique des banques qu’elle supervise.

Tribune. Depuis deux ans, la Banque centrale européenne (BCE) demande aux 114 institutions financières « systémiques » (essentiellement des banques) qu’elle supervise une auto-évaluation annuelle de leurs risques informatiques (voir leur liste).

Il ne s’agit pas uniquement du risque « cyber » (les cyberattaques venant de l’extérieur), mais aussi de tous les risques de défaillance informatique (pannes, bugs…). Et c’est essentiel, car une institution financière systémique dont l’informatique cesse de fonctionner met en péril toutes les autres, qui lui sont interconnectées.

Le rapport 2019, qui porte sur les données 2018, a été publié en juin : mieux vaut tard que jamais, mais il est vrai qu’anonymiser autant de données sensibles mettant à nu les failles des banques n’est pas aisé (« Annual Report on the Outcome of the SREP IT Risk Questionnaire Feedback to the Industry », European Central Bank, juin 2020)…

Jusqu’à 41 % du budget annuel

Le rapport souligne une corrélation révélatrice. Lorsque son conseil d’administration inclut au moins trois administrateurs dotés d’une expertise en informatique, la banque consacre une part plus élevée de son budget informatique à l’innovation et au suivi des « risques liés aux technologies de l’information »… et subit moins de cyberattaques réussies et de pannes informatiques « critiques » que la moyenne. Or, ce seuil de trois administrateurs n’est atteint que dans 34 % d’entre elles !

Près d’un tiers des banques font état d’une cyberattaque réussie en 2018. Celles qui en subissent le plus sont celles qui font état de budgets informatiques en dessous de la moyenne

En 2018, l’informatique représentait en moyenne 21 % des dépenses annuelles des banques supervisées par la BCE, soit un chiffre stable par rapport à 2017. Les dix institutions qui y consacrent le plus de moyens dépensent en informatique 41 % de leur budget annuel – pour une grande part en dépenses de sous-traitance, qui ne rime donc pas toujours avec diminution des coûts. Les dix banques qui y consacrent le moins d’argent ne dépensent que 7 % : l’écart est donc colossal. Quant à la part consacrée à l’innovation, elle varie de 2 % à 5 %, mais quelques institutions vont jusqu’à 10 %.

Assez logiquement, plus la taille et la complexité de l’informatique maison sont importantes, plus ces banques subissent de pertes dues aux interruptions de leurs systèmes critiques et de cyberattaques réussies.

Article réservé à nos abonnés Lire aussi  La cyberguerre est déclarée

Un risque important souligné par le rapport est la dépendance croissante des banques à des systèmes dits « en fin de vie », c’est-à-dire des systèmes informatiques qui ne peuvent plus être maintenus ni mis à jour du fait de leur ancienneté, mais qui n’ont pas encore été remplacés, voire qui sont impossibles à remplacer…

Cyberattaques et pannes

La part des institutions déclarant un tel risque est passée de 63 % en 2017 à 77 % en 2018 ! Le nombre moyen de systèmes déclarés en « fin de vie » passe de 0,71 à 1,52 à l’occasion d’opérations de fusion-acquisition, la fusion entraînant celle des départements informatiques et des anciens systèmes qu’ils traînent derrière eux. Un risque qui, selon le rapport, doit devenir une des priorités de la supervision bancaire à l’avenir…

Article réservé à nos abonnés Lire aussi  Mikko Hyppönen : « On ne peut pas attraper les cybercriminels »

Près d’un tiers des banques font état d’une cyberattaque réussie en 2018. Celles qui en subissent le plus sont aussi, assez logiquement, celles qui font état de budgets informatiques en dessous de la moyenne. Il y a une justice…

Si le nombre de problèmes informatiques a diminué de 30 %, ils sont liés en majorité à des risques de cyber attaques à traiter. La durée des pannes des systèmes critiques a augmenté de 32 %. La durée de résolution des problèmes peut parfois atteindre un an…

Le rapport observe, certes, une diminution des pannes impactant la clientèle, mais une institution financière doit être en permanence en ligne pour faire face à ses obligations sur les marchés : 45 % des banques ont dû activer leur « plan de continuité des affaires » au moins une fois en 2018 pour ne pas risquer de se retrouver à l’arrêt !

Lire aussi  Rançongiciel, les nouveaux maîtres-chanteurs

Et 50 % des banques dépendent d’un seul sous-traitant ou consacrent au moins la moitié de leurs dépenses de sous-traitance à un seul d’entre eux, ce qui selon la BCE constitue un risque important. Le « cloud », qui permet de délocaliser son informatique vers des fournisseurs spécialisés, ne concerne encore qu’une toute petite partie de ces dépenses, 3 % à peine.

Piètre sous-traitance

De plus, le recours à la sous-traitance laisse à désirer : l’indisponibilité et la piètre qualité des sociétés sous-traitantes sont souvent mises en avant, relève la BCE, qui insiste sur la nécessité d’une mise à jour régulière des plans de continuité des affaires et sur la possibilité de couper le lien avec ces sous-traitants, ce qui paraît être un vœu pieux étant donné la dépendance construite par des années de « vie commune »…

Lire aussi  « Cybercasses » d’un milliard d’euros dans des banques : le cerveau présumé arrêté en Espagne

Le rapport souligne également le risque lié au « end user computing » (EUC), un terme désignant les outils informatiques développés ou gérés directement par les différents départements de l’institution financière en dehors du département informatique. L’EUC vit bien souvent sa vie propre. Une préoccupation qui rejoint celle du « shadow IT » [littéralement « informatique de l’ombre »], c’est-à-dire toutes les pratiques que les employés déploient pour contourner les lourdeurs de leur département informatique, comme le chargement ou l’utilisation de logiciels depuis le Net, voire la création de petits programmes maison.

Plus des trois quarts (77 %) des institutions financières déclarent en effet qu’une solution EUC au moins supportait une activité critique : le nombre de ces EUC « critiques » a même augmenté de 24 % en 2018 !

Enfin, nombre de banques admettent ne pas consacrer assez de ressources techniques et humaines pour garantir la qualité des données qu’elles gèrent ou produisent : pas de définition de l’architecture de leurs données, pas de validation avec les utilisateurs. La BCE observe même que ce manque se ressent quand il s’agit de rapporter des statistiques aux régulateurs…

Article réservé à nos abonnés Lire aussi  Les nouvelles cyberattaques qui menacent les banques et leurs clients

Faut-il s’inquiéter ? Certes, les institutions financières ont été les premières à s’informatiser, et le poids du passé joue pour beaucoup dans ces constats surprenants, voire inquiétants. L’arrivée du « cloud » pourrait être une issue, que les fournisseurs de solutions informatiques vont de plus en plus imposer. Ce serait l’opportunité de repartir d’une page blanche et de s’adosser à des partenaires qui feront évoluer les systèmes informatiques bancaires et leurs infrastructures.

Source: « Une banque systémique dont l’informatique cesse de fonctionner met en péril toutes les autres »

Leave a Reply

Your email address will not be published.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Social Media Auto Publish Powered By : XYZScripts.com
fr_FRFrançais
en_USEnglish fr_FRFrançais