La Banque Centrale Européenne considère le risque cyber comme un potentiel déclencheur d’une crise financière systémique. Mais pour l’instant, cette menace reste difficile à mesurer.

Tout le système financier mondial est informatisé… et donc exposé aux risques numériques. À l’occasion d’un discours prononcé mercredi 5 février 2020 rapporté par The Independent, Christine Lagarde a rappelé qu’une cyberattaque pourrait causer la prochaine crise financière mondiale. La présidente de la banque centrale européenne (BCE) s’est fait l’écho d’un rapport du Conseil européen du risque systémique, qui estime entre 45 et 645 milliards de dollars le coût annuel des cyberattaques.

La BCE a créé ce conseil en 2010, à la suite de la crise des subprimes, dans le but d’éviter qu’un tel scénario se reproduise. Parmi ses missions, il doit émettre des recommandations macro-prudentielles, c’est-à-dire des politiques pour empêcher le dysfonctionnement du système financier. Il identifie clairement la cyberguerre comme une menace pour le système financier européen. Son rapport (encore confidentiel) vise à anticiper les circonstances qui permettraient à un incident cyber de se transformer en blocage opérationnel, puis en crise des liquidités.

D’un blocage informatique à la ruée aux guichets

Pour illustrer la menace, Christine Lagarde a pris l’exemple d’une cyberattaque qui détruirait ou chiffrerait les soldes des comptes. Les cybercriminels les mieux organisés parviennent à déployer ce genre de logiciels malveillants dans des réseaux d’entreprise. Ils utilisent ensuite la prise d’otage des données pour demander une rançon. Dans le cas où les soldes des comptes seraient inaccessibles, il serait impossible de savoir où se trouve l’argent. Cette situation pourrait mener à une crise des liquidités : les clients se rueraient aux guichets pour retirer physiquement l’argent de leur compte, de peur qu’il disparaisse sous sa forme informatique.

Une cyberattaque pourrait faire vaciller la confiance du système bancaire

Si un tel comportement était adopté par une grande part de la population, il marquerait l’entrée dans un cercle vicieux déjà vu à plusieurs reprises dans l’histoire et imaginé dans les fictions — la récente série Years & Years, par exemple. Puisque les banques ne peuvent pas distribuer autant de liquidités à leurs clients, elles adoptent des mesures qui peuvent mener à une inflation très forte et à une crise de confiance sur les marchés. Au bout de la chaîne se trouve un krach boursier, comme celui de 1929 ou de 2007.

Une cybermenace distante, prise au sérieux

Mais pour parvenir à ce scénario de catastrophe systémique, les malfaiteurs devraient faire tomber plusieurs banques importantes à la fois. Il s’agirait d’un cybercrime de haut niveau, car les services bancaires disposent de mesures de sécurité largement au-dessus de la moyenne. Cette éventualité est pourtant sérieusement considérée par les institutions, conscientes que les méthodes de cyberattaques ne cessent de s’améliorer.

« La BCE est parfaitement consciente qu’elle a le devoir de s’y préparer, et d’agir de façon préventive », préconise Christine Lagarde, avant d’ajouter : « Puisque la BCE gère des infrastructures critiques, elle doit prendre ce type de menace au sérieux.»

Toujours pas d’exemple de cyberattaque d’ampleur contre les banques centrales

Même si la banque centrale européenne n’a jamais cédé à une cyberattaque majeure, des banques centrales plus petites sont régulièrement affectées, depuis 2010. Par exemple, deux banques de la réserve fédérale des États-Unis (l’homologue américain de la BCE), à New York et à Cleveland, ont déjà subi les conséquences de fuites de données. De même pour les banques centrales de l’Eswatini (ex-Swaziland), de l’Azerbaïdjan et même de la Russie. Les pertes engendrées par les attaques vont du vol de données à des dizaines de millions d’euros de coûts. Des sommes conséquentes, mais relativement limitées à l’échelle de ces institutions.

Deux grandes familles d’attaques peuvent causer des dégâts : l’exploitation d’une faille de sécurité, qu’elle soit d’origine informatique ou humaine, peut mener à un vol d’information. Dans le cas le moins critique, les cybercriminels voleront des informations personnelles, comme des adresses email. Mais les failles peuvent aussi concerner des informations de carte de crédit, ou pire, du code propriétaire de la banque centrale.

Les attaques par déni de service (connu sous l’acronyme DDoS) peuvent quant à elles mener à une paralysie des services, pendant des heures, voire des jours. Cet arrêt des services entraîne des dommages financiers, qui peuvent être aggravés par une crise de confiance.

Le FMI et le G7 s’organisent également

C’est loin d’être la première fois que Christine Lagarde s’exprime sur l’enjeu cyber en finance. Déjà en 2018, lorsqu’elle était directrice générale du fonds monétaire international, elle écrivait : « La menace réside aussi dans la possibilité qu’une institution ciblée par une attaque ne soit plus en mesure de poursuivre ses activités  (…). Une cyberattaque réussie contre une institution pourrait déclencher une réaction en chaîne qui frapperait l’ensemble du système financier, fortement interconnecté ». Dans son billet, elle pointait la vétusté des systèmes informatiques des institutions et des autorités régulatrices, souvent trop anciens.

Un premier test de crise à l’échelle mondiale

Si le FMI et la BCE réfléchissent, les gouvernements se saisissent également de la question cyber. En juin 2019, les pays du G7 ( États-Unis, Royaume-Uni, Canada, France, Allemagne, Italie, Japon) ont effectué une simulation commune de gestion de crise. L’objectif : anticiper leur réponse face à un cyberrisque — une menace « réelle et grandissante » — qui affecterait la stabilité système financier.

Cet exercice, dont les résultats restent confidentiels, a réuni une vingtaine d’acteurs : les ministères des Finances des différents pays, des banques centrales, et des régulateurs.

Le secteur financier peine à mesurer le risque cyber

Dans leur évaluation du risque cyber, tous se confrontent à des difficultés de mesure. Les analystes manquent cruellement de données sur le cyberrisque. Il leur faudrait connaître la fréquence des attaques, la répartition des pertes, etc.

Christine Lagarde appelait en 2018 à une meilleure collecte des données : plus fine, uniformisée entre les autorités de régulations et les institutions, et plus complète. L’obligation de déclaration des failles de sécurité établie par le RGPD est un des outils qui permettrait de créer de meilleures bases de données.

Au-delà même de la menace cyber, le simple usage de matériel informatique expose à d’autres dangers. Oui : une mise à jour logicielle ratée ou une catastrophe naturelle pourrait mettre hors service des infrastructures critiques.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !