Dans la lignée de ses tests de résistance thématiques, après celui de 2022 consacré au risque climatique, la Banque Centrale Européenne annonce pour cette année un exercice de reprise d'activité des banques après une cyberattaque. La démarche mise en œuvre sera aussi intéressante à observer que ses résultats, attendus pour l'été.
Répondant autant que possible aux enjeux les plus pressants du moment, il n'est guère étonnant que la BCE se concentre maintenant sur les problématiques de cybersécurité, au vu de la progression constante des menaces, en particulier dans une perspective géopolitique exacerbée par les tensions internationales. Ce qui peut paraître plus surprenant, toutefois, est le choix d'envisager un scénario dans lequel une offensive aurait atteint son objectif, dont les institutions auraient alors à se remettre.
Tandis qu'une première étape aurait pu consister à évaluer le niveau de protection des infrastructures informatiques, la décision de considérer en priorité l'hypothèse d'un incident majeur fournit deux indications sur l'état d'esprit du régulateur. D'une part, il s'agit évidemment du cas où l'impact sur l'économie – sa principale préoccupation – est le plus élevé. D'autre part, et ce facteur est à garder à l'esprit, elle reflète la conviction que la survenue d'un tel sinistre est devenue trop probable pour être ignorée.
Le test concernera 109 établissements placés sous la supervision directe de la BCE, parmi lesquels 28, représentatifs de la diversité de l'industrie du continent, seront soumis à un examen approfondi. Le principe repose, comme toujours, sur une simulation – en l'occurrence d'un incident perturbant leurs opérations quotidiennes – à partir de laquelle les participants seront invités à expliciter et analyser les réactions, décisions, procédures et plans d'urgence déployés en vue de rétablir un fonctionnement optimal.
La présentation du dispositif manque hélas de détails. Il serait pourtant extrêmement intéressant et utile de savoir, entre autres, quel(s) type(s) d'attaque entreront dans le champ de l'étude (il paraît impossible de les intégrer tous) et, plus important, de quelle manière seront mesurées les réponses des banques. En effet, on imagine mal que les plans de secours soient activés en production, ce qui serait pourtant le seul moyen de vérifier objectivement leur efficacité et les délais de restauration de services.
Quoi qu'il en soit, les résultats, s'ils sont fidèles à la réalité… et s'ils sont diffusés publiquement, promettent d'être passionnants à éplucher car il est rare de pouvoir plonger au cœur des mécanismes de résilience des systèmes informatiques et d'obtenir un aperçu de leur degré de préparation à des événements adverses. En outre, les conclusions serviront ultérieurement à ajuster les missions de contrôle routinières, ce qui laisse augurer d'un focus réglementaire renforcé sur la cybersécurité, à long terme.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)