Les cyberattaques menacent sérieusement les banques

Par La rédaction | 26 juin 2018 | Dernière mise à jour le 15 août 2023
5 minutes de lecture

Les cyberattaques contre les institutions financières mondiales pourraient coûter « quelques centaines de milliards de dollars par année » et représentent déjà près de 9 % de leurs profits, selon le Fonds monétaire international (FMI).

Dans un texte publié la semaine dernière sur son blogue, la directrice générale du FMI souligne que « le cyberrisque menace sérieusement le système financier », car les pertes causées par ce fléau « grugent le bénéfice des banques et pourraient compromettre la stabilité financière ».

Soulignant qu’il s’agit d’un problème « bien réel », Christine Lagarde rappelle qu’une série d’attaques réussies ont permis à des voleurs d’accéder à des renseignements confidentiels et de commettre diverses fraudes. « Mais, au-delà de ces considérations strictement financières, la menace réside aussi dans la possibilité qu’une institution ciblée par une attaque ne soit plus en mesure de poursuivre ses activités », met en garde la dirigeante.

« LE SECTEUR FINANCIER EST TRÈS VULNÉRABLE »

Dans ces conditions, relève-t-elle, il est logique que plusieurs enquêtes placent le risque de cyberattaques au premier rang des préoccupations citées par les gestionnaires de risque et autres dirigeants d’établissements bancaires. En effet, insiste la directrice générale du FMI, le secteur financier « est particulièrement vulnérable » puisque, en raison de « leur rôle crucial d’intermédiaires financiers », les banques constituent « des cibles invitantes ».

« Une cyberattaque réussie contre une institution pourrait déclencher une réaction en chaîne qui frapperait l’ensemble du système financier, fortement interconnecté. Nombre d’institutions utilisent encore d’anciens systèmes dont la résilience à une éventuelle cyberattaque est douteuse. Une cyberattaque réussie pourrait entraîner des coûts directs importants (pertes financières) et des coûts indirects, comme une réputation entachée », détaille Christine Lagarde.

Aujourd’hui, les données sur le coût de ces cyberattaques et leur origine demeurent encore embryonnaires et, dans ces conditions, le cyberrisque est donc difficile à modéliser. Une étude récente du FMI (en anglais) a cependant analysé les pertes que pourraient causer les cyberattaques, plus particulièrement dans le secteur financier. En se servant d’un nouvel outil de modélisation basé sur des techniques actuarielles, sur la mesure du risque opérationnel et l’analyse de cyberattaques survenues dans une cinquantaine de pays, les experts du Fonds estiment que les pertes annuelles moyennes potentielles dues au piratage atteindraient près de 9 % du bénéfice net mondial des banques, soit environ 100 milliards de dollars.

JUSQU’À LA MOITIÉ DES BÉNÉFICES NETS PERDUS

Et dans un scénario plus pessimiste, « où la fréquence des cyberattaques serait deux fois plus élevée que dans le passé, avec un effet de contagion supérieur, les pertes pourraient être deux fois et demie à trois fois et demie plus élevées et atteindre de 270 à 350 milliards de dollars », avertit Christine Lagarde. Autrement dit, à l’échelle mondiale, les actes de piraterie électronique pourraient faire subir aux institutions financières des pertes comprises entre 9 % de leurs bénéfices nets (sur la base de l’expérience connue à ce jour) et la moitié (52 %) de ces bénéfices, dans la pire hypothèse, résume le FMI.

Si les attaques ont jusqu’à présent surtout frappé les banques de détail, elles concernent également le secteur des assurances, de même que certaines banques centrales, et elles se produisent partout dans le monde, tant dans les États industrialisés que dans les pays émergents, relève le FMI.

Dans tous les cas de figure, les pertes encourues sont par ailleurs très fortement supérieures à la taille actuelle du marché de la cyberassurance, souligne Christine Lagarde, qui note que « malgré sa croissance récente, ce marché demeure restreint, avec des primes versées de plus ou moins trois milliards de dollars à l’échelle mondiale en 2017 ». En outre, la plupart des institutions financières ne détiennent aucune cyberassurance et leur protection dans ce domaine reste donc limitée. La raison? « Les assureurs éprouvent des difficultés à évaluer le risque à cause de l’impossibilité d’établir avec certitude l’exposition au cyberrisque, du manque de données et de la contagion possible », explique Christine Lagarde.

LA VOIE À SUIVRE POUR RÉGLER LE PROBLÈME

Insistant sur le fait que « l’évaluation des risques est éminemment perfectible », la directrice générale juge notamment que « la collecte par les autorités de données plus uniformes et complètes sur la fréquence et les effets des cyberattaques permettrait de mieux évaluer le risque pour le secteur financier ». Ainsi, les obligations de déclaration des infractions, comme celles incluses dans le Règlement général sur la protection des données de l’Union européenne, devraient permettre de mieux détecter les actes de piraterie.

De nouvelles études sont également nécessaires pour mieux déterminer comment « renforcer la résilience des institutions et des infrastructures financières, pour à la fois réduire les probabilités de succès des cyberattaques et faciliter une reprise rapide et en douceur des activités », poursuit Christine Lagarde. Enfin, celle-ci soutient qu’il est nécessaire que « le secteur officiel se dote à l’échelle mondiale d’une capacité de surveillance et de réglementation de ces risques ».

« Il convient de renforcer les cadres de réglementation et de surveillance des cyberrisques, en mettant l’accent sur le développement de pratiques efficaces de surveillance et de tests réalistes de vulnérabilité, sans oublier la reprise des activités ainsi que la planification des imprévus », conclut la dirigeante.

La rédaction