Le risque cyber dans le secteur financier

Trésor Eco publie l’article le risque cyber qui l’ensemble des risques liés à l’usage des technologies numériques et c’est aujourd’hui un des risques économiques majeurs. Il peut être défini comme un risque opérationnel portant sur la confidentialité, l’intégrité ou la disponibilité des données et systèmes d’information. Il recouvre à la fois les actes malveillants et les incidents non intentionnels issus d’erreurs humaines ou d’accidents.

  • Le nombre d’incidents cyber est en forte augmentation, mais les coûts engendrés pour l’ensemble de l’économierestent difficiles à estimer. Ces coûts peuvent être directs ou indirects, affectant l’organisation qui subit l’incidentmais également d’autres acteurs (entreprises partenaires, clients). Ils se chiffreraient en toute vraisemblance à plusieurs centaines de milliards d’euros par an pour l’économie mondiale.
  • Le secteur financier est particulièrement ciblé par les cyberattaques en raison du potentiel de gains importants. Il est en outre fortement numérisé, ce qui accroît sa surface d’exposition. Le recours accru et soudain au télétravailen a fait un des secteurs les plus exposés durant la crise liée à la pandémie de Covid-19.
  • Le secteur financier se caractérise également par de fortes interconnexions, accroissant les risques de propagation des chocs. Il repose sur la confiance des agents en son fonctionnement, confiance qui peut être remise en cause en cas d’incident. Même s’il n’apas encore généré de crise systémique d’ampleur, le risque cyber est désormais identifié comme un des risques majeurs pour la stabilité financière.
  • Les acteurs peuvent avoir tendance à sous estimer le risque cyber et sous-investir en matière de cybersécurité. Pour assurer un niveau de sécurité suffisant, différents outils de politique publique peuvent être mobilisés : formation, réglementation, exercices de résilience, politique industrielle, cyber-assurance. Le projet de règlement européen DORA (Digital Operational Resilience Act) ou le groupe de travail sur la cyber-assurance lancé par la DG Trésor participent de cet effort

Répartition des incidents cyber par secteur lors des six premiers
mois de la pandémie de Covid-19 (mars-septembre 2020)

Le risque cyber couvre l’ensemble des risques provenant du monde
numérique

1.1 Un risque dont le périmètre évolue

De façon générale, le risque cyber correspond à l’ensemble des risques liés au numérique. Il n’en existe pas de définition unique, étant donné son caractère relativement récent et son périmètre évolutif. On peut retenir la définition proposée par Cebula et Young (2010), reprise depuis par d’autres travaux académiques et par les standards internationaux : le risque cyber est un risque opérationnel pouvant affecter la confidentialité, l’intégrité ou la disponibilité des données ou systèmes d’information. D’autres propriétés, telles que l’authenticité, peuvent également être menacées. La cybersécurité consiste en la protection de ces différentes propriétés par l’intermédiaire d’un dispositif de sécurité.

Parmi les différentes taxonomies qui ont été proposées, on peut retenir celle proposée par la Banque des règlements internationaux. Celle-ci classifie le risque cyber selon quatre dimensions :

  • Les causes ou méthodes du risque cyber sont nombreuses et évoluent avec l’avancement de la technologie.
  • Le risque cyber peut provenir de différents acteurs. Il peut s’agir d’acteurs internes ou externes aux organisations visées. Parmi les acteurs externes, les États ou les groupes soutenus par des États ainsi que les groupes criminels sont une menace, mais le risque peut également provenir de hackers isolés.
  • En termes d’intention, la principale distinction est le caractère malveillant (pour raisons financières ou politiques) ou non de l’incident cyber.

Un incident cyber peut ainsi affecter durablement la réputation de l’organisme victime, et avoir des conséquences indirectes importantes au-delà de l’organisme visé (par exemple en cas de fuite de données).

1.2 Un risque difficilement quantifiable mais vraisemblablement en hausse

La forte augmentation du risque cyber depuis plusieurs années fait cependant consensus, et elle est documentée par des études académiques. Jamilov et al. (2021) montrent, à l’aide d’une analyse textuelle des transcriptions des conférences d’annonce de résultats financiers, que les références au risque cyber augmentent et correspondent à un sentiment de plus en plus négatif6. En analysant l’évolution du risque par zone géographique et par secteur, ils mettent en évidence que le risque s’est d’abord développé aux États-Unis, puis propagé aux autres régions du monde (cf. Graphique 1A), et qu’il se concentrerait particulièrement sur les secteurs des services aux entreprises (secteur qui inclut les fournisseurs de services de cybersécurité) et celui de l’information et de communication. Leurs travaux montrent également une forte augmentation de ce risque pour le secteur financier (cf. Graphique 1B). En examinant les causes et le coût des incidents cyber entre 2002 et 2018, Aldasoro et al. (2020) montrent la forte hausse du nombre d’incidents, même si le coût moyen reste faible. Le coût moyen et les causes d’incidents dépendent beaucoup du secteur. Par exemple, si le secteur financier est parmi les plus touchés, le coût moyen des incidents y est plus faible, ce qui peut s’expliquer selon les auteurs par un niveau d’investissement plus élevé en la matière.

Graphique 1 : Évolution du risque cyber
A. Par zone géographique B. Par secteur d’activité

Le risque cyber touche particulièrement le secteur financier et est susceptible de remettre en cause la stabilité financière

2.1 Le secteur financier est particulièrement concerné

Selon le Boston Consulting Group, les entreprises du secteur financier seraient 300 fois plus susceptibles d’être ciblées que celles d’autres secteurs. La plupart des études académiques identifient le secteur financier comme figurant parmi les secteurs les plus victimes d’incidents cyber. En raison d’un recours massif et soudain au télétravail, il aurait été particulièrement exposé lors de la pandémie de Covid-19.
Le secteur financier est d’autantplus concerné par le risque cyber qu’il est fortement numérisé, les principales infrastructures de marché(services de paiement, règlement, compensation, etc.) étant entièrement dématérialisées, ainsi qu’une grande partie des activités bancaires (échange de titres financiers, banque de détail).

2.2 Le risque cyber peut devenir systémique

Le secteur financier est sujet à un risque de contagion en raison de sa forte interconnexion. En effet, le système financier contient des acteurs systémiques, principalement des banques et des assurances, qui concentrent une partie importante des actifs et des flux, et sont fortement reliés entre eux. Ainsi, un évènement isolé portant sur une unique entité du secteur financier peut se propager plus largement, dans un phénomène de contagion, et ce même au-delà des frontières. Pour étudier l’impact potentiel d’un incident cyber sur le secteur financier, certaines études adoptent une approche similaire à celle des stress tests, c’est-à-dire qu’elles estiment la capacité financière des organisations à absorber un choc d’ampleur
significative.

Des politiques publiques sont nécessaires afin que le secteur se protège correctement contre ce risque

3.1 Plusieurs défaillances de marché peuvent mener à un sous-investissement dans la cybersécurité

Plusieurs imperfections de marché peuvent justifier des mesures de politique publique. Tout d’abord, il peut y avoir un désalignement des incitations entre les acteurs responsables de la cybersécurité et ceux qui en bénéficient. Ce désalignement concerne souvent les entreprises et leurs clients, les entreprises arbitrant entre la recherche de rendement (numérisation, réduction des coûts) et la sécurité des usagers. Par exemple, les banques encouragent leurs clients à utiliser les services en ligne afin de réduire les coûts opérationnels, mais elles n’encourent qu’une partie du coût des failles de sécurité.

La cybersécurité est également un domaine où il y a de fortes asymétries d’information. S’il peut être facile de mettre en évidence une faille de sécurité, il est impossible de prouver qu’un système est sécurisé. Une entreprise peut ainsi se montrer réticente à divulguer qu’elle a été victime d’une faille de sécurité, de peur de nuire à sa réputation. Il en résulte un marché où laqualité de l’offre des produits des fournisseurs de services de cybersécurité est difficilement observable, et donc peu différenciable par les clients.

3.2 Plusieurs interventions publiques peuvent être mise en œuvre

Ces défaillances de marché impliquent que des politiques publiques peuvent être mobilisées pour en limiter les effets. Premièrement, la réglementation peut agir pour rendre le marché de la cybersécurité plus efficient. Elle peut par exemple réaligner les incitations des entreprises et de leurs clients en imposant que l’entreprise soit garante de la sécurité des données de ses clients. Elle peut ensuite réduire les asymétries d’information en imposant aux entreprises de déclarer leurs incidents de cybersécurité. Elle peut aussi développer des mécanismes de certification, tel le système introduit par le Cybersecurity Act au niveau européen, qui vise à harmoniser les méthodes d’évaluation du degré de protection conféré par les produits de cybersécurité afin d’en faciliter l’appréciation par les entreprises clientes.

Deuxièmement, les autorités peuvent développer la capacité de réponse et de gestion de crise et la bonne appréciation des risques grâce à des tests de résilience (stress tests). Le projet DORA permettra également de renforcer les tests de résilience imposés aux acteurs.

Troisièmement, comme pour toute activité très innovante, le développement des capacités en cybersécurité génère des externalités positives pour l’ensemble de la société, que les fournisseurs de services de cybersécurité peuvent ne pas intérioriser, investissant alors en R&D de manière sous-optimale.

Enfin, des mécanismes d’assurance privée du risque cyber peuvent réduire ces failles de marché, en faisant internaliser le risque aux acteurs par le biais des prix de primes d’assurance et en imposant des normes de sécurité. Les mécanismes d’assurance du risque cyber sont recommandés depuis longtemps par les économistes, mais dans la pratique le marché reste peu développé.

Pour approfondir la compréhension de ces difficultés et permettre le bon développement de ce marché, une concertation nationale sur l’assurance du risque cyber a été lancée en 2021 par la Direction générale du Trésor.