Charles Cuvelliez (Belfius): “Une cyber attaque contre les banques? Cela vaut la peine de considérer ce scénario”

Charles Cuvelliez, Chief Information Security Officer de Belfius explique l’objectif du premier « stress test cyber » de la BCE.

En début d’année, la Banque centrale européenne a annoncé le lancement d’un « stress test » d’un genre nouveau : « L’exercice évaluera la manière dont les banques réagissent à une cyberattaque et s’en remettent, plutôt que leur capacité à la prévenir », observe la BCE dans un communiqué.

Les explications de Charles Cuvelliez, Chief Information Security Officer de Belfius.

Pourquoi la BCE a-t-elle lancé un tel exercice ?

Il s’agit d’un exercice théorique, à partir d’un scénario de cyberattaque qui a été communiqué aux 109 banques, dont Belfius, qui sont supervisées par la Banque centrale européenne. Il consiste à vérifier que nous pouvons faire face. Notre cyber résilience est testée, car le scénario part d’une hypothèse conservatrice que les mécanismes de prévention et de détection n’ont pas fonctionné ».

L’hypothèse est que l’attaque a déjà eu lieu et affecte le cœur de notre système informatique, où toutes les activités critiques convergent.  Une hypothèse très improbable, car la majorité des cyberattaques ont une motivation financière : s’attaquer aux systèmes cœurs demanderait aux criminels des moyens considérables pour arriver à aller jusqu’au plus profond de nos systèmes, en termes d’expérience, de développement de moyens d’attaque, car ces systèmes ne sont pas de simples machines Windows. Les criminels préféreront s’attaquer à des acteurs plus vulnérables, car il sera plus facile de s’emparer de leurs données et de les chiffrer pour exiger une rançon.  Ceci dit, un acteur étatique qui voudrait laminer une grande banque d’un pays ennemi pourrait mettre le paquet pour essayer d’y arriver. Cela vaut donc la peine de considérer ce scénario, vu la géopolitique ambiante, aussi à cause des conséquences qu’il aurait. »

Alors, quel est l’objectif de ce test ?

Il nous force à revérifier que tout est en place pour faire face, pour tout rétablir en un temps suffisamment court pour perturber le fonctionnement de la banque le moins possible et ne pas perturber l’économie réelle  parce qu’une banque systémique ne fonctionne plus temporairement.

C’est la première fois que la banque centrale européenne fait un stress test cyber et elle a raison : s’il devait y avoir encore une crise financière, celle-ci pourrait avoir une telle cause.

Et comment est-il effectué ?

La banque centrale européenne a posé 400 questions très pointues sur notre manière de réagir à une telle attaque et toutes nos réponses doivent être justifiées par des procédures qui seraient appliquées si cela devait vraiment se passer. En d’autres termes, on ne peut pas répondre au talent comme on dit aujourd’hui. Quelques banques doivent aller plus loin que cet exercice théorique et devront faire des tests réels de certaines opérations.

Que se passera-t-il à l’issue de cet examen ?

L’exercice se termine fin février. Il s’ensuivra alors quatre mois où les banques seront cuisinées sur les réponses qu’elles ont fournies : sont-elles les bonnes réponses en cas d’attaque, sont-elles documentées ? Vers l’été, chaque banque recevra son bulletin avec des recommandations. Quel que soit ce bulletin, il n’y aura pas d’impact sur les fonds propres que chaque banque doit exhiber pour faire face à une crise éventuelle.

Il est probable que ces prochaines années, ce cyber stress test soir plus aigu et doive être par exemple mené en temps réel et en mode simulation.