Défaillances technologiques dans le secteur financier

Les entreprises financières européennes ont été confrontées à des milliers d’incidents de sécurité liés aux technologies l’an dernier, la plupart étant attribuables à des défaillances de systèmes, selon un rapport publié par les autorités de réglementation du secteur.

Les Autorités européennes de surveillance — qui regroupent les régulateurs des marchés financiers, des banques, des assurances et des fonds de retraite — ont publié leur premier examen annuel des principaux incidents technologiques, dont la déclaration aux autorités est devenue obligatoire en vertu du Règlement sur la résilience opérationnelle numérique (DORA), entré en vigueur l’an dernier.

L’analyse des déclarations effectuées par le secteur montre notamment que ces risques technologiques « sont de plus en plus transfrontaliers et interconnectés ».

Selon le rapport, les établissements financiers ont signalé 3 383 incidents majeurs au cours de l’année, dont un tiers ont eu « des répercussions transfrontalières, ce qui souligne l’interconnexion croissante découlant des infrastructures et des services partagés ».

En vertu du règlement, les incidents technologiques majeurs sont ceux qui ont « un effet négatif important sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes d’une entité financière ».

Les principales causes de ces incidents ont été les défaillances de systèmes et d’autres « événements externes », indique le rapport, ce qui « met en évidence la nécessité d’une gestion rigoureuse des risques liés aux tiers, d’une surveillance efficace des services externalisés et d’une étroite coordination avec les fournisseurs de services lors des interventions et des mesures correctives ».

Les données révèlent que seulement 10 % des incidents signalés étaient liés à des atteintes à la cybersécurité. Selon les autorités, cela « semble indiquer que les mesures de protection et les mécanismes de détection existants ont généralement permis de limiter la survenance de ce type d’incidents ».

Elles ont néanmoins averti que « l’évolution récente d’outils très performants fondés sur l’intelligence artificielle devrait inciter les entités financières à renforcer leurs mesures de cybersécurité afin de préserver leur résilience ».

Quant au nombre élevé d’incidents technologiques majeurs, le rapport précise qu’il ne faut pas nécessairement y voir une faiblesse du secteur financier.

« La numérisation croissante, la complexité et l’interconnexion du secteur financier rendent, dans une certaine mesure, les incidents opérationnels inévitables », indique-t-il.

Le rapport souligne également que la plupart de ces incidents ont eu des répercussions « limitées » sur les clients, les opérations et les contreparties des entreprises.

Selon les autorités, les conséquences limitées pour les clients indiquent que les efforts déployés par le secteur pour détecter et corriger ce type d’incidents « ont souvent permis de limiter les dommages opérationnels et les effets de contagion ».

En définitive, les résultats de cette première année de déclaration obligatoire « illustrent la dimension systémique croissante des risques liés aux technologies de l’information et des communications ainsi que l’importance de la résilience et de la surveillance pour renforcer la capacité du secteur financier à prévenir les incidents futurs, à en absorber les effets et à s’en remettre ».