En pleine crise ukrainienne, la Banque centrale européenne (BCE) a appelé les banques à renforcer leur contrôle des risques, notamment face aux cyberattaques.
Le but des cybercriminels est de créer un effet de panique et un risque systémique. Les conséquences de la cyberattaque se transmettent bien au-delà de la banque centrale dans l’ensemble du système bancaire national avec des dommages au système économique dans son ensemble.
C’est exactement ce qui s’est passé cette semaine en Tunisie dans la matinée du mercredi 23 mars 2022 : la Banque Centrale de Tunisie (BCT) a subi une attaque cybernétique. Heureusement, les efforts coordonnés des services informatiques de la BCT et ceux de l’Agence Nationale de la Sécurité Informatique (ANSI) ont limité les dégâts. Il y aura moins de perturbations sur certaines de la BCT et la continuité des services en relation avec le système bancaire national et international.
Il faut dire que le cas de la BCT n’est pas isolé. Tous les signaux sont au rouge par rapport au nombre de cyberattaques en 2022. Ce nombre est de plus en plus croissant depuis le début de la guerre en Ukraine. La plupart des attaques visent les banques centrales. Ces attaques bloquent aussi les opérations des banques nationales. Dans certains cas, les montants dans les comptes des clients sont soit faux ou disparaissent carrément.
Le président du conseil de surveillance prudentiel de la BCE a demandé, jeudi 10 février 2022, aux banques de s’assurer de disposer d’assez de personnel compétent pour traiter ce risque. La BCE incite les banques à mener des tests d’intrusion (penetration testings) pour mesurer la solidité de leurs défenses.
C’est vrai ; il faut renforcer les dispositifs internes dans le domaine de la sécurité informatique et la cybersécurité, mais aussi et surtout au niveau managérial. L’infrastructure informatique des banques centrales doivent être classée comme une infrastructure nationale critique (Secret Defense dans la jargon militaire) et bénéficiée du niveau le plus élevé de sécurité informatique sur la base du standard international ISO/IEC27001.
Je suggère à la BEAC de s’y pencher le plutôt possible en renforçant la gouvernance interne de la sécurité informatique et la cybersécurité: ISO/IEC 27002:2022 (révision de 2013) fournit un cadre (matrice RASCI) qui aide à améliorer la posture de sécurité de toute organisation.