Au cours de l’année qui s’est achevée en octobre, la FCA a révélé une augmentation de 138 % des pannes technologiques signalées, 18 % d’entre elles étant liées à la cybercriminalité. L’autorité de régulation a qualifié ces augmentations de « significatives » et exhorte les entreprises de services financiers à faire davantage pour réduire les risques. S’exprimant à Londres, Megan Butler, directrice exécutive de la supervision de la FCA, a présenté les conclusions de son nouveau rapport, Cyber and Technology Resilience : Themes from cross-sector survey 2017-2018. Cette enquête, menée auprès de quelque 300 entreprises, vise à montrer comment le secteur gère ses risques technologiques.
Il est clair que des améliorations sont possibles et Butler a lancé un avertissement sévère, déclarant que sur la base des données de la FCA, « nous ne voyons pas de fin immédiate à l’escalade des incidents technologiques et cybernétiques qui affectent les services financiers britanniques ». L’autorité de régulation appelle à une approche plus résiliente et les conseils contenus dans le rapport sont les suivants :
Ne retardez pas la mise à niveau lorsque c’est nécessaire
La FCA a constaté que près de la moitié des entreprises n’ont pas mis à niveau ou retiré à temps leurs anciens systèmes informatiques.
Pouvoir gérer l’efficacité des contrôles
Seules 56 % des entreprises déclarent pouvoir mesurer l’efficacité de leurs contrôles des actifs informationnels.
Personnel à haut risque et culture de la sécurité
Si 90 % des entreprises ont déclaré avoir mis en place une forme de programme de sensibilisation à la cybernétique, elles ont exprimé des difficultés à identifier et à gérer leur personnel à haut risque. Il s’agit notamment des cadres supérieurs et de leurs assistants, des RH, des financiers et de toute autre personne disposant d’un accès privilégié. Même lorsque ces personnes ont pu être identifiées, seules 47 % des entreprises ont déclaré avoir dispensé une formation supplémentaire, continue et régulière. Ainsi, de nombreuses personnes sont vulnérables aux incidents cybernétiques à haut risque. Dans de nombreux cas, ce risque est aggravé par l’absence simultanée de surveillance des activités du personnel, de sorte que les entreprises ont peu de chances de détecter les anomalies dans le comportement du personnel et les activités qui en découlent. La FCA a déclaré qu’elle souhaitait voir davantage de preuves d’une culture de la sécurité qui s’étend à l’ensemble de l’organisation et qui permet de relier la cyberactivité à d’autres problèmes de conduite.
Le changement est synonyme de danger potentiel
Les grands projets de changement comportent des risques élevés, mais la FCA affirme que les services financiers ont tendance à faire preuve d’un « excès de confiance » lorsqu’ils les entreprennent. Pourtant, ses données montrent que cela n’est pas justifié, puisque quelque 20 % des incidents signalés au cours des 12 derniers mois étaient explicitement liés à des faiblesses dans la gestion du changement.
Gérer le déficit de connaissances
La FCA reconnaît qu’il existe une grave pénurie de compétences dans le domaine de l’informatique et de la cybersécurité. Mais les entreprises doivent trouver des solutions pour s’assurer qu’elles ont accès à l’expertise et trouver des moyens d’améliorer leurs connaissances, que ce soit en faisant appel à des consultants ou en profitant de la formation et des exercices de simulation pour tester leurs technologies de l’information. Les employés doivent être correctement formés et soutenus pour résister aux attaques.
Mettre l’accent sur la continuité
De meilleures normes de résilience opérationnelle peuvent être atteintes en se concentrant sur la continuité des services les plus importants de l’entreprise et en cherchant des moyens d’éviter toute perturbation des services vitaux.
Pas de solution unique
La FCA admet qu’il n’y a pas de réponse facile et souligne, par exemple, que même lorsque des informaticiens hautement qualifiés sont nommés au conseil d’administration, cela peut poser des risques en diluant la responsabilité commune. De plus, les connaissances peuvent rapidement devenir obsolètes. Cela signifie que la question de la connaissance, de la formation et de la sensibilisation doit rester une priorité. La spécialisation en informatique est loin d’être une panacée – l’autorité de régulation souligne également que la culture créée par les conseils d’administration est fondamentale pour la réussite d’une stratégie de cybersécurité. Une culture positive de la sécurité devrait permettre de créer une entreprise résiliente, les employés étant les yeux et les oreilles de l’entreprise pour réagir et répondre rapidement aux menaces. En effet, M. Butler a souligné que des facteurs tels que la formation, les plans de sauvegarde et les options de réponse et de récupération ne concernaient pas uniquement les technologies de l’information. « Ce n’est pas la technologie qui est en cause lorsque les choses tournent mal. Ce sont les systèmes classiques et les défaillances de contrôle qui sont en cause. Si la FCA dit s’attendre à ce qu’il n’y ait aucune défaillance, elle demande également plus d’efforts, déclarant qu’il est « très préoccupant de voir que beaucoup d’entreprises semblent encore essayer d’avoir les bonnes bases en matière de cybernétique » et qu’elles ne procèdent pas à des évaluations régulières de la cybernétique. Alors que certaines des plus grandes entreprises ont automatisé leurs systèmes de détection pour repérer les cyberattaques potentielles, les plus petites entreprises « s’appuient généralement sur des processus manuels de la vieille école – ou n’ont pas de processus du tout ». Les risques augmentent et M. Butler a souligné que les cybercriminels abaissaient continuellement les barrières techniques à l’entrée et que « le résultat est que le niveau de menace actuel est remarquable ». Un appel à l’action a été lancé et le régulateur souhaite qu’il soit entendu.