Accueil Revues Revue Numéro Résumé

Revue d'économie financière

2015/4 (n° 120)


ALERTES EMAIL - REVUE Revue d'économie financière

Votre alerte a bien été prise en compte.

Vous recevrez un email à chaque nouvelle parution d'un numéro de cette revue.

Fermer

Article précédent Pages 181 - 198 Article suivant

Résumé

Français

Si les cyberattaques n’ont eu jusqu’à présent qu’une incidence limitée sur le secteur financier français, elles représentent néanmoins une menace sérieuse pour les établissements bancaires et les organismes d’assurance en termes de sécurité des systèmes d’information, de continuité d’activité et de protection des données. L’émergence de ces nouveaux risques suscite une attention élevée de la part des superviseurs. La réglementation sur le contrôle interne et sur la gestion du risque opérationnel constitue le socle des dispositifs de prévention mis en place, qui doivent s’accompagner du développement d’une veille proactive permettant de repérer l’évolution des menaces et de définir les moyens de se protéger. Les axes de progrès prioritaires identifiés par l’ACPR (Autorité de contrôle prudentiel et de résolution) concernent la gestion des droits d’accès et les outils de détection des intrusions dans le système d’information. La coopération entre tous les acteurs, publics et privés, apparaît en outre primordiale, tant pour mener des exercices de place et tester la robustesse des entreprises que pour améliorer l’identification des menaces par des échanges d’informations accrus. L’action du superviseur doit enfin s’inscrire dans un cadre européen et international afin de garantir la coordination des initiatives.
Classification JEL : G21, G28.

English

Financial Institutions and CybercrimeAlthough cyber-attacks have so far had a limited impact on the French financial sector, they represent a serious threat to IT security, business continuity and data protection for banking institutions and insurance companies. The emergence of these new risks is a matter of special attention for the supervisors. Regulations on internal control and management of operational risk form the cornerstone of the prevention frameworks already in place, that have to be completed by the development of a proactive monitoring allowing to identify the evolving threats and to define the appropriate protection tools. The ACPR considers that progress has to be made in priority in implementing more efficient access right management and IT intrusion detection systems. Cooperation between public and private stakeholders is key, both for conducting industry-wide exercises allowing to test the companies’ robustness and for improving the identification of threats with an increased exchange of information. Finally, the action of the supervisor must be part of a European or international framework, in order to ensure the coordination of initiatives.
Classification JEL: G21, G28.

Plan de l'article

  1. Les cyberattaques représentent désormais une menace réelle pour le secteur financier
    1. De nouvelles techniques d’attaque sont mises en œuvre, mais elles renvoient à des risques déjà bien identifiés
    2. L’intensification des menaces requiert cependant un renforcement des mesures de protection
  2. Quelles sont les actions entreprises par les institutions financières ?
    1. La réglementation relative au contrôle interne et à la gestion du risque opérationnel constitue un cadre de référence toujours pertinent
    2. Les banques et les assurances adaptent leurs dispositifs de protection et développent une activité de veille
      1. L’adaptation des banques au risque de cyberattaques
      2. L’adaptation des organismes d’assurance au risque de cyberattaques
  3. La prévention de la cybercriminalité implique un renforcement de la coopération entre autorités
    1. Le rôle du superviseur prudentiel se concentre sur le volet préventif
    2. Le contrôle des dispositifs de cybersécurité par le superviseur doit pouvoir s’appuyer sur des équipes spécialisées
    3. Les institutions internationales ont l’obligation de coordonner leurs efforts face à l’importance de la menace
  4. Plusieurs enseignements concrets peuvent déjà être tirés des contrôles menés par le superviseur
    1. Les contrôles sur place font ressortir deux points d’amélioration prioritaires : la gestion des droits d’accès et les outils de détection
    2. L’ACPR oriente plus généralement son action dans quatre directions
      1. Inciter les institutions supervisées à s’organiser efficacement pour répondre à la menace de cyberattaques
      2. Améliorer l’identification de la menace avec un recensement centralisé des attaques au niveau européen
      3. Adapter le suivi du risque opérationnel pour mieux tenir comptedes spécificités du risque de cyberattaques
      4. Favoriser la coopération entre tous les acteurs publics ou privés

© 2010-2014 Cairn.info
back to top
Feedback