Depuis la faillite forcée de la banque d’investissement Lehman Brothers, qui a déclenché la crise financière il y a dix ans, les régulateurs, les gestionnaires de risques et les banquiers centraux du monde entier se sont attachés à renforcer la capacité des banques à résister aux chocs financiers.

Mais la prochaine crise ne viendra peut-être pas du tout d’un choc financier. Le coupable le plus probable : une cyberattaque qui perturbe les capacités des services financiers, en particulier les systèmes de paiement, partout dans le monde.

Les criminels ont toujours cherché des moyens d’infiltrer les systèmes de technologie financière. Aujourd’hui, le système financier court le risque supplémentaire de subir des dommages collatéraux dans le cadre d’une attaque plus vaste contre les infrastructures nationales essentielles. Une telle attaque pourrait ébranler la confiance dans le système mondial des services financiers, ce qui provoquerait un blocage, une confusion ou une panique chez les banques, les entreprises et les consommateurs, ce qui pourrait à son tour avoir un impact négatif majeur sur l’activité économique.

La cybercriminalité à elle seule coûte aux pays plus d’un trillion de dollars à l’échelle mondiale, soit beaucoup plus que les dommages records de 300 milliards de dollars causés par les catastrophes naturelles en 2017, selon une analyse récente effectuée par la société Oliver Wyman. Nous avons classé les cyberattaques comme la plus grande menace à laquelle le monde des affaires est aujourd’hui confronté, devant le terrorisme, les bulles d’actifs et d’autres risques.

Une attaque contre un réseau de traitement informatique ou de communication pourrait causer des dommages économiques de 50 à 120 milliards de dollars, une perte se situant quelque part entre ceux des ouragans Sandy et Katrina, selon de récentes estimations. Pourtant, une attaque beaucoup plus large et plus débilitante n’est pas exagérée. Pas plus tard que le mois dernier, le Federal Bureau of Investigation a lancé un avertissement aux banques au sujet d’une attaque à grande échelle imminente connue sous le nom d’une grève des distributeurs automatiques de billets, au cours de laquelle des vagues de retraits frauduleux synchronisés drainent les comptes bancaires. En juillet, entre-temps, il a été révélé que des pirates informatiques travaillant pour la Russie avaient facilement pénétré dans les salles de contrôle des compagnies d’électricité américaines et auraient pu causer des pannes.

Comment une crise financière déclenchée par une cyberattaque peut-elle se produire ? Un scénario probable serait une attaque d’une nation voyou ou d’un groupe terroriste contre des institutions financières ou de grandes infrastructures. En Corée du Nord, par exemple, le groupe Lazarus, également connu sous le nom de Hidden Cobra, cherche régulièrement des moyens de compromettre les banques et d’exploiter les monnaies cryptées. Une attaque contre une banque, un fonds d’investissement, une société de garde, un réseau de guichets automatiques, le réseau de messagerie interbancaire connu sous le nom de SWIFT ou la Réserve fédérale elle-même serait un coup direct pour le système des services financiers.

Une autre possibilité serait qu’un soi-disant hacktiviste ou un amateur de « script kiddy » utilise des programmes malveillants (malware) pour lancer une cyber-attaque sans tenir dûment compte des conséquences. Une telle attaque pourrait avoir une réaction en chaîne, causant des dommages bien au-delà de l’intention initiale, parce que les règles, les normes de combat et les principes qui sont la sagesse conventionnelle dans la plupart des situations de guerre mais qui n’existent pas d’une manière significative dans l’arène numérique. Par exemple, en 2016, un script enfant a déclenché une vaste attaque par déni de service qui a eu des répercussions sur Twitter, Spotify et d’autres services Internet bien connus alors que des amateurs se sont joints à lui pour commettre ces méfaits.

Qu’une cyberattaque majeure soit délibérée ou quelque peu accidentelle, les dommages pourraient être considérables. La plupart des réseaux de ATM en Amérique du Nord pourraient geler. Les systèmes de cartes de crédit et autres systèmes de paiement pourraient échouer dans des pays entiers, comme ce fut le cas pour le réseau VISA au Royaume-Uni en juin. Les services bancaires en ligne pourraient devenir inaccessibles : pas d’argent comptant, pas de paiements, pas d’information fiable sur les comptes bancaires. Les banques pourraient perdre la capacité de transiger entre elles pendant une période critique d’incertitude. Il pourrait y avoir une panique généralisée, quoique temporaire.

Un tel résultat pourrait ne pas provoquer le genre de crise financière de longue durée qui a déclenché la Grande Récession, car l’argent serait probablement restitué aux banques et aux fournisseurs de paiements une fois que les systèmes seraient de nouveau en ligne. En même temps, il n’est pas clair comment une banque centrale, le pompier traditionnel de la crise financière, pourrait réagir à ce type de crise à court préavis. Une fois le problème réglé et la crise stoppée, une tâche colossale de redressement se profilerait à l’horizon. Ce serait encore plus difficile si les données étaient corrompues, manipulées ou rendues inaccessibles.

Comment prévenir un tel scénario ? Les entreprises doivent mettre en place des systèmes qui leur permettent d’arrêter la propagation d’une contagion de cyberattaques et de reprendre leurs activités aussi rapidement et facilement que possible. Le secteur des services financiers doit être tout à fait d’accord et prêt à mettre en pratique des stratégies coordonnées d’intervention et de redressement pour prévenir les pannes systémiques. Les régulateurs de nombreux pays ont travaillé avec diligence à la préparation et à la lutte contre les cyberattaques, mais ils doivent regarder au-delà de leurs propres frontières et introduire des réglementations, des lois et des cadres de coopération à l’unisson, comme la directive de l’Union européenne sur la sécurité des réseaux et de l’information, qui est conçue pour protéger une liste toujours croissante d’infrastructures critiques, des systèmes bancaires et de santé aux marchés et services cloud en ligne.

Bon nombre de ces mesures sont prises à des degrés divers. Mais il reste encore beaucoup à faire. Une attaque qui mine la confiance dans ces machines pourrait aussi avoir des conséquences débilitantes sur la circulation de l’argent entre les consommateurs, les entreprises et les institutions financières du monde entier.

 

Paul Mee (associé au sein du cabinet d’experts-conseils Oliver Wyman et dirige sa pratique en matière de cyber-risque.)
Til Schuermann (associé au sein du cabinet de services financiers d’Oliver Wyman et a été vice-président principal de la Federal Reserve Bank of New York pendant la crise financière.)

Publicités

1 commentaire »

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.