Le Comité européen du risque systémique, chargé de surveiller le système financier de l’Union européenne, a appelé les autorités à mieux communiquer auprès du public en cas de cyberattaque. L’objectif est d’éviter une perte de confiance dans le système financier, en mettant en place une stratégie de communication informant sur les questions de cybersécurité. Détails.
Communiquer pour éviter une perte de confiance dans le système financier
Lorsqu’une entreprise subit une cyberattaque, il est fréquent qu’elle préfère ne pas en informer ses clients pour ne pas perdre leur confiance. Cette réaction a toutefois des conséquences dommageables pour d’autres entreprises, qui sont plus susceptibles d’être à leur tour victimes d’un piratage dans le cadre d’une attaque « de rebond », les pirates utilisant les données de la première entreprise pour en attaquer une deuxième.
Les entreprises ne sont pas les seules à vouloir garder le secret en cas de cyberattaque : les autorités financières sont souvent tentées de faire de même, mais les conséquences peuvent être encore plus lourdes.
D’après le dernier rapport « Mitigating systemic cyber » du Comité européen du risque systémique (CERS) de janvier 2022, en gardant le silence en cas de cyberattaque, ou en ne communiquant que partiellement, les autorités risquent d’amener les ménages à perdre confiance dans le système financier, et de permettre aux cyber incidents de prendre plus d’ampleur.
« Une coordination et une communication précoces en cas de cyber incident susceptible de devenir systémique peut aider à détecter plus rapidement un tel incident, à maintenir la confiance dans le système financier et à limiter les effets de contagion sur les autres institutions financières, empêchant ainsi l’incident de devenir systémique », peut-on lire dans le rapport à la page 23.
Cybersécurité : 3 propositions pour une meilleure information du public
Pour que les autorités financières puissent mieux communiquer auprès du public, le Comité européen du risque systémique fait 3 propositions.
Tout d’abord, le CERS invite les autorités financières internationales à mieux communiquer entre elles. Elles doivent avoir déterminé en amont le niveau commun d’information qu’elles fourniront au public, et le moment où ces informations seront divulguées, pour communiquer de façon coordonnée.
Ensuite, le CERS conseille aux autorités financières de préparer à l’avance des éléments de communication. En effet, certains scénarios se répètent, et permettent de prédéfinir un plan de communication pour réagir le plus rapidement possible et éviter une panique généralisée.
Enfin, le Comité européen du risque systémique appelle les autorités financières à ne pas oublier les réseaux sociaux, et à prévoir à cet effet une stratégie de communication spécifique, afin de lutter contre la propagation des fake news et d’anticiper le risque de perte de confiance dans le système financier.
Ces questions sont d’autant plus importantes que le risque cyber s’est considérablement accru. Selon le baromètre annuel du cabinet Anozr way, les données volées commercialisées sur le darknet ont augmenté de 200 % entre les mois de juillet et de novembre 2021.
En France, selon ce même baromètre, le secteur financier a subi 20 % des cyberattaques recensées en 2021, ce qui en fait le secteur le plus menacé par le risque cyber. Le commerce occupe la deuxième position, avec 17 % des attaques, suivi du secteur scientifique et technique, qui a été la cible de 16 % des attaques.