Le Conseil de stabilité financière (CSF) du G20 a appelé, dans un rapport publié le 19 octobre, à une harmonisation des règles et pratiques des États en matière de lutte contre les cyberattaques, dont la fréquence ne cesse d’augmenter.
Cybersécurité : l’absence de règles communes
Le Conseil de stabilité financière du G20 a mené un sondage auprès des banques centrales de plus de 30 États. L’objectif : connaître les pratiques des uns et des autres en cas de cyberattaque.
Si la réglementation de certains États oblige les banques centrales à informer les autorités de surveillance lorsqu’elles détectent un cyber incident, les règles ne sont jamais les mêmes. Ainsi, dans certains pays, l’incident doit être déclaré dès qu’il est constaté, tandis que dans d’autres, les institutions financières bénéficient d’un délai de 24 à 48 h.
Lorsque la cyberattaque est signalée aux autorités, celles-ci ne posent pas toujours suffisamment de questions. Selon le sondage du Conseil de stabilité financière, 80 % d’entre elles demandent les informations de base, comme la date et l’heure du cyber incident, ainsi que ses conséquences.
En revanche, les autorités de surveillance sont seulement 50 % à demander des informations plus précises, notamment les procédures mises en place par la banque centrale, l’infraction aux règles ou aux lois, ou encore la communication de l’évènement en externe.
3 axes de travail pour harmoniser les pratiques des États face aux cyberattaques
Cette absence d’harmonie entre les pratiques des différents États nuit, selon le rapport du Conseil de stabilité financière, à l’efficacité de la lutte contre le risque cyber. Le CSF, dont la principale mission est de définir les règles permettant de maintenir la stabilité du système financier, a annoncé son intention de publier un calendrier et un plan pour l’adoption de règles communes, d’ici fin 2021.
3 axes d’amélioration ont d’ores et déjà été suggérés par le Conseil de stabilité financière :
- l’adoption d’un vocabulaire commun,
- la définition d’informations minimales à délivrer aux autorités de surveillance,
- la définition de la nature des informations pouvant être transmises d’un État à l’autre.
Selon le Centre d’études stratégiques et internationales (CSIS) et la société de logiciels antivirus McAfee, les pertes mondiales dues aux cyberattaques en 2020 représentaient plus de 1 % du PIB mondial, soit 1 000 milliards de dollars, une hausse de 50 % en 2 ans.