Cybersécurité : les banques d’affaires en première ligne face aux hackers

Cybersécurité : les banques d’affaires en première ligne face aux hackers
⏱ Lecture 3 min

Par Haas Avocats

A l’instar des aéroports, les banques sont en première ligne face aux hackers.

Non seulement parce que celles-ci regroupent un nombre particulièrement important de données sensibles - sur les clients, les transactions, les opérations qu’elles permettent, voire supervisent - mais surtout, parce qu’elles jouent régulièrement le rôle d’intermédiaire auprès de leurs clients, les conduisant à récolter et conserver un certain nombre de données confidentielles. Une mine d’or pour les hackers.

Plus particulièrement, les banques d’affaires et les fonds d’investissement, dans leur rôle d’intermédiaires en matière d’opération de fusion-acquisition, présentent des vulnérabilités que les hackers n’hésitent pas à exploiter, et qui en font des cibles privilégiées.

Face à ce risque cyber en hausse constante ces dernières années, et à la sophistication des cyberattaques, la législation européenne s’est voulue à la fois ferme et ludique, notamment par la mise en œuvre d’un cyberscore (à la manière du nutriscore maintenant bien implémenté). En effet, depuis le 1er octobre 2023, toute plateforme doit se doter d’un cyberscore, résultat d’une auto-évaluation réalisée par un prestataire d’audit qualifié par l’ANSSI.

Les banques d’affaires, cibles privilégiées des hackers

En juin 2023, un hack lancé par le gang russe Clop, a ainsi visé l'un des principaux prestataires dans les opérations de fusions-acquisitions : la plateforme Datasite, conçue exclusivement pour ces opérations de M&A et permettant ainsi l’échange d’un certain nombre de documents confidentiels. Alors même que « Les données financières et de M&A sont parmi les informations les plus confidentielles qu'une organisation peut avoir », a commenté Ariel Zommer, responsable au sein du spécialiste de l'identité numérique Okta.

La réglementation européenne en matière de cybersécurité

C’est dans ce contexte qu’a été adopté le 10 novembre 2022 par le Parlement européen le règlement sur la résilience opérationnelle numérique dit « DORA » (Digital Operational Resilience Act), ayant pour vocation de renforcer la cybersécurité de l’ensemble du secteur financier.

Si celui-ci ne s’appliquera directement dans tous les Etats membres qu’à partir du 17 janvier 2025, les hackeurs n’ont pas attendu cette date pour agir, mais profitent au contraire de ces immenses chantiers de mise en conformité pour désorganiser les banques.

Or ce règlement est précisément axé sur la gestion des risques par les organismes financiers et leurs prestataires. Il se matérialise par des mesures cyber concrètes et strictes, traduction de la main de fer européenne dans un gant de velours.

Il devient ainsi primordial pour ces organismes d’entamer leur mise en conformité avec ces nouvelles règles protectrices.

La responsabilité de la banque pour défaut de sécurité

D’autant que la sécurité étant une obligation générale et de principe, la responsabilité de la banque peut être engagée par les victimes.

Dans tous les cas, le responsable de traitement est toujours en première ligne, y compris lorsqu’il a recours à plusieurs prestataires. En effet, le responsable de traitement pourrait ainsi être tenu responsable de la préservation de la sécurité des données, peu importe à cet égard que les opérations de traitement puissent être confiées à des sous-traitants[1].

Sécuriser ses données dans les banques d'affaires

La nécessité de sécuriser ses données est devenue à ce point vital que certaines entreprises vont jusqu’à demander à des hackers de les pirater afin d’évaluer les risques de leur système de protection. Loin d’être la solution la plus efficace, cela permet tout de même de se rendre compte de la vulnérabilité des données que contrôle l’entité.

Plusieurs pistes de réflexion existent et permettent, dans l’attente d’une mise en conformité totale avec le règlement DORA, de protéger les données, et notamment :

  • Mieux connaitre ses vulnérabilités en réalisant un diagnostic / audit de sûreté pour permettre d’anticiper une éventuelle cyberattaque ;
  • Ne pas avoir une confiance aveugle dans les logiciels antivirus : ce n’est pas parce qu’un logiciel antivirus a été mis en place que celui-ci est infaillible ;
  • Chiffrer ou crypter ses données : de nombreuses solutions de chiffrement existent afin de permettre la sécurisation des échanges sur internet.

 

***

Le département cybersécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise. Nos équipes se tiennent à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous.

 

[1] Conseil d’Etat, 30 décembre 2015, req. N°385019

Haas Avocats

Auteur Haas Avocats

Suivez-nous sur Linkedin