Par Stéphane Astier & Anna Tchavtchavadzé
La sécurité informatique est un enjeu majeur pour le secteur financier.
Banques, assurances, sociétés de gestion poursuivent leur mutation digitale et se retrouvent particulièrement exposées aux attaques informatiques : chaque nouvelle application bancaire, chaque nouvel objet connecté déployé par une compagnie d’assurance, chaque interconnexion et accès ouvert aux partenaires, courtiers, fournisseur est en effet une porte d’entrée supplémentaire pour des hackers dotés de moyens de plus en plus performants.
Durant l’été 2018 Cosmos Bank a ainsi été victime d'une attaque visant son serveur de distributeurs de billets qui a donné lieu en à peine 2 heures à un détournement de 13,5 millions de dollars. Plus de 14.000 opérations de retraits frauduleux à des distributeurs répartis dans 28 pays différents ont été lancé par les hackers qui sont parvenus à pirater le système de transaction interbancaire Swift[1]. Plus récemment, Capital One, le troisième plus gros émetteur de cartes de crédit aux Etats-Unis, a annoncé lundi 29 juillet 2019 avoir été victime d'un hack visant les données de près de 100 millions de clients ou prospects[2]. La Banque Central Européenne a elle-même été touchée, victime d’une faille de sécurité déclarée en août 2019 suite à l’injection de logiciels malveillants dans ses serveurs[3]… et il ne s’agit que de quelques exemples ayant transpercé l’actualité.
Pour éviter de sombrer dans le cyber chaos, les acteurs se mobilisent et accentuent leurs efforts pour renforcer leur position : outils de sécurisations, certification, audit de sécurité etc. participent à cet objectif.
D’un côté l’augmentation des risques qu’ils soient d’ordre technique (perte, vol de données), juridique (sanction des autorités de contrôle) ou d’image (perte de confiance des clients et des partenaires) pousse les directions du secteur bancaire à agir, de l’autre, l’explosion des coûts liés à la sécurité des systèmes d’information ainsi que le risque de perdre toute fluidité dans le parcours et l’expérience client constituent des freins qu’il serait peu judicieux d’ignorer.
Afin de concilier ses problématiques et de piloter au mieux les actions à mener en ce domaine, il est avant tout déterminant d’identifier les principales contraintes réglementaires et légales susceptibles d’impacter la mise en œuvre de politique de sécurisation dans le secteur financier.
Observons ici qu’au niveau européen comme au niveau national, plusieurs textes ont progressivement vu le jour afin d’accompagner la mutation digitale du secteur financier et des enjeux de sécurité qui l’accompagne. L’occasion d’un tour d’horizon afin d’identifier les différentes obligations à respecter mais également les différentes autorités en charge de contrôler le respect de ces obligations.
Pour les banques, la deuxième [4] directive sur les services de paiement (DSP2), entrée en vigueur le 13 janvier 2018, a été suivie de standards techniques réglementaires[5] (RTS) applicables depuis le 14 septembre 2019.
La DSP 2 impose une réglementation plus stricte qu’auparavant en matière de sécurité dans le secteur financier.
En effet, elle met en place des mesures de sécurité renforcées afin de protéger les utilisateurs de services de paiement et de réduire le nombre de fraudes :
Les normes techniques de réglementation ont été élaborées par l’Autorité bancaire européenne (ABE) et validées par la Commission européenne. Elles viennent fixer les exigences auxquelles les PSP doivent satisfaire pour garantir la sécurité des opérations de paiement conformément aux dispositions de la DSP 2 :
Ces dispositions s’inscrivent dans une volonté d’établir un système de partage d’informations entre les différents acteurs afin de lutter de manière plus efficace contre les risques de cyberattaques.
La DSP 2 et la RTS font intervenir l’Autorité de contrôle prudentiel et de résolution (ACPR) et la Banque centrale européenne (BCE) qui se chargent de surveiller et de contrôler la bonne application des règles établies.
L’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD), le 25 mai 2018 [6], a poussé de nombreux acteurs à se mettre en conformité en prenant des mesures considérables afin d’assurer la sécurité et la confidentialité de leurs traitements.
Le RGPD insiste sur le renforcement de certains principes :
En matière de protection des données personnelles, l’autorité de contrôle compétente est la Commission nationale de l’informatique et des libertés (CNIL).
La directive Network and Information Security[7] (NIS) du 6 juillet 2016 a élargi à de nombreuses entreprises l’obligation de renforcer leurs systèmes de sécurité. Elle concerne la mise en œuvre de mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information au sein de l’Union européenne.
En France, cette directive a été transposée par une loi du 26 février 2018. Elle établit des exigences en matière de sécurité et de notification pour les :
Elle fixe également des obligations aux Etats membres pour l’adoption d’une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information et souhaite instituer un groupe de coopération.
Par ailleurs, la loi relative à la programmation militaire pour les années 2019 à 2025[8], du 13 juillet 2018 (LPM), a également étendu ces obligations aux opérateurs de communication électronique ainsi qu’aux hébergeurs. En effet, les cyberattaques peuvent toucher des acteurs de domaines de plus en plus variés, ainsi, il était important d’étendre la réglementation à d’autres types d’organismes.
Ces deux derniers textes sont soumis au contrôle de l’Agence nationale de sécurité des systèmes d’information (ANSSI).
***
Cet ensemble de textes démontre la nécessité d’associer une expertise juridique à l’expertise technique lorsque l’on souhaite piloter une démarche globale de sécurisation des systèmes d’information qu’il s’agisse du réseau de l’entreprise, d’application mobile, d’objets connecté, d’immeubles intelligents ou autres intelligences artificielles.
L’obligation de documentation, la sensibilisation du personnel, la formalisation de procédures dont devra justifier la société de gestion, la compagnie d’assurance ou encore le courtier sont autant d’éléments clés impliquant une parfaite connaissance de la réglementation et des réponses techniques à y apporter en vue d’une sécurisation globale de l’activité.
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans de nombreux domaines notamment en matière de cybersécurité. Si vous souhaitez avoir plus d’information sur les mesures nécessaires à mettre en place, Contactez-nous ici
[1] Cf. https://www.lesechos.fr/finance-marches/banque-assurances/les-cyberattaques-nouveau-risque-systemique-bancaire-139603
[2] Cf. https://www.latribune.fr/entreprises-finance/banques-finance/piratage-bancaire-comment-100-millions-de-personnes-ont-ete-touchees-par-un-vol-de-donnees-824884.html
[3] Cf. https://www.bfmtv.com/economie/la-bce-victime-d-un-piratage-informatique-sur-un-site-d-information-bancaire-1749645.html
[4] Directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur
[5] Règlement délégué (UE) du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication
[6] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[7] Directive (UE) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union
[8] Loi n°2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019-2025 et portant diverses dispositions intéressant la défense