La « cyber » sécurité est un sujet qui est de plus en plus prioritaire dans les grandes entreprises, en ce y compris dans les organisations financières. Je ne suis pas un grand amateur de « buzz words » et « Cyber » ne fait pas exception à ce principe. Comme souvent, on utilise un nouveau mot que personne ne comprend réellement pour parler d’un sujet qui est déjà présent depuis bien des années. Dans ce cas-ci, la cyber sécurité couvre clairement le domaine de la sécurité informatique avec une certaine tendance à s’étendre jusqu’à la sécurité de l’information (qui n’est franchement pas uniquement Cyber). Quoi qu’il en soit, on ne va pas se plaindre si ça permet de sensibiliser un peu plus les conseils d’administration et autres « board of directors » aux problématiques de plus en plus importantes de la sécurité des systèmes d’information. D’autant plus que certaines entreprises plus sensibilisées que d’autres songent, si ce n’est déjà fait, à appointer un CCSO (Chief Cyber Security Officer, le nouveau nom à la mode pour la fonction de CISO ou de RSSI) comme membre de leur comité de direction, ce qui est la position hiérarchique idéale pour pouvoir mettre en place une gouvernance transverse de la sécurité au sein de l’entreprise.
La BIS (Bank for International Settlement), un organisme international regroupant les 60 banques centrales comptant pour 95% du PIB mondial, à publié en novembre 2015 son guide pour la cyber résilience des infrastructures critiques des marchés financier (Guidance on cyber resilience for financial market infrastructures).
Dans ce document de 25 pages, les experts du CPMI (Committee on Payments and Market Infrastructures) soulignent l’importance de la mise en place du gouvernance appropriée et d’une gestion des risques spécifiques afin de gérer les risques propres à chaque entité ainsi que les risques systémiques (ceux liés aux interdépendances entre les banques) posés par les nouvelles technologies et les « nouvelles » manières de travailler. A l’heure ou de plus en plus de banques et d’opérateurs d’infrastructure financières se penchent sur le phénomène blockchain, il est de plus en plus nécessaire d’avoir des personnes qui maîtrisent les enjeux des technologies, et des risques qu’elles représentent, qui soutiendront ces nouveaux produits (s’ils arrivent sur le marché).
En soi ce nouveau guide n’apporte pas de grandes nouveautés dans ses recommandations si ce n’est de souligner l’importance des échanges entre les différentes institution pour faire face aux menaces (il me semble que ces dernières années la sensibilisation aux risques systémiques a bien fonctionné dans le monde financier). Notons aussi l’éternel rappel au point 2.3.1 de l’ultime responsabilité du comité de direction pour définir la stratégie et s’assurer qu’elle est appliquée et efficace, pour ne pas dire efficiente. Les 2 points suivant remettant une couche sur la nécessité d’établir une réelle culture de la gestion des risques informationnels et de s’assurer que l’entreprise possède toutes les ressources qualifiées pour atteindre ses objectifs (ce qui reste un véritable challenge de nos jours, surtout si l’on regarde au delà des titres d’expert et des certifications). Pas étonnant d’ailleurs que celles-ci prennent part à des événements comme le Cyber Security Challenge pour trouver les perles rares qui vont les aider à relever les nombreux défis de la cyber sécurité.
Bref, un petit pas pour la BIS qui laisse entrevoir les nombreux autres petits pas à effectuer par nos institutions financières pour pouvoir survivre à l’aire digitale.