Les banques américaines devront informer les autorités fédérales des incidents de cybersécurité majeurs, dès le 1er avril 2022, selon une règle établie jeudi 18 novembre, par les régulateurs bancaires du pays. Elles disposeront pour cela d’un délai de 36 heures suivant leurs découvertes. Une nouvelle mesure censée permettre de mieux lutter contre le fléau que sont les rançongiciels.

Les autorités américaines ont nommé cette règle « Computer-Security Incident Notification Requirements for Banking Organizations and Their Bank Service Providers » (Exigences de Notification d'Incident de Sécurité Informatique pour les Organisations Bancaires et leurs Fournisseurs de Services).

Renforcer la cybersécurité

Dès le mois d’avril 2022, les établissements bancaires des États-Unis devront se montrer plus transparents, sur les attaques informatiques et les pannes. Ils se verront dans l’obligation d’informer leur organisme de réglementation fédéral de « tout incident informatique qui atteint le niveau d'un incident de notification » pouvant affecter le bon déroulement de leurs opérations financières, leurs capacités à fournir des services, ou susceptible de nuire au secteur financier américain. Cette nouvelle règle a notamment été approuvée par le Bureau du contrôleur de la monnaie, le Conseil des gouverneurs de la Réserve fédérale, et la Federal Deposit Insurance Corporation (FDIC).

Plusieurs types d’attaques sont concernés, notamment les attaques par déni de service (DDoS). Certains piratages peuvent empêcher les clients d’accéder à leurs comptes, et même voler leurs données bancaires et personnelles, ou encore impacter l'ensemble de l’écosystème financier de l’établissement.

Le secteur bancaire a indiqué de son côté avoir mené un important exercice de cybersécurité, afin de s’assurer que Wall Street et les différents établissements sauraient comment réagir en cas d’attaque. Autre nouvelle obligation importante, les banques devront avertir leurs clients d’un incident de cybersécurité, « dès que possible », si celui-ci entraîne des problèmes pendant 4 heures ou plus.

Ces règles s’appliqueront aux établissements réglementés par les trois agences bancaires que sont la FDIC, la Réserve fédérale, et le Bureau du contrôleur de la monnaie, ainsi qu’aux banques, d’après une déclaration de la FDIC à TechCrunch.

Les banques n’échappent pas au fléau des rançongiciels

Cette règle constitue une attente nouvelle quant à la rapidité avec laquelle une banque doit signaler un problème informatique important. Elle démontre aussi que l’exigence envers les banques en matière de cybersécurité et de transparence augmente de plus en plus, en même temps que les attaques informatiques.

« Les cyberattaques ciblant le secteur des services financiers ont augmenté en fréquence et en gravité ces dernières années. Ces cyberattaques peuvent affecter négativement les réseaux, les données et les systèmes des organisations bancaires et, en fin de compte, leur capacité à reprendre leurs activités normales », explique le rapport instaurant cette règle.

Cette exigence envers des établissements bancaires a été proposée une première fois en décembre, par les régulateurs financiers américains. Mais la règle a été retoquée, après une levée de bouclier de certains industriels, comme la Bank Policy Institute, qui soutient la version finale. Au départ, elle prévoyait que les banques ne signalent les incidents que si elles « croyaient de bonne foi » en avoir subi un suffisamment important. Cet aspect a été modifié, certains acteurs du secteur estimant justement qu'il n’était pas assez précis, que cela donnerait lieu à trop de déclarations.

Ces dernières années, les rançongiciels se sont multipliées, jusqu’à devenir un véritable fléau. Les banques n’échappent pas au phénomène, et sont elles aussi victimes, comme la Banque centrale de Nouvelle-Zélande, au début de l’année. Cela explique en partie que les autorités étatiques s’emparent du sujet et se montrent plus exigeantes avec les différents organismes touchés. Concernant les établissements bancaires, leurs services se digitalisent, les rendant plus vulnérables aux attaques informatiques. De quoi justifier encore un peu plus la volonté de transparence et d’encadrement.