L’électronisation des marchés financiers conduit à l’émergence de nouveaux risques, et favorise les cyberattaques.
La généralisation de l’utilisation d’algorithmes génère des risques importants avec des conséquences potentiellement négatives sur les marchés financiers.
Vulnérabilité des marchés financiers
Ces attaques peuvent aussi bien concerner les infrastructures de marché, (les plateformes de négociation, les chambres de compensation ou les dépositaires centraux) que les acteurs financiers (intermédiaires financiers, sociétés de gestion…).
Ces acteurs sont des victimes potentielles de ces nouvelles formes de vulnérabilités qui peuvent prendre la forme :
- d’actes contrevenant aux lois nationales effectués dans le cyberespace ou au moyen d’un système informatique (cybercriminalité) ;
- de piratages informatiques qui permettent d’accéder à des informations tenues secrètes, l’objectif étant d’en tirer un avantage personnel, économique ou patrimonial (le cyberespionnage) ;
- de risques de guerre informatique exposant les entreprises qui sont sur le territoire d’Etat étranger dans laquelle un conflit classique dont au moins une des composantes s’appuie sur le champ informatique ou numérique.
Les exemples les plus spectaculaires de cyberattaques récentes montrent que le préjudice peut être très important tant en termes de pertes financières directes qu’indirectes.
Ainsi, l’attaque du groupe « Carbanak » en 2013 a, par exemple, généré une perte financière directe évaluée à 1 milliard de dollars pour les banques visées. Il s’agissait d’une fraude très sophistiquée qui permettait, en reliant à un distributeur automatique de billets un ordinateur sur lequel était installé un logiciel malveillant de type Carberp par l’entremise d’un VPN (réseau privé virtuel), d’obtenir de l’argent sans avoir besoin d’une carte bancaire.
Toutefois les montants les plus importants ont été dérobés en manipulant les balances des comptes bancaires qui étaient infectés. Les réseaux SWIFT de transfert d’argent ont été mis à contribution et les bases de données Oracle ont été manipulées pour transmettre des fonds entre différents comptes en utilisant le réseau bancaire interne des banques corrompues.
Cette fraude résultait d’une exploitation de failles de Microsoft Office 2003, 2007 et 2010 ainsi que de Microsoft Word. Les pirates envoyaient des messages infectés provenant supposément de collègues dans d’autres banques. Lorsque l’employé cliquait sur ce message, cela téléchargeait un code malicieux (Carbanak) qui permettait ensuite aux pirates de se promener sur le réseau bancaire jusqu’à trouver les employés en charge des systèmes de transfert de cash ou reliés à distance aux distributeurs d’argent.
L’exploitation de failles de sécurité, permettant le vol de données bancaires, peut, en sus des pertes financières, porter considérablement atteinte à l’image de la société victime du vol. Ainsi, la chaine de magasins Target aux Etats-Unis a subi un vol de données de plus de 110 millions de clients qui a sérieusement nuit à son image.
En plus des numéros de cartes et des codes PIN (« cryptés », selon la chaîne de magasins), des informations concernant environ 70 millions d’autres clients (nom, e-mail…) ont été dérobées. Le type de carte de paiement et de crédit le plus répandu aux Etats-Unis n’est pourvu que d’une simple bande magnétique, ce qui facilite les attaques par la technique du « skimming » (captation des données sur la piste). Les cartes à puces utilisées majoritairement en France – et en Europe –, stockent les informations de façon beaucoup plus sécurisée.
Les impacts Informatique et libertés
Afin de prévenir la survenance de toute faille de sécurité, la loi Informatiques et libertés contraint le responsable du traitement à mettre en œuvre des mesures de sécurité.
L’article 34 de la loi (1) définit la notion de faille de sécurité ou de violation de données à caractère personnel comme :
« Toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel ».
Entrent dans le champ d’application de la notion de faille de sécurité :
- les failles accidentelles qui proviennent d’une faute, d’une erreur ou d’une négligence ;
- les failles résultant de défaut des progiciels inconnus du responsable de traitement ou de son sous-traitant ;
- les failles ouvertes au moyen de procédés illicites.
Pour prévenir ce genre d’attaques, il est nécessaire que les acteurs des marchés financiers mettent en œuvre, dès à présent, de façon active, des règles garantissant l’approche privacy by design ainsi que l’approche security by design prônées par le règlement européen sur la protection des données personnelles du 27 avril 2016 (2).
Directive Network Security and Information
L’obligation de sécurité pour les acteurs des marchés financiers est renforcée par la nouvelle directive européenne Network Security and Information (3). Cette dernière définit les mesures que devront adopter les opérateurs de services essentiels sur les pratiques de gestion des risques et de notification des incidents de sécurité afin de promouvoir une culture de gestion des risques et de faire en sorte que les incidents les plus graves soient signalés.
Notion d’opérateur de services essentiels
L’annexe C de la directive considère que les infrastructures de marchés financiers constituent des opérateurs de services essentiels.
Les Etats membres devront pour le 9 novembre 2018 au plus tard, identifier les opérateurs de services essentiels, pour chaque secteur et sous-secteur. Il appartiendra à chaque Etat membre d’appliquer les critères d’identification détaillés à l’article 5 de la directive :
« a) une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques;
b) la fourniture de ce service est tributaire des réseaux et des systèmes d’information; et
c) un incident aurait un effet disruptif important sur la fourniture dudit service ».
Les marchés financiers sont tenus de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités.
De surcroit, ils devront, lors de la survenance d’un incident qui a un impact significatif sur la continuité de leurs services, notifier cet incident. Cette notification n’accroît pas la responsabilité de la partie qui en est à l’origine.
Cette mesure pourra être difficile à contrôler tant elle relève de l’appréciation des entreprises. Cependant, les Etats devront mettre en œuvre les moyens nécessaires pour vérifier que les opérateurs de services essentiels mettent en œuvre ces contrôles.
Enfin, les opérateurs de services essentiels, dont les marchés financiers, devront prendre les mesures appropriées en vue de prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d’information utilisés pour la fourniture de ces services essentiels ou d’en limiter l’impact, en vue d’assurer la continuité de ces services.
Frédéric Forster
Charlotte Le Fiblec
Lexing Droit Télécoms
(1) loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés modifiée.
(2) Règlement européen 2016-679 du 27-4-2016 relatif à la protection des données personnelles.
(3) Directive (UE) 2016/1148 du 6-7-2016.