Les bonnes pratiques de sécurité prévoient de réévaluer périodiquement les moyens de protection mis en oeuvre dans chaque environnement. Vis-à-vis des cyber-risques, ce principe est également valable et peut prendre plusieurs formes comme par exemple:
- vérification du renforcement (hardening) au niveau du réseau, des systèmes, des middlewares, bases de données et applications;
- scan de vulnérabilités;
- tests d’intrusion (internes et externes);
- revue de code;
- …
Sur le principe de What’s get measured gets managed, de tels audits périodiques permettent d’identifier des failles et des vulnérabilités. Il reste ensuite à boucher les trous de sécurité détectés et ainsi réduire des impacts potentiels en termes de confidentialité, intégrité, disponibilité ou traçabilité.
A l’instar des stress tests périodiques effectués dans le domaine financier, le régulateur européen souhaite également insitutionaliser cette bonne pratique à la sécurité. Il s’agit donc d’une bonne initiative qui devrait encore améliorer la sécurité des banques et apporter une assurance supplémentaire pour leurs clients. A suivre.
Des stress tests aux cyberattaques pour les banques ?
Après la robustesse financière des banques, que l’Autorité bancaire européenne ( ABE) met à l’épreuve régulièrement depuis 2010, les « stress tests » pourraient bientôt porter sur la vulnérabilité informatique des grands établissements de l’UE : selon l’agence Reuters, la Commission européenne et l’ABE envisagent de soumettre les banques à des tests de résistance sur la cybersécurité.
EU Member States Should Stress-Test Banks’ Cyber Risks
Concerns about the SWIFT bank messaging system have spooked the EU.
EU member states should stress-test banks’ cyber risks -European Banking Authority chairman
BEIJING (Reuters) – Domestic authorities in European Union member states should stress-test their financial institutions for cyber risks, a top E.U. supervisor said, warning banks might be required to hold extra capital as a buffer against what is an emerging threat.
