Les banques européennes doivent encore améliorer leur cyber-résilience

La Banque centrale européenne (BCE) a publié, le 26 juillet 2024, les conclusions d’un test de cyber-résilience mené auprès de 109 banques de la zone euro. Il « visait à évaluer comment les banques réagiraient à un incident de cybersécurité grave mais plausible, et comment elles s’en remettraient », lit-on dans le communiqué de la BCE. 28 organismes sur les 109 ont d’ailleurs fait l’objet de contrôle plus approfondis. 

« L’exercice, qui a débuté en janvier 2024, s’articulait autour d’un scénario fictif dans lequel toutes les mesures préventives échouaient tandis qu’une cyberattaque dégradait gravement les bases de données des systèmes centraux de chaque banque. Il s’agissait donc davantage d’observer comment les banques réagiraient à une cyberattaque et s’en remettraient que d’examiner leurs stratégies de prévention en la matière », précise la banque centrale.

La BCE n’a révélé aucun détail sur ces scénarios, ou sur les banques qui y ont participé. Le niveau de cyber-résilience des banques européennes s’avère au final encourageant, mais pas encore optimal. « Même si les banques disposent de cadres de réponse et de rétablissement de haut niveau, il existe encore des axes d’amélioration », pointe Anneli Tuominen, membre du conseil de surveillance de l’institution européenne.

La BCE estime ainsi que certaines banques s’appuient sur des plans de continuité « pas assez rodés », ou que d’autres doivent élargir leur « éventail de scénarios de cyberattaques envisagées ». Elle invite également les organismes bancaires à améliorer la communication avec leurs partenaires, ainsi que l’estimation des pertes directes et indirectes résultant d’une cyberattaque.