En plus de présider le groupe de travail de l’Union européenne sur la cybersécurité dans le secteur financier, Richard Parlour est à la tête du cabinet d’avocats Financial Markets Law International qui conseille les institutions financières sur la transformation de la conformité. Il revient sur la cyber-sécurité aux États-Unis et en Chine ainsi que sur les moyens pour les entreprises d’améliorer leurs propres défenses.

Décideurs. Votre groupe de travail a récemment publié un rapport sur la cyber-sécurité. Qu’attendez-vous de la Commission européenne à ce sujet ?

Richard Parlour. Qu’elle apporte des modifications au RGPD et aux obligations de signalement des infractions. Il existe environ six contraintes qui empiètent sur les institutions financières, ces dernières n’étant malheureusement pas particulièrement bien coordonnées. Nous ne nous attendons pas à des réglementations particulières, mais il a également été question d’une directive sur la libre circulation de l’information, pour que les choses se déroulent plus facilement. Nous espérons obtenir d’autres aides de la Commission. Cette dernière produit un certain nombre de documents d’orientation et fournit également un soutien politique. Il s’agirait également d’examiner les expériences avec le RGPD dans les différents États membres de l’Union européenne et de repérer les problèmes qui surviennent dans certains d’entre eux, mais pas dans d’autres. Cette étude prendra cependant du temps.

"La Chine a créé six écoles de renseignement, dont l’une entièrement consacrée au piratage" 

Quels progrès ont déjà été réalisés dans le domaine de la cybersécurité du secteur financier et quels sont les principaux défis à venir ?

La cyber-sensibilisation a considérablement augmenté. Le gouvernement britannique a consacré pas mal de temps à la protection de l’infrastructure nationale critique qui comprend les éléments clés du secteur financier, à savoir la Banque centrale, les G-SIBs (les banques d’importance systémique mondiale), les chambres de compensation, etc. Mais il y a constamment des cyber-attaques. Les cadres dirigeants de la banque Barclays vous diront qu’ils reçoivent chaque jour des milliers de tentatives d’attaques. Ils semblent jusqu’à présent s’en sortir en matière de lutte contre les agressions cyber. Je ne suis cependant pas entièrement convaincu que nous collecterons suffisamment de données sur ces attaques ni assuré de la réponse apportée aux clients individuels. La responsabilité ne repose pas uniquement sur les banques qui essaient de combattre la cyber-criminalité. Il existe également quelques institutions financières importantes qui ne semblent pas avoir fait grande chose, ce qui est un peu préoccupant. Mais je ne donnerai pas de noms !

Quels types d’entreprises ont été les plus et les moins sensibles aux menaces liées à la cybercriminalité ?

Du côté des PME, j’ai été assez surpris par les recherches de la Fédération des petites entreprises (FSB) sur les démarches engagées par ces sociétés après avoir fait l’objet d’une cyber-attaques. La plupart d’entre elles ont fait peu entre l’attaque et la remise en marche, et certaines ont pris des mesures publiques. Par exemple, la société TalkTalk a connu un important problème qui a dramatiquement affecté le prix de son action, mais elle a pris un certain nombre de mesures pour s’assurer de la satisfaction de ses clients et pour les reconquérir. J’ai vu l’une de leurs présentations qui insinuait qu’ils étaient devenus plus forts qu’auparavant après l’attaque, en raison des divers messages qu’ils ont mis en place et des relations publiques qu’ils ont développées. Ainsi, si vous avez été victime d’une cyber-attaque constituant un signal d’alarme et que vous avez entrepris des démarches spécifiques pour contrer d’éventuelles attaques, c’est une bonne nouvelle.

"Les Israéliens ont une fantastique capacité informatique !"

Certains hauts responsables semblent très confiants sur l’accord américano-britannique de partage d’informations et sur le fait que les États-Unis n’espionneraient pas le Royaume-Uni. Que pensez-vous des propensions américaines dans ce sens ?

Ma première pensée serait qu’ils n’ont pas besoin d’espionner : ils ont déjà les informations. La plupart des entreprises britanniques et américaines sont probablement sur une plateforme Microsoft, et si vous êtes sur Windows, la quantité des données automatiquement transmises à Microsoft est tout simplement phénoménale. Il existe des moyens de contrer un peu cela, mais vous devez savoir comment bien configurer votre système d’exploitation. Nous devons avoir une certaine confiance dans ce domaine. Le nouveau livre d’Edward Snowden, Mémoires vives, explique en détail ce qui est transmis, stocké et utilisé. À certains égards, c’est très important, en particulier lorsque vous surveillez des organisations terroristes. Certaines d’entre elles ont des capacités formidables. À titre d’exemple, Daech a réussi à pirater le compte twitter de l’US Central Command et à le détériorer. Ils sont très compétents et tout à fait capables de développer leurs propres applications pour leur propre communication et de configurer leur propre cryptage.

Huawei fait régulièrement la une des journaux lorsqu’il s’agit de la participation chinoise à notre infrastructure. Quels sont les développements les moins médiatisés en Chine par rapport aux cyber-vulnérabilités occidentales ?

Il y a quelques années, un rapport indiquait que la Chine avait créé six écoles de renseignement, dont l’une entièrement consacrée au piratage. De nombreux autres pays feront la même chose. Les Américains, les Iraniens, les Israéliens ont une fantastique capacité informatique ! Israël a notamment pris une décision stratégique pour se concentrer sur le secteur informatique. Ce qu’on dit sur Huawei et la Chine est assez politique : tout est fait pour alimenter la guerre commerciale entre les États-Unis et l’Empire du Milieu. Mais lorsqu’on regarde le développement de la Chine et de son Internet, c’est phénoménal. Il est assez évident que le pays dépassera les États-Unis à un moment donné sur le plan économique. La Chine achète une énorme quantité de produits outre-Pacifique, mais également partout dans le monde comme en Afrique par exemple : ils ont des milliers de personnes rien qu’à Cabinda en Angola. Ils ne s’intègrent pas du tout et importent leur propre nourriture.

"Tout est fait pour alimenter la guerre commerciale entre les États-Unis et la Chine"

Comment encourageriez-vous les entreprises à améliorer leur cybersécurité ?

Je fais partie du comité consultatif de l’Iasme (Information Assurance des PME) qui a introduit un procédé par lequel les PME entrent en contact avec la structure et demandent à ce qu’on regarde leurs systèmes de cyber-sécurité. Nous parcourons avec eux un questionnaire puis nous leur donnons une certification. Pour ce faire, elles déboursent une somme de 300 livres pour le niveau de certification le plus bas. Cependant, il faudrait bien plus d’un siècle pour certifier les quelque six millions d’entreprises britanniques. Et d’ici là, tout aura de toute façon changé ! Si vous optez pour la cyber-assurance et que vous avez suivi le programme du gouvernent britannique, appelé Cyber Essentials, vous devriez obtenir une remise sur votre cyber-assurance. On examine ensuite une situation coût-avantage différente : auriez-vous besoin d’une assurance cyber si vous avez mis en place le plan ? Une autre façon d’amener les gens à mettre en place des mesures est pour le gouvernement de dire : « Si vous voulez gagner un contrat avec le gouvernement, vous devez suivre le plan Cyber Essentials Plus. » Et si vous faites partie de l’infrastructure critique, des mesures supplémentaires seront nécessaires, mais vous obtiendrez plus d’aide. Personne ne veut que le réseau électrique tombe en panne : cela pourrait être un désastre.  

Classements

Trouver les acteurs & informations qui vous aideront

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail