Banques : à quelles régulations cyber doivent-elles se conformer ?

Si toutes les entreprises du secteur ne sont pas concernées par les textes cités dans cet article, il est important de noter que quelle que soit leur taille, étant extrêmement visées par les cybercriminels, leur intérêt pour la cybersécurité est certain. Précisons également que les règlementations dites « métiers » ont également des conséquences importantes pour les entités du secteur.

Cet article n’ayant pas vocation à être exhaustif, notre analyse se concentrera sur les règlementations en vigueur afin de proposer un premier aperçu du cadre juridique qui entoure les banques. La bonne application des pratiques imposées/recommandées par les lois et règlements cités constitue pour nous un point de départ crucial pour bien se protéger contre les cyberattaques.

La Loi de programmation militaire, ou LPM

A l’échelle nationale, les banques doivent respecter les obligations de la Loi de programmation militaire (LPM). C’est un plan stratégique de défense voté tous les 5 ans.

La LPM 2019-2025 désigne 250 Opérateurs d’Importance Vitale (OIV). Il s’agit d’entités privées et publiques indispensables au bon fonctionnement de la nation, dont les banques font partie. Elles ont des obligations légales à respecter sur le plan cyber, parmi lesquelles, notamment, l’obligation de nommer un référent LPM, d’identifier les points d’importance vitale, d’élaborer un plan de sécurité et de le mettre en œuvre.

La loi de sécurité financière (LSF)

La loi française de sécurité financière du 1er août 2003, aussi appelée « Loi Mer », organise un contrôle légal des comptes qui s’impose aux sociétés faisant appel à l’épargne publique et aux sociétés anonymes.

Aux termes des articles L. 225-37 et L. 225-68 du Code de commerce issus de cette loi, le président du conseil d’administration ou du conseil de surveillance doit rendre compte, dans un rapport distinct du rapport annuel de gestion, « des conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société ».

Aux termes du nouvel article L. 225-235 du Code de commerce, les commissaires aux comptes doivent présenter leurs observations sur « les procédures de contrôle interne qui sont relatives à l’élaboration et au traitement de l’information comptable et financière » décrites dans le rapport visé aux articles L. 225-37 et 225-68 précités.

La directive NIS

A l’échelle européenne, la directive Network and Information System Security (NIS) adoptée le 6 juillet 2016, a pour objectif d’assurer un niveau de sécurité élevé, commun à tous les SI et les réseaux des pays membres de l’Union européenne.

En raison de l’impact négatif que pourrait avoir une interruption du service fourni par les banques, celles-ci doivent désormais respecter des obligations au regard de la sécurité des systèmes d’information et des réseaux. Ces obligations concernent quatre domaines : la gouvernance de la sécurité, la protection et la défense des réseaux et des SI, ainsi que la résilience des activités.

Le règlement général sur la protection des données (RGPD)

Le règlement général sur la protection des données (RGPD) encadre le traitement des données personnelles de l’Union européenne. Les données bancaires sont des informations spécifiques et sensibles qu’il convient de traiter avec une vigilance particulière.

Pour faire face aux risques de perte d’intégrité ou de fuites de données, il est notamment nécessaire pour les différents acteurs du secteur de mettre en place des mesures de sécurité comme le chiffrement des données à l’envoi, en transit ou au repos.

La deuxième Directive sur les Services de Paiement (DSP2)

La deuxième Directive sur les Services de Paiement (DSP2) en vigueur dans l’Union européenne depuis le 13 janvier 2018, comporte un ensemble de dispositions règlementaires visant à renforcer la sécurité des paiements.

La DSP2 impose notamment l’utilisation de l’authentification forte pour les opérations suivantes : l’accès au compte de paiement en ligne, les opérations de paiement électronique ainsi que les actions exécutées via un mode de communication à distance qui présente un risque élevé de fraude (par exemple l’enregistrement d’un nouveau bénéficiaire de virement sur son compte bancaire en ligne).

La loi Sarbanes-Oxley (SOX ou SARBOX)

A l’échelle internationale, la loi Sarbanes-Oxley (Sarbanes-Oxley Act en anglais), adoptée en 2002 par le Congrès des États-Unis vise à protéger les actionnaires et le grand public contre les erreurs comptables et les pratiques frauduleuses, mais aussi à améliorer l’exactitude des informations fournies par les entreprises. La loi SOX est extra-territoriale. Elle s’applique à toutes les filiales européennes des groupes américains, aux entreprises qui travaillent aux Etats-Unis et aux sociétés cotées sur un marché financier des États-Unis, quelle que soit leur nationalité, ainsi que leurs filiales étrangères.

La loi SOX (aussi appelée SARBOX) traite de la sécurité informatique sous l’angle de l’exactitude et de l’intégrité de l’information financière. Dans son article 302, la loi SOX exige la réalisation trimestrielle d’audits comprenant un volet sécurité informatique.

Les accords de Bâle

Les accords de Bâle sont des accords de règlementation bancaire. Ils ont été élaborés par le Comité de Bâle et signés dans la ville de Bâle (Suisse). Ils imposent aux banques de garantir un niveau minimum de capitaux propres, afin d’assurer leur solidité financière.

Le volet consacré à la sécurité informatique des accords de Bâle impose à la fois la réalisation de reportings et d’exercices de gestion de crise réguliers pour simuler toutes les situations à risque et éprouver la solidité des banques.

Des autorités de contrôle sont chargées de la bonne application des lois et règlements cités ci-dessous :

• Pour la LPM et la directive NIS : l’autorité de contrôle compétente en France est l’ANSSI.
• Pour le RGPD : il s’agit de la Commission nationale de l’informatique et des libertés (Cnil) en France.
• Pour la DSP2 : il s’agit de la Banque centrale européenne (BCE) et l’Autorité de contrôle prudentiel et de résolution (ACPR).
• Pour les accords de Bâle : ce sont l’Autorité de contrôle prudentiel et de résolution (ACPR) et la Banque de France.
• Pour la Loi de Sécurité Financière : aux termes de son article 120, la tâche de contrôle revient aux commissaires aux comptes qui présentent leurs observations sur les procédures de contrôle interne relatives à l’élaboration et au traitement de l’information comptable et financière.
• Pour la loi SOX : aux termes de sa section 404, les auditeurs SOX évaluent l’intégrité des l’informations financières, attestent et établissent un rapport.

A noter que l’Autorité des Marchés Financiers (AMF) joue également un rôle clé dans le contrôle des dispositifs de sécurité du secteur bancaire.

En plus de ces lois et règlements, existent des bonnes pratiques de sécurité issues de la suite ISO 27000, de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en France, de la Cybersecurity and Infrastructure Security Agency (CISA) aux USA. Parmi celles qui nous semblent les plus importantes, nous pouvons notamment citer :

• la sensibilisation régulière du personnel ;
• la revue régulière des droits d’accès ;
• la réalisation régulière de cartographies de son SI ;
• la mise en place de mécanismes de détection et de surveillance ;
• la journalisation et l’analyse des journaux ;
• la mise à jour automatique des cas de détection de menaces liées aux nouvelles vulnérabilités.

Merci à Ibrahima Sene, consultant en cybersécurité au sein d’Orange Cyberdefense France pour son analyse.

Pour être accompagné dans vos mises en conformité règlementaires, n’hésitez pas à contacter nos expert.e.s, en cliquant ici.