Pour les banques et les assureurs – comme pour les entreprises –, le cyber-risque comprend, non seulement, une dimension non intentionnelle, telle que la défaillance d’un système informatique devenu obsolète, mais aussi une dimension intentionnelle quand une attaque est menée par des hackers.
Le cyber-risque est un risque direct (interne à la banque et à l’assureur au niveau des systèmes informatiques) et indirect (notamment les entreprises, les assurés, et les banques tierces via les opérations interbancaires).
Explications d’Antoine Houssin, responsable du groupe sectoriel Banque-Assurance de la SFAF.
Le risque systémique lié au cyber risque est potentiellement très élevé, étant donné le montant des actifs concernés et le nombre de clients, impliquant l’Etat et nécessitant, notamment pour les banques, des outils d’intervention de la banque centrale complémentaires à la gestion de la liquidité. Une perte de confiance dans le système financier est susceptible d’entraîner une crise de liquidité systémique. Parmi les facteurs déclenchant potentiels, une banque attaquée par un virus informatique qui rendrait impossible le retrait d’argent : cela pourrait en effet conduire ses épargnants à se précipiter pour retirer leur argent auprès d’une autre banque.
La SFAF a publié fin 2019 un dossier de 64 pages consacré au cyber-risque(1), qui comprend un large chapitre dédié au trading et au trading à haute fréquence.
Le cyber-risque pour les assureurs existe entre les assureurs et les réassureurs, entre les assureurs et leurs clients (risque de rachat de contrats d’assurance vie ou d’abandon de clientèle existante), entre les assureurs et les banques (risque de contrepartie avec les banques via l’utilisation de produits dérivés) et dans le cadre d’une intégration à des groupes bancaires. La motivation des hackers est la collecte des données sur les assurés, qui peuvent être considérables tant sur leurs biens assurés que sur leur situation personnelle.
La mesure du cyber-risque est nécessaire pour s’en protéger. Les outils sont cependant considérés au début de leur développement. Eisenbach, Kovner et Lee (2021), chercheurs à la Banque de New York, ont tenté de quantifier les effets d’un événement qui empêcherait une parmi les cinq plus grandes banques américaines d’effectuer des paiements pendant une journée. L’une des conclusions de leur étude est la suivante : sur la base des données de 2018, les banques américaines, en plus de celle touchée, rencontreraient, à hauteur de 31% de leurs actifs, de grandes difficultés à assurer la liquidité de leurs opérations.
Le cyber-risque est également considéré comme une arme de défense nationale. La guerre entre l’Ukraine et la Russie comporte ce type de risques.
Tous ces facteurs considérés, l’impact global sur la société d’une cyber-attaque sur les secteurs de la banque et de l’assurance est donc potentiellement majeur.
Les banques et les assureurs ont compris l’importance de ce risque en modernisant leurs systèmes informatiques. La conformité joue à cet égard un rôle important, l’objectif recherché étant la résilience du système financier. Son niveau doit cependant s’adapter à la sophistication des virus informatiques, ce que vise le Règlement DORA (Digital Operational Resilience Act).
La version complète de cette étude, réservée aux membres de la SFAF, est disponible via ce lien. Elle peut être téléchargée au format PDF via ce lien.
(1) « Cyber-risques : les anticiper, les gérer, les gouverner » - revue Analyse financière n°73 (octobre-novembre-décembre 2019).