Des cyberattaques qui coûtent cher aux institutions financières

La Banque de Montréal a annoncé, à la fin du mois de mai, que des fraudeurs auraient mis la main sur les données personnelles de certains de ses clients.
Photo: Aaron Vincent Elkaim La Presse canadienne La Banque de Montréal a annoncé, à la fin du mois de mai, que des fraudeurs auraient mis la main sur les données personnelles de certains de ses clients.

Les cyberattaques contre les institutions financières coûteraient au moins 100 milliards $US par année dans le monde, estime une étude du FMI. Équivalant à presque 10 % des profits des banques, ces pertes pourraient, selon des scénarios extrêmes, atteindre jusqu’à la moitié de ces profits, menaçant la stabilité du secteur financier.

« La menace est bien réelle », a commenté la directrice générale du Fonds monétaire international (FMI), Christine Lagarde, au moment du dévoilement de l’étude vendredi. « Le secteur financier est particulièrement vulnérable aux cyberattaques. […] Une attaque réussie contre une seule institution pourrait rapidement s’étendre dans le monde fortement interconnecté du système financier. »

Les cyberattaques trônent au sommet des principaux risques que craignent le plus les banquiers, devant les menaces géopolitiques, les changements apportés à la réglementation ou le Brexit, rappelle l’étude. Une récente enquête réalisée sur le même sujet au Canada par sa banque centrale est arrivée à la même conclusion cet hiver. Ces dirigeants de banque n’ont pas tort puisque le secteur semble l’un des plus visés par ce genre d’attaques, en raison notamment de son grand degré de dématérialisation, de sa forte dépendance dans les technologies de l’information et de sa place centrale dans le fonctionnement de l’économie.

Obscure menace

Il manque pourtant cruellement de données factuelles sur la nature et l’importance relative du problème, constate l’étude du FMI. Cela tient entre autres au fait que les institutions victimes d’attaques n’ont pas partout l’obligation de les rapporter aux autorités et qu’elles peuvent s’avérer réticentes à le faire publiquement compte tenu de l’importance primordiale de savoir maintenir un climat de confiance dans ce secteur.

Pour autant qu’on sache, les attaques frappent principalement les banques de détails, mais elles ont aussi touché des compagnies d’assurances, et même des banques centrales, dans les économies riches comme les pays en développement. Ces agressions peuvent prendre toutes sortes de formes, comme la fraude, le vol de données confidentielles et l’interruption des services Internet. Elles sont rendues possibles par le fait que toutes les banques n’ont pas toujours les technologies informatiques les plus récentes, que les malfaiteurs disposent de plus en plus d’expertise et de moyens d’action abordables et que le développement rapide des nouvelles technologies financières (fintech) élargit sans cesse leur terrain de jeu.

Une note salée

C’est donc en se basant sur les meilleures données disponibles, bien qu’incomplètes, que les experts du FMI ont tenté, pour l’une des premières fois, d’évaluer le coût actuel des cyberattaques. Une première estimation de base fixe ce montant à 97 milliards par année, soit 9 % des revenus nets des banques. Cette somme devrait probablement être multipliée par deux ou par trois pour tenir compte des impacts sur les coûts de fonctionnement, explique-t-on.

La menace est bien réelle

Mais s’il fallait que la fréquence des attaques double par rapport au niveau de 2013, ces montants pourraient devoir être portés à plus de 500 milliards par année, ou 52 % des profits des banques, prévient-on, avant d’expliquer qu’une autre somme de 100 milliards devrait probablement être ajoutée pour tenir compte de l’effet de contagion aux autres banques.

Ces estimations, basées sur des données imparfaites, ne se veulent qu’« illustratives », insistent les experts du FMI. Elles permettent bien de voir cependant que la maigre bourse de 3 milliards par an dont dispose actuellement le marché de l’assurance contre les cyberattaques est loin d’être suffisante, dit-on, et qu’elle le restera même si l’on prévoit, durant la prochaine décennie, qu’elle sera portée à 20 milliards au maximum. De toute façon, moins de 30 % des banques disposent d’une telle assurance. Cette défaillance tient notamment à l’offre inadéquate des assureurs, qui tient elle-même au manque de données fiables et à l’ampleur des dommages financiers dont il pourrait être question.

Dans ce contexte, dit le FMI, la priorité des gouvernements devrait être d’obliger les institutions financières à leur rapporter toutes les cyberattaques dont elles sont victimes afin de commencer par avoir un portrait plus complet de la nature et de l’ampleur du problème. Ensuite seulement sera-t-on en mesure de développer des mécanismes de protection et d’aide adaptés.