Cybersécurité, le guide national pour les tests avancés dans le secteur financier est né

Economie & Finance

La Banque d’Italie, l’Ivass et la Consob ont adopté le guide national Tiber-it, conformément au cadre européen et dans la continuité des objectifs de la stratégie commune pour la sécurité du secteur financier italien émise par la Bankitalia et la Consob. C’est ainsi qu’est née une méthodologie de référence permettant aux entités financières italiennes de réaliser, sur une base volontaire, des tests de sécurité guidés par le scénario de cybermenace et modélisés en fonction de la pertinence des entités financières et de la maturité des entités individuelles. L’objectif est d’améliorer la cyber-résilience du système financier italien et, par conséquent, sa stabilité globale.

Les vulnérabilités du système financier

La numérisation rapide et l’interconnexion profonde entre les acteurs et les pays ont en effet braqué les projecteurs sur l’importance de la cyber-résilience pour assurer la continuité des activités économiques et des services communautaires ainsi que leur sécurité et leur fiabilité, main dans la main avec le développement numérique de l’économie et de la société. En particulier, le secteur financier est vulnérable aux cybermenaces en raison des motivations économiques des attaquants, du nombre et de la diversité des acteurs qui y opèrent, et de l’interconnexion étroite entre les différents nœuds du système. De plus, la possibilité qu’un dysfonctionnement ou une attaque grave d’un seul opérateur soit transmis aux autres et que, de cette manière, la stabilité et l’efficacité du système financier, la continuité des services financiers, bancaires et d’assurance, la sécurité du système de paiement et la confiance des citoyens et des entreprises soient compromises.

Coopération internationale

Afin de renforcer la capacité de prévention, de défense et de réaction des opérateurs individuels et du système financier dans son ensemble, les organismes internationaux et européens de réglementation et de normalisation et les autorités du système financier ont adopté et affinent de nombreuses mesures. L’un des outils sur lequel on travaille le plus, y compris au niveau des recommandations et réglementations européennes, est la réalisation de tests de pénétration avancés, modélisés en fonction de la pertinence et de la complexité des scénarios de risque et des modèles d’affaires et d’exploitation de chaque entité financière.

Le Tiber-it

L’Italie a mis en œuvre, comme indiqué plus haut, le cadre communautaire actuel consistant en une méthodologie d’équipe rouge éthique basée sur le renseignement sur les menaces, par le biais du guide national Tiber-It. Celle-ci définit la méthodologie et le modèle opérationnel pour la réalisation des tests, identifie les phases dans lesquelles le processus de test est divisé et définit les rôles et activités des différents acteurs impliqués (autorité, sujet du test et fournisseurs externes).

Les entités financières les plus diverses peuvent adhérer au Tiber : des infrastructures de marché aux opérateurs de systèmes de paiement et aux infrastructures technologiques ou instrumentales de réseau, en passant par les lieux de négociation ; des banques et des intermédiaires financiers ex art. 106 tub aux institutions de paiement et de monnaie électronique, en passant par les compagnies d’assurance et les courtiers d’assurance. La Banque d’Italie, l’Ivass et la Consob mettent également à disposition la Tiber Cyber Team Italia, un centre de compétences destiné à soutenir les entités financières dans l’utilisation de la nouvelle méthodologie et dans les activités de test, grâce à la contribution d’experts des trois autorités. ()