Dans le sillage du vol perpétré contre Tesco Bank à l'automne dernier, un haut responsable d'une institution britannique de cybersécurité émet une alerte, prédisant qu'une banque s'effondrera en 2017 à la suite d'une attaque. Je soupçonne que les conséquences d'un tel incident pourraient largement s'étendre à l'ensemble du système financier.
En dehors des quelques cas qui font la une de la presse, les statistiques globales ont de quoi donner le vertige. Selon le professeur Richard Bernham, président du « National Cyber Management Center », plus de 2,5 millions d'attaques ont été recensées en 2016 au Royaume-Uni. En réalité, le nombre réel est encore plus élevé, les entreprises les plus sensibles – parmi lesquelles les banques figurent au premier plan – préférant éviter une mauvaise publicité et réglant fréquemment les litiges à l'amiable, en toute discrétion.
Devant ce raz-de-marée, le spécialiste n'hésite donc pas à tenir des propos alarmistes. Il se dit convaincu qu'une des principales banques du pays sera victime, dans l'année, d'une attaque suffisamment importante pour déclencher une crise de confiance majeure au sein de sa clientèle, engendrant une ruée sur les dépôts qui, au bout du compte, la mènera à sa perte. Gage de crédibilité supplémentaire, le directeur d'Europol a, depuis, endossé – sans toutefois en reprendre les termes exacts – cette déclaration.
J'imagine déjà les mêmes banques qui ont profité de l'affaire Tesco (avant d'en connaître les détails) pour accabler les nouveaux entrants se gausser maintenant de l'état lamentable de la sécurité des établissements britanniques exposés à une menace aussi sérieuse. Il ne faut pourtant pas s'y tromper : la prédiction de R. Benham vaut tout autant pour la plupart des pays de la planète, même si on peut raisonnablement espérer que les effondrements ne se dérouleront pas tous dans les 12 mois qui viennent !
Toujours moins rassurant, si la prophétie se réalise, la banque qui en sera la victime ne sera pas la seule à souffrir. Il ne fait aucun doute que, après des années de réassurance (souvent présomptueuse) sur l'invulnérabilité absolue de leurs infrastructures, toutes les institutions financières seront confrontées à une vague inédite de défiance dans le grand public, qui pourrait leur coûter extrêmement cher. J'ai eu l'occasion par le passé d'esquisser l'hypothèse, dans de telles circonstances, d'un transfert massif vers de nouveaux fournisseurs, voire vers des « systèmes » alternatifs tels que le bitcoin.
Outre les précautions indispensables à prendre afin d'éviter de devenir le siège de la catastrophe annoncée, les banques devraient donc se préparer, malgré tout, à l'inévitable. Il s'agit, d'une part, de définir un plan de réponse en cas d'incident critique – en termes de communication, de mesures de sauvegarde et de solutions d'urgence pour les clients, etc… – et, d'autre part, d'établir une stratégie de minimisation des effets de contagion si un concurrent est affecté, qui ne peut se réduire à une réaction de mépris.