Chaque année, la Banque Centrale Européenne interroge une centaine d'institutions financières sur leur perception de leur situation en termes de risques informatiques et de cybersécurité. La dernière livraison de ses résultats, pour le millésime 2019 (donc avant la pandémie), tend à signaler une légère dégradation sur plusieurs domaines clés.À une échelle macroscopique, toutes les dimensions du sujet semblent inquiéter davantage que les années précédentes les responsables des établissements consultés : disponibilité des systèmes, intégrité des données, externalisation, transformation et sécurité. Dans une certaine mesure, s'agissant d'une auto-évaluation, cette évolution reflète aussi une meilleure appréhension des questions posées et, peut-être, une conscience plus aigüe des défis à relever. Mais les problèmes soulevés restent entiers.
Sans surprise, hélas, le premier d'entre eux relève de l'obsolescence, qui affecte, à des degrés divers, les fonctions critiques de presque 4 entreprises sur 5 (78%). Au total, ce sont plus de 33 000 systèmes impliqués dans leurs activités essentielles qui sont considérés en fin de vie, soit une moyenne de 420 par banque concernée. Plus fâcheux, rien ne démontre que des efforts systématiques soient consacrés au remplacement de ces composants, d'autant que les progrès constatés sur le front des incidents (en baisse, autant en nombre qu'en sévérité) procurent un sentiment trompeur de maîtrise.
Un indicateur susceptible de confirmer le manque d'engagement dans cette nécessaire modernisation se révèle avec la classique répartition des budgets informatiques entre fonctionnement (« run ») et transformation (« change »), qui penche toujours plus vers le premier (atteignant désormais 60%). Avec de tels ratios, la relève des vieux systèmes représente la portion congrue (16% des nouveaux projets critiques) face à l'urgence ressentie de la « digitalisation », qui se renforcera encore en 2020 avec la crise sanitaire.
Autre cause potentielle de pessimisme, une certaine perte de contrôle paraît toucher les enjeux de sécurité. Par exemple, 40% des institutions admettent avoir été victimes d'au moins une cyberattaque réussie en 2019 (contre 28% en 2018) et, là également, il faut craindre que l'année écoulée ait significativement aggravé les risques, notamment en raison de la généralisation du télétravail. D'autres facteurs sont plus rassurants au premier abord, mais sans convaincre, à l'instar du nombre de failles non résolues un an après leur découverte, persistant à un niveau (trop) élevé bien qu'en forte diminution.
À l'occasion de cette édition de l'étude, la BCE met de nouveau à l'épreuve sa préoccupation récurrente vis-à-vis de l'expertise technologique des conseils d'administration. Les conclusions sont édifiantes et valident l'avantage acquis de la sorte : les banques ayant nommé trois spécialistes informatiques ou plus à leur « board » investissent plus (1,5 fois) dans leur infrastructure de sécurité, beaucoup plus (2 fois) dans l'infonuagique et sont bien plus réactives (quasiment 5 fois) en cas d'attaque.
Il serait facile d'ignorer les dérives progressives mises en lumière par l'exercice de la BCE tant elles semblent marginales et, souvent, explicables rationnellement. Pourtant, une prise de recul sur les observations successives dégage une perspective troublante pour l'avenir : alors que l'informatique est absolument stratégique pour les entreprises de la finance, elle devient une source de fragilité de plus en plus flagrante et aucun plan d'ampleur n'est apparemment organisé pour résorber ses faiblesses structurelles.
Jeu de briques
Snake
Pacman
Bubble