Intervention de Bertrand Peyret

Mon intervention reflètera largement celle de Guillaume Poupard. Je voudrais rappeler que 19 % des attaques cyber concernent le secteur financier. Cela justifie que la lutte pour la cyber sécurité soit devenue une priorité de contrôle dans le domaine bancaire mais également dans le domaine des assurances.

L'ACPR partage cette priorité avec le mécanisme de supervision unique de la Banque centrale européenne pour les établissements bancaires qualifiés de « significatifs » et entrant ainsi sous la supervision directe de la Banque centrale européenne (BCE).

Cette priorité de contrôle découle de graves menaces potentielles que les cyberattaques font peser sur les institutions prises individuellement mais aussi collectivement via un potentiel effet domino, qualifiable de risque systémique. En effet, les institutions peuvent être doublement interconnectées : par des liens financiers, à savoir la défaillance de l'un se propageant à l'autre, et par des liens techniques, les infrastructures de place par exemple, potentiels vecteurs de transmission de virus.

Quels sont nos pouvoirs d'action ? Ils découlent principalement de la règlementation sur le contrôle interne et sur le risque opérationnel. Mais ces textes sont parfois un peu anciens et c'est pourquoi les autorités de supervision renforcent progressivement leurs actions, à travers l'adoption de nouvelles lignes directrices.

Nous disposons d'enceintes internationales à cet effet : les groupes de travail du G7 (cyber expert group), du Forum de stabilité financière (FSB) de la Banque des règlements internationaux (BRI), de l'Autorité bancaire européenne (ABE), de la BCE, de l'Association internationale des contrôleurs d'assurance (ou IAIS pour International Association of Insurance Supervisors). L'enjeu est de structurer ces démarches pour éviter le morcellement.

Les lignes directrices adoptées par l'ABE, très inspirées d'une étude de l'ACPR de 2018, qui s'attachait à caractériser les risques, vont entrer en vigueur en 2020. Nous avons choisi d'inscrire notre action sur trois axes : la clarification des concepts et des événements ; l'identification des vulnérabilités ; le type de réponse à apporter.

Je relève que la clarification des catégories d'incident est également utile au développement d'un marché de l'assurance du risque cyber par les compagnies d'assurance. Qu'est-ce qu'on assure ? Il faut développer la taxonomie des événements. Aujourd'hui il y a grosso modo 5 000 milliards de dollars de primes d'assurance, parmi lesquelles seulement entre 6 milliards et 7 milliards de dollars de primes couvrant des risques cyber.

L'enjeu de ces démarches, notamment pour leur volet réglementaire, est d'éviter le risque de prolifération de textes produits par les instances de normalisation dans les domaines bancaire, des paiements, des services liés aux titres, de l'assurance ou des marchés financiers. Cette prolifération serait susceptible de permettre des arbitrages réglementaires. L'ACPR et la Banque de France oeuvrent pour structurer au plan mondial une démarche coordonnée sous les auspices d'une instance faîtière. C'est conforme aux souhaits du ministre de l'économie et des finances Bruno Le Maire et cela répond également à la doctrine du Gouverneur de la Banque de France, François Villeroy de Galhau.

Sur le plan opérationnel, la Banque de France promeut également des initiatives concrètes à caractère transfrontières. Ainsi, dans le cadre de la présidence française du G7, un exercice de simulation d'une cyber attaque du secteur financier touchant les sept pays sera conduit courant juin afin d'évaluer l'efficacité des dispositifs de coordination internationaux. Il y a aura vingt-quatre autorités de supervision qui participeront à cet exercice. Quatre pays, l'Italie, l'Allemagne, la France et le Japon, impliqueront également leur industrie. Nous vérifierons si nos procédures fonctionnent correctement.