Intervention de Bertrand Peyret

Commission des finances, du contrôle budgétaire et des comptes économiques de la nation — Réunion du 15 mai 2019 à 10h55
Risque cyber dans les domaines économique et financier — Audition commune de Mm. Alain Bouillé président du cesin christophe delcamp directeur-adjoint assurance de dommages et responsabilité de la ffa bertrand peyret secrétaire général adjoint de l'acpr et guillaume poupard directeur général de l'anssi

Bertrand Peyret, secrétaire général adjoint de l'Autorité de contrôle prudentiel et de résolution (ACPR) :

Tout cela n'est pas rassurant mais il s'agit d'un fait durable et non éphémère. C'est une menace durable face à laquelle nous devons nous prémunir. En 2016, quand nos spécialistes de la cyber sécurité rendaient compte de leurs constats aux organes exécutifs des banques, il arrivait que certains dirigeants répondent qu'il s'agissait de la responsabilité de la direction des systèmes d'information. Cette situation s'est poursuivie jusqu'à ce que des cyber attaques aient conduit à des démissions de dirigeants.

Il y a également une prise de conscience progressive de la part du personnel. Les entreprises lancent des campagnes de faux phishing interne, très efficaces. Ce n'est que par l'accoutumance, par l'exercice de chacun des collaborateurs, que la sensibilisation est efficace.

En tant que représentant de l'ACPR, je ne suis pas le plus à même d'évoquer la question du « zero cash », mais je peux relater ce constat de la Banque de France : le nombre de billets en circulation augmente et le nombre de transactions baisse. Comme dans tous les dispositifs de gestion de crise, nous avons développé une série de plans de continuité des activités. La duplication des sites ne relève pas de nous, mais des établissements eux-mêmes, même si nous les encourageons à avoir des systèmes de veille. Les plus grosses entités ont des centres d'alerte et de réaction aux attaques informatiques - ou computer emergency response teams (CERT). Ces équipes surveillent en permanence le système d'information de l'institution.

Je n'ai pas davantage d'opinion sur le sujet de la formation des ingénieurs. Je peux toutefois affirmer que nous subissons un problème de recrutement car les ressources sont rares et chères.

Pour revenir sur la souveraineté numérique, nous constatons un recours des banques à l'informatique en nuages - ou cloud computing - en particulier, même si ce recours est limité, puisque ce dispositif ne garantit pas la pérennité des données. Les banques veulent toutefois bénéficier des performances de traitement du nuage tout en ayant un espace d'informatique en nuage privé et sécurisé - private cloud computing. La situation des banques est assez hétérogène. Cet élément constitue un enjeu important et la réflexion à ce sujet mérite d'être menée en amont. Le marché est aujourd'hui principalement partagé entre Google, Amazon, Microsoft et Alibaba. Compte tenu de leur caractère dominant, et de la sensibilité des informations qu'ils traitent, devra-t-on un jour réguler cette industrie ? La question de la concentration est ancienne. Dans les années 1980, on parlait du monopole d'IBM. Leur position dominante est claire, mais la question de leur régulation se pose. En creux, il y a la question de savoir pourquoi l'Europe n'a pas une industrie de cette nature.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion