Les cyberattaques montent, aujourd'hui, en puissance, se répandent sous de multiples formes et constituent un risque majeur pour les banques qui constituent leur cible de prédilection. Face à ces menaces, Bank Al Maghrib lance l'alerte, dans sa nouvelle directive, pour inciter les établissements de crédit à renforcer la sécurité de leurs systèmes d'information. par Abdelfettah ALAMI Il faut rappeler, d'ailleurs, que depuis Bâle II, les risques informatiques sont pris en compte parmi les risques opérationnels, Les banques marocaines sont donc sous une surveillance constante et prennent en général très au sérieux les problèmes liés à l'informatique, qu'ils soient d'origine interne ou externe. Cette préoccupation est compréhensible étant donné le niveau de vulnérabilité du secteur financier, aggravé par rapport à celui d'une entreprise commerciale normale. Leur exposition aux menaces tient au développement de la banque digitale, à l'accès internet ouvert à tous leurs collaborateurs et à l'accroissement des opérations externalisées. C'est justement sur ces points que la Directive de Bank Al Maghrib, « fixant les règles minimales à observer par les établissements de crédit pour réaliser des tests d'intrusion des systèmes d'information », est venue rappeler aux banques l'obligation d'identifier les zones à risque et les dispositifs à mettre en place pour se prémunir contre les attaques pouvant mettre en danger leurs systèmes d'information. Comment cela va fonctionner ? La sécurité informatique doit être repensée en termes de flux : tout ne peut pas être sécurisé de la même manière, il faut identifier les données qui doivent être sécurisées, les systèmes et les personnes qui y ont accès. C'est l'esprit de la Directive de la banque centrale, celui d'adopter une approche commune en matière de sécurité des systèmes d'information et de signalement des incidents. De nouvelles règles vont ainsi s'appliquer afin de renforcer la gestion de tels incidents et de faire coopérer entre eux les opérateurs dans le secteur bancaire. C'est du moins ce que prévoit la directive qui va contribuer à renforcer la résistance des systèmes informatiques et des réseaux. Pour ce faire, l'établissement de crédit est tenu d'élaborer une cartographie des risques de ses systèmes d'information. Celle-ci permettra de formaliser et de hiérarchiser les risques majeurs de l'organisation, contribuera à instaurer avec les managers un langage commun sur les risques et facilitera l'élaboration d'un plan permettant d'engager des actions immédiates. Elle favorisera l'émergence d'une culture partagée du risque, source d'une meilleure performance et d'une plus grande prévention des défaillances. En parallèle, les établissements de crédit sont appelés à établir un programme annuel de tests dont l'objet est « d'analyser l'état de sécurité du système d'information de l'établissement et d'évaluer sa capacité à faire face de manière adéquate à des attaques ciblant ledit système ». Deux démarches doivent être observées pour effectuer ces tests : la première doit se faire sans connaissances préalables sur le système d'information cible et la seconde se fera dans le cadre d'une approche conduisant à réaliser des tests avec des connaissances préalables sur ce système. La directive du superviseur accorde une attention particulière aux actions externalisées en matière de stockage de données et leur sécurité compte tenu des risques élevés pouvant provenir d'un prestataire extérieur. C'est la raison pour laquelle, la directive insiste sur le fait que, pour la réalisation de « tests nécessitant de disposer d'informations explicites et confidentielles sur les systèmes cibles, la banque privilégie le recours à ses équipes internes». D'ailleurs des conditions très strictes en termes d'expertise, de confidentialité, etc. sont exigées en cas de recours à un prestataire extérieur. Au vu des résultats de ces tests, les établissements de crédit établissent un plan d'action pour corriger les vulnérabilités et les failles relevées. L'ensemble de toutes ces actions doivent être communiquées, dans le cadre d'un rapport annuel, à Bank Al Maghrib au plus tard le 31 mars de chaque année.
