Les établissements du secteur bancaire et les organismes d’assurance et de réassurance (qui seront appelés « entreprises » ci-dessous) doivent porter une attention particulière aux incidents opérationnels ou de sécurité susceptibles d’affecter leur système d’information, non seulement pour hâter leur détection et leur résolution, mais aussi pour adapter les environnements de contrôle destinés à les prévenir.
Pour mémoire, les réglementations prudentielles applicables aux deux secteurs imposent aux entreprises des obligations de suivi et de reporting de ces incidents, qui relèvent plus généralement du risque opérationnel :
- Dans le secteur de la banque, l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement prévoit en particulier que les établissements se dotent de critères et de seuils pour identifier les incidents jugés « significatifs ou majeurs » (article 98), informent « sans délai » leurs instances dirigeantes de tels incidents (article 245), ainsi que l’Autorité de contrôle prudentiel et de résolution – ACPR - (article 249). Par ailleurs et de surcroît, les incidents dits « majeurs » affectant les services de paiement (article L. 521-10 du code monétaire et financier), qu’ils aient trait ou non au système d’information, doivent être déclarés « sans retard injustifié » à l’ACPR, lorsqu’ils sont de nature opérationnelle, et à la Banque de France, lorsqu’ils sont liés à la sécurité.
- Dans le secteur de l’assurance, les organismes doivent se doter d’un système de gouvernance, d’un système de gestion des risques et d’un système de contrôle interne. Les principales exigences en la matière sont définies dans les articles suivants : article L. 354-1 à L. 354-3 du Code des assurances, l’article R. 354-4 du Code des assurances et les articles 258, 260 et 266 et suivants du règlement délégué 2015/35. Parmi les risques à prendre en compte au sein de ces dispositifs, figure le risque opérationnel, tel que défini à l’article R. 352-1 du Code des assurances, qui intègre de facto les incidents informatiques. En vertu de l’article 258 précité, paragraphe 1 alinéa (k), dans le cadre de ces dispositifs, les organismes d’assurance doivent instaurer des lignes de reporting claires, garantissant la transmission rapide des informations à toutes les personnes qui en ont besoin, d’une manière leur permettant de reconnaître l’importance de ces informations au regard de leurs responsabilités respectives.
A – Définition des incidents entrant dans le champ du protocole de gestion de crise cyber de l’ACPR
Parmi les incidents opérationnels et de sécurité affectant les systèmes d’information, ceux dits « de cybersécurité » requièrent une attention particulière, en raison de leur potentiel de perturbation et de contagion. Un incident cyber est un incident qui (définition issue du Cyber Lexicon du Financial Stability Board) :
- affecte défavorablement et met en danger la cybersécurité d’un système d’information ou les informations qu'il traite, stocke ou transmet ; ou
- enfreint les stratégies de sécurité, les procédures de sécurité ou les stratégies d'utilisation acceptables, que ces infractions résultent d'une activité malveillante ou non.
Ainsi, les incidents découlant d’une ou de plusieurs actions malveillantes exploitant des dysfonctionnements, liés ou causés par une erreur ou une négligence, doivent également être déclarés dans le cadre du protocole.
Pour mémoire, Les établissements de crédit dits "importants", soumis à la supervision prudentielle directe de la Banque centrale européenne (BCE), ne relèvent pas du présent protocole de gestion de crise cyber, propre à l’ACPR.
B – Moyens de déclaration de ces incidents
Dans le cadre de son dispositif de gestion de crise et afin d’assurer un traitement plus efficace des éventuels incidents cyber, l’ACPR souhaite recueillir de la part des entreprises placées sous sa supervision prudentielle les informations requises sous la forme du formulaire de déclaration. Ce formulaire reste toutefois facultatif, afin de ne pas contraindre inutilement les entreprises qui ne disposeraient pas d’informations suffisantes pour le remplir. La déclaration d’un incident cyber au moyen de ce formulaire, au titre du protocole de gestion de crise ACPR, n’est pas nécessaire quand existent des obligations déclaratives auprès de l’ACPR.
En particulier, les incidents dits « incident opérationnel majeur ou de sécurité majeur », au sens de l’article L. 521-10 du Code monétaire et financier et affectant un prestataire de services de paiement, doivent être obligatoirement notifiés via le formulaire spécifique de déclaration DSP2, qu’ils soient de nature informatique – cyber ou non. L’ACPR reçoit automatiquement par ailleurs ces déclarations DSP2. Dans ce cas, il n’est donc pas nécessaire de déclarer l’incident au titre du Protocole.
C – Typologie d’incidents à déclarer
Sont concernés les incidents « significatifs » (secteurs banque et assurance). La notion de situation à risque doit également être prise en compte. Ainsi, à titre indicatif, un incident sans impact mais pour lequel les systèmes concernés sont essentiels pour l’entreprise doit être déclaré. L’ACPR attend la notification de tout incident cyber dont la sévérité serait classée « grave » ou « critique » par l’entreprise, que ce soit au titre d’un domaine technique ou métier.
L’entreprise exerce son jugement à la déclaration des incidents, en tenant compte notamment de la mise en place d’une cellule de crise en interne pour gérer l’incident.
La notification à l’ACPR est attendue à titre initial sous 24 heures après découverte de l’incident, puis de manière actualisée dans les 7 jours suivant la notification initiale, et enfin, post-mortem, dans le mois suivant sa résolution complète.