Options de recherche
Page d’accueil Médias Notes explicatives Recherche et publications Statistiques Politique monétaire L’euro Paiements et marchés Carrières
Suggestions
Trier par

Questions fréquemment posées concernant le test de résistance 2024 sur la cyberrésilience

Pourquoi la BCE a-t-elle mené un test de résistance sur la cyberrésilience ?

La BCE mène des tests de résistance prudentiels au moins une fois par an, conformément à l’article 100 de la directive relative aux exigences de fonds propres (CRD), et participe tous les deux ans au test de résistance coordonné à l’échelle de l’Union européenne (UE) par l’Autorité bancaire européenne (ABE). Les années où l’ABE ne réalise pas de test de résistance à l’échelle de l’UE, la BCE conduit un exercice ciblé de test de résistance axé sur un type de risque spécifique. Ces exercices sont menés en coopération avec les autorités nationales de surveillance.

Les cyberattaques ont considérablement augmenté ces dernières années et les banques sont fortement exposées à ces cybermenaces, qui évoluent en permanence. Dans le cadre des priorités prudentielles pour 2024-2026, la BCE demande aux banques supervisées de poursuivre leurs progrès en vue de la transformation numérique et de l’élaboration de cadres solides de résilience opérationnelle afin d’être prêtes à résister à des cyberattaques et de pouvoir se redresser rapidement en cas d’incident de cybersécurité majeur.

Quel scénario a été utilisé dans ce test de résistance ?

Le scénario a été défini selon l’hypothèse que les actions préventives et les mesures de protection étaient contournées ou échouaient et qu’une cyberattaque réussissait à perturber les activités quotidiennes des banques. Les banques couvertes par le test étaient invitées à analyser leur réaction et leurs mesures de rétablissement, notamment l’activation des procédures et plans d’urgence ainsi que les décisions prises en vue d’un retour à la normale. Les autorités de surveillance ont ensuite évalué la capacité des différentes banques à faire face à un tel scénario. L’exercice visait donc à évaluer la réaction des banques à une cyberattaque et comment elles s’en remettraient, plutôt qu’à examiner leur capacité à prévenir une telle attaque.

Quels types d’informations les banques ont-elles fournies à la BCE ?

Deux niveaux d’évaluation ont été mis en œuvre : un niveau standard et un niveau renforcé avec des exigences supplémentaires. Les 81 banques participant à l’évaluation standard ont été conviées à répondre à un questionnaire en fournissant des éléments factuels, comme des notifications de déclaration d’incidents de cybersécurité au MSU, des documents prédéfinis tels que leurs politiques et procédures internes relatives au risque informatique, et les résultats de tests de restauration informatique précédents menés en utilisant un scénario similaire à celui du test de résistance 2024 du MSU sur la cyberrésilence. En plus de fournir ces éléments, les 28 banques soumises à l’évaluation renforcée ont aussi été invitées à effectuer un test effectif de restauration informatique conforme au scénario du test de résistance 2024 du MSU sur la cyberrésilence et à apporter la preuve de son succès. Conformément aux procédures d’assurance-qualité en place, ces banques ont également fait l’objet d’une visite sur place.

Sur quelle base avez-vous sélectionné les banques en vue de l’évaluation renforcée ?

L’échantillon soumis à l’évaluation renforcée a couvert différents modèles d’activité et pays afin de donner une image adéquate du système bancaire de la zone euro. Les banques faisant partie de l’échantillon n’ont pas été sélectionnées en fonction de leur profil en matière de risque lié à la cybersécurité.

Quelle suite la BCE donnera-t-elle aux enseignements tirés de l’exercice ?

L’exercice était essentiellement qualitatif. Les enseignements tirés serviront dans le cadre plus large du processus de contrôle et d’évaluation prudentiels (Supervisory Review and Evaluation Process, SREP) 2024. À l’issue de l’exercice, chaque banque s’est vu remettre un rapport lui recommandant des axes d’amélioration, qui fera l’objet d’un suivi par l’équipe de surveillance prudentielle conjointe (Joint Supervisory Teams, JST) compétente dans le cadre de ses activités prudentielles régulières. Le test de résistance n’ayant pas porté sur les fonds propres des banques, ses résultats n’auront pas d’incidence sur les recommandations au titre du pilier 2.

Lancement d’alerte