La Federal Reserve Bank de New York et la School of International and Public Affairs (SIPA) de l’Université de Columbia ont co-organisé les quatrièmes conférences annuelles sur l’état des lieux du cyberrisque pour la stabilité financière, le 14 avril 2023. La conférence s’appuie sur activité conjointe de la Fed de New York et de la SIPA depuis 2017. Chaque année, la conférence réunit des panels pour confronter les trois mêmes questions : Qu’apprenons-nous sur le cyber-risque pour la stabilité financière ? Que faisons-nous pour améliorer la résilience et la stabilité ? Et quelle est la prochaine? Ce billet de blog passe en revue certaines de ces conversations de la conférence de 2023.
La démondialisation peut-elle menacer la stabilité financière ?
Jason Healey, chercheur principal à la Faculté des affaires internationales et publiques, et Anna Kovner, directrice de la recherche sur les politiques de stabilité financière à la Fed de New York, ont ouvert la conférence. Neal Pollard, associé, Ernst & Young et professeur auxiliaire à l’École des affaires internationales et publiques de l’Université de Columbia, a prononcé une allocution d’ouverture supplémentaire.
Un thème central de la conférence concernait les effets de la démondialisation sur les cyber-risques et la stabilité financière, les efforts en cours des secteurs public et privé pour identifier les cyber-risques et renforcer la résilience, et les prochaines étapes possibles que les secteurs de la cybersécurité et de la finance peuvent prendre pour gérer et atténuer cybermenaces.
Qu’apprenons-nous ?
Dans le premier panel, animé par Anna Kovner, les participants ont discuté des recherches en cours sur les considérations de stabilité financière découlant du cyber-risque.
Antonis Kotidis (économiste au Federal Reserve Board) a tiré les leçons d’une attaque contre un fournisseur de services technologiques qui dessert un large éventail d’entreprises financières. Le document a quantifié l’impact des efforts déployés pour atténuer l’attaque, constatant que les réponses des secteurs public et privé, les tampons de liquidité bancaire et le soutien de la Réserve fédérale contribuent à réduire les risques d’instabilité financière liés aux cyberattaques.
Michael Lee (économiste en recherche financière à la Fed de New York) a partagé ses idées sur la nature corrélée des cyberrisques et des risques financiers. L’étude a révélé qu’une cyberattaque qui se produit pendant une période de stress financier pourrait augmenter considérablement le potentiel de perturbation systémique. Lee a souligné comment les interventions de liquidité ont atténué les retombées potentielles du cyber en mars 2020, et a souligné la nécessité de prendre en compte les interactions entre le cyber-risque et les conditions financières dans la planification de la cyber-urgence en période d’incertitude économique et financière accrue.
Joe Lyons (Senior Director, Signals & Ratings Research chez BitSight) a souligné l’importance d’intégrer les cyber-risques dans les décisions de crédit. Il a expliqué que le cyber-risque est devenu un élément central du risque d’entreprise, mais a noté que la modélisation des pertes dues aux cyber-incidents est difficile en raison d’un manque de données complètes sur la nature de ces pertes.
Enfin, Neal Pollard (partenaire chez Ernst & Young) a partagé les idées de la 12e enquête annuelle EY-IIF sur la gestion des risques bancaires. L’enquête a révélé que le secteur bancaire se concentre sur le renforcement des capacités défensives contre les cyber-risques.
Qu’est-ce que nous faisons?
Dans le deuxième panel, animé par Greg Rattray (co-fondateur de Next Peak), les experts ont discuté des efforts en cours pour faire face aux cyber-risques pour la stabilité financière. Les participants au panel comprenaient Todd Sullivan (directeur des risques pour le secteur des services financiers au Centre d’analyse et de résilience), James Wiener (vice-président chez Oliver Wyman) et Katheryn Rosen (directrice générale, responsable mondiale, sécurité de l’information régionale et engagement de supervision chez JPMorgan Chase & Cie).
L’un des plus grands défis mis en évidence au cours de la discussion était la distinction entre le cyber-risque des entreprises individuelles et le cyber-risque systémique. Les panélistes ont souligné que si les entreprises individuelles peuvent adopter des mesures pour se protéger contre les cyberattaques, le cyber-risque systémique constitue une menace pour l’ensemble du système financier. L’industrie et les secteurs officiels s’efforcent de développer des solutions de résilience capables d’atténuer efficacement les risques qui dépassent le cadre des entreprises individuelles.
Les défis liés aux efforts de collaboration entre les secteurs privé et public ont également été abordés, notamment le manque d’autorisations permettant aux experts de l’industrie de collaborer avec les agences gouvernementales. Les panélistes ont reconnu que la collaboration du Trésor avec les communautés du renseignement s’était améliorée, en particulier depuis la guerre russo-ukrainienne, et ont souligné l’importance d’un partage efficace des informations. Les panélistes ont également été attentifs aux lacunes réglementaires dans le domaine des cyberrisques. Ils ont fait valoir que les réglementations ont le potentiel de fonctionner à la fois comme des amortisseurs et des amplificateurs, selon leur conception et leur cohésion.
Réglementation, résilience et cyberstratégie nationale
Une conversation au coin du feu animée par Katheryn Rosen (directrice générale, responsable mondiale, sécurité de l’information régionale et engagement de supervision chez JPMorgan Chase & Co.) a réuni Dmitri Alperovitch (co-fondateur et président de Silverado Policy Accelerator) et Harry Krejsa (directeur national adjoint adjoint de la cybersécurité du Bureau exécutif du Président). Les panélistes ont discuté de l’importance de la résilience et de la cyberrégulation, ainsi que de l’impact de la géopolitique sur les technologies émergentes et la cyberstratégie nationale.
Les intervenants ont décrit l’impact des facteurs géopolitiques sur la cyberstratégie nationale et la nécessité d’une approche systémique pour faire face aux cyberrisques. Le secteur financier dirige les efforts visant à renforcer sa position en matière de cybersécurité grâce à une collaboration public-privé, et les intervenants ont souligné la nécessité pour d’autres secteurs d’infrastructures critiques de faire progresser la cyber-résilience. L’importance d’augmenter les coûts pour les attaquants et d’encourager les entreprises à faire ce qu’il faut a également été soulevée.
Et après?
Dans le panel final, animé par Jason Healey, les participants ont examiné comment leurs politiques et solutions proposées pourraient changer compte tenu des perspectives pour l’année à venir, à la lumière des technologies émergentes et des cyber-risques associés. Les panélistes—Chris Giancarlo (fondateur de la Digital Dollar Foundation et ancien président de la CFTC); Danny Brando (directeur du programme de politique de cybersécurité, groupe de supervision de la Fed de New York ); Steven Silberstein (PDG du Financial Services Information Sharing and Analysis Center) ; et Naveen Zaidi (ancien directeur, US Regulatory Strategy chez AWS) – ont offert un ensemble diversifié de points de vue sur les risques et les opportunités à venir.
Un panéliste s’est penché sur les futures innovations technologiques susceptibles de renforcer la résilience, notamment en ce qui concerne l’architecture du système financier. D’autres ont suggéré que s’il existe actuellement une forte dissuasion pour les décideurs politiques de perturber l’économie mondiale, cela pourrait changer à l’avenir en raison du découplage des pays ou de la démondialisation. Beaucoup ont convenu qu’il était important que les institutions financières se concentrent sur la cyber-hygiène quotidienne et soient préparées aux risques potentiels posés par les technologies émergentes telles que l’intelligence artificielle.
La fintech et les risques technologiques futurs ont également été discutés, y compris la nécessité d’être prêt pour le quantum et crypto-agile. Les panélistes ont discuté des solutions réglementaires de fintech et du rapport du Trésor, qui a identifié le cloud computing comme un domaine de préoccupation clé, soulignant que les informations des fournisseurs de services cloud étaient insuffisantes pour répondre aux normes réglementaires.
Dans l’ensemble, les experts ont convenu que l’architecture de la finance est en train de changer et que les institutions financières doivent être prêtes à s’adapter à la nouvelle ère de la finance. Ils ont souligné l’importance de la défense interne, de la cyber-hygiène quotidienne et de la résilience face aux perturbations. Alors que la montée en puissance des monnaies numériques des banques centrales et de la monnaie numérique se poursuit, il est de plus en plus important que les institutions financières et les régulateurs travaillent ensemble pour faire face aux risques et défis potentiels posés par ces technologies émergentes.
Dans son allocution de clôture, Anna Kovner a observé que le secteur des services financiers est actuellement aux prises avec le défi de répondre aux demandes de services d’intermédiation tout en garantissant le niveau nécessaire de sécurité et de résilience.
Nitansha Bansal est consultante en cybersécurité.
Jason Healey est chercheur principal à la School for International and Public Affairs de l’Université de Columbia, spécialisé dans les cyberconflits, la concurrence et la coopération.
Anna Kovner est directrice de la recherche sur les politiques de stabilité financière au sein du Groupe de la recherche et des statistiques de la Banque.
Michael Junho Lee est économiste de recherche financière dans les études sur la monnaie et les paiements au sein du groupe de recherche et de statistiques de la Federal Reserve Bank de New York.
Patricia C. Mosser est directrice du programme MPA en gestion des politiques économiques à l’École des affaires internationales et publiques de l’Université de Columbia et dirige l’initiative de l’école sur la banque centrale et la politique financière.
Virpratap Vikram Singh est le coordinateur de la recherche et du programme pour le Cyber Program de la School of International and Public Affairs de l’Université de Columbia.
Comment citer cet article :
Nitansha Bansal, Jason Healey, Anna Kovner, Michael Lee, Patricia Mosser et Virpratap Vikram Singh, « 2023 State-of-the-Field Conference on Cyber Risk to Financial Stability », Federal Reserve Bank of New York Économie de Liberty Street16 juin 2023, https://libertystreeteconomics.newyorkfed.org/2023/06/2023-state-of-the-field-conference-on-cyber-risk-to-financial-stability/.
Clause de non-responsabilité
Les opinions exprimées dans cet article sont celles des auteurs et ne reflètent pas nécessairement la position de la Federal Reserve Bank de New York ou du Federal Reserve System. Toute erreur ou omission relève de la responsabilité des auteurs.
