La Federal Reserve Bank of New York s’est associée à la School of International and Public Affairs (SIPA) de l’Université Columbia pour la deuxième conférence annuelle State-of-the-Field sur le cyber-risque et la stabilité financière les 14 et 15 décembre 2020. Organisé virtuellement en raison de la pandémie COVID-19, la conférence s’est déroulée au milieu de la nouvelle d’une cyberattaque contre un grand fournisseur de cybersécurité et de logiciel, soulignant les vulnérabilités liées au cyber-risque.
Les cyberrisques peuvent être systémiques
SIPA Dean Merit E. Janow a ouvert la conférence par une discussion au coin du feu avec Arthur Lindo, directeur adjoint, Réglementation et supervision, Federal Reserve Board, et Jason Witty, responsable Cybersecurity & Technology Controls, RSSI, JPMorgan Chase, ont prononcé un discours d’ouverture sur le deuxième jour de la conférence.
Au cours des deux jours, les panélistes ont discuté de la recherche actuelle sur le risque cybystémique; les efforts continus des secteurs public et privé pour lutter contre les cyberrisques; et les prochaines étapes que les secteurs de la cybersécurité et de la finance peuvent prendre pour renforcer les cadres de stabilité financière à la lumière de l’évolution des cybermenaces. Ce billet de blog passe en revue certaines de ces conversations – consultez le programme complet de la conférence pour une sélection d’enregistrements et de publications de recherche.
Qu’apprend-on?
Dans un panel intitulé «What Are We Learning?», La modératrice Anna Kovner, de la Fed de New York, a invité les participants à discuter de leurs recherches en cours sur les risques cybystémiques, démontrant diverses approches analytiques pour évaluer l’impact des cybermenaces sur le système financier et plus économie.
Leonardo Gambacorta, de la Banque des règlements internationaux, a partagé ses idées sur les facteurs et les coûts du cyber-risque. Une étude intersectorielle a montré qu’une fréquence plus élevée de cyberincidents dans le secteur financier ne correspondait pas à une perte brute plus élevée par rapport aux autres secteurs. La connectivité entre les institutions avait tendance à augmenter les coûts associés aux cyberattaques, et la technologie cloud a été mise en avant comme un facteur croissant de cyber-risque. Si l’on examine les pays, alors que la cybercriminalité ne représente qu’une petite fraction des pertes opérationnelles subies par les entreprises, la fourchette de la cyber valeur à risque (la pire perte attendue sur un horizon temporel donné à un niveau de confiance donné) peut être large. Gambacorta a noté une forte augmentation des cyberattaques suite à l’augmentation du travail à distance pendant la pandémie COVID-19, les travailleurs du secteur financier étant particulièrement visés.
Michael Lee, de la Fed de New York, a discuté des caractéristiques systémiques du cyber-risque, sur la base de travaux impliquant des scénarios de cyberattaque dans le système de paiement de gros. L’étude a révélé que la concentration de l’activité financière et la vitesse de l’activité de paiement sont des facteurs qui contribuent à l’impact à l’échelle du système d’une cyberattaque. Une perturbation des activités de paiement dans l’une des cinq premières banques pourrait avoir un impact significatif sur les conditions de liquidité d’autres institutions et avoir des retombées supplémentaires sur l’économie dans son ensemble. Lee a averti que l’intention et les informations détenues par un attaquant pourraient augmenter l’impact d’une cyberattaque, tout comme les vulnérabilités technologiques et les fournisseurs de services partagés entre les institutions financières.
Jonathan Welburn, RAND Corporation, a discuté de son travail sur les réseaux au niveau des entreprises dans tous les secteurs. Il a résumé une approche de modélisation des pertes globales résultant d’une panne d’entreprise qui s’étend en aval. Des entreprises d’importance systémique ont été trouvées dans de nombreux secteurs, ce qui indique que le risque systémique est assez répandu dans l’ensemble de l’économie. Faisant ressortir l’importance de l’augmentation de la dépendance numérique, il a observé que les fournisseurs de services numériques étaient fortement représentés parmi les entreprises d’importance systémique.
L’analyse des cyberrisques est de plus en plus intégrée à l’analyse des notations souveraines et de crédit chez Moody’s, a noté Leroy Terrelonge III, car le cyber touche à de multiples méthodologies et scores factoriels, tels que la force économique. L’un des principaux défis pour comprendre les risques découlant de différents types d’incidents informatiques est le manque d’informations sur la préparation. Moody’s a créé ses propres mesures de la préparation à la cybersécurité en utilisant des réponses anonymes et agrégées des émetteurs issues d’enquêtes mondiales.
Afin d’équilibrer le partage d’informations avec la confidentialité, Terrelonge a souligné le rôle important des questions intentionnelles et des divulgations d’informations flexibles et volontaires. Lee considérait la compréhension des vulnérabilités partagées comme un élément important de la lutte contre le risque cybystémique. Gambacorta a souligné que les secteurs public et privé doivent poursuivre leur collaboration et renforcer la résilience opérationnelle grâce à des exercices de simulation – un sujet qui a été approfondi au cours de la deuxième journée de la conférence.
Que faisons-nous?
Animant un panel intitulé «Que faisons-nous?», Patricia Mosser, SIPA, a demandé à un groupe d’experts diversifié de discuter des efforts concrets pour aborder les cyberrisques pour la stabilité financière aujourd’hui.
COVID-19 a rapidement accéléré la transformation numérique et augmenté l’utilisation des services financiers numériques. Yeow Seng Tan, Autorité monétaire de Singapour, a souligné que Singapour avait six fois plus de transactions de paiement électronique à la mi-2020 qu’au cours de la période similaire de l’année précédente. Pour faire face à l’adoption rapide de la technologie numérique et à l’augmentation des cyberrisques, Tan a souligné que les régulateurs doivent s’adapter. Il a également donné un aperçu de plusieurs plans de transformation de la cybersécurité, y compris des projets visant à cartographier les cyber-interconnexions des institutions financières de Singapour pour faire face aux risques de tiers, à créer des cadres pour comprendre les cyber-défis liés au risque opérationnel et financier et à développer un cadre analytique axé sur le secteur financier. .
Abordant l’importance des exercices de scénarios, Greg Rattray, SIPA, a souligné sa récente expérience à la tête du New York Cyber Task Force du SIPA et son travail avec des experts de nombreux secteurs industriels pour identifier les améliorations de la collaboration opérationnelle entre le gouvernement américain et le secteur privé. Il a observé qu’il est difficile pour les institutions et les experts d’envisager les scénarios plausibles où les cyber-risques entraînent des pertes généralisées. Les attaques contre les grandes banques mondiales et les fournisseurs de services peuvent avoir un impact significatif sur les opérations commerciales et même saper la sécurité nationale. Rattray a souligné que réfléchir à ces scénarios est important, mais aussi très difficile car cela nécessite de quantifier les impacts d’événements potentiellement catastrophiques.
Malgré la nature mondiale du système financier et la possibilité que les chocs se propagent à travers les frontières, les efforts mondiaux sont limités pour lutter contre les cyberrisques systémiques et la résilience. Arthur Nelson a résumé une évaluation récente par la Cyber Policy Initiative du Carnegie Endowment des initiatives de coopération mondiale existantes, qui a révélé que ces initiatives sont réactives et fonctionnent de manière indépendante. Nelson a présenté les recommandations du rapport sur les domaines potentiels d’amélioration de la connectivité, soulignant que le secteur financier, grâce à des incitations mondiales partagées, est un moyen de renforcer la confiance et de faciliter la cyber-coopération avec d’autres pays.
Nelson et Tan ont tous deux mis l’accent sur les activités actuelles visant à améliorer la communication et la coopération mondiales, tandis que tous les panélistes ont souligné l’importance d’une collaboration améliorée pour la résilience du secteur financier. Abordant les mécanismes potentiels de dissuasion, Rattray a averti que les cyberattaques, comme les récents hacks de SolarWinds, soulignent la nécessité de mesures défensives pour perturber les attaquants.
Et après?
Dans la discussion finale, animée par Jason Healey, les panélistes ont examiné comment les cyberrisques, ainsi que les politiques et solutions proposées, pourraient changer compte tenu des perspectives pour les prochaines années.
La montée des tensions géopolitiques et la concurrence des grandes puissances auront un impact sur l’avenir du cyber-risque. Barry Pavel, directeur du Centre Scowcroft pour la stratégie et la sécurité au Conseil de l’Atlantique, a souligné que les cyberattaques figureront en bonne place dans les conflits en cours entre les États-Unis et la Russie et la Chine. Les attaques, telles que le piratage de SolarWinds, soulignent l’importance des risques liés aux tiers et à la chaîne d’approvisionnement, et Pavel a souligné que le potentiel croissant de cyberrisques dans tous les secteurs doit faire partie du calcul du risque d’instabilité financière.
Faisant écho aux préoccupations des panels précédents, Jeremy Brotherton, de l’équipe nationale d’intervention en cas d’incident de la Réserve fédérale, a souligné que l’adoption multisectorielle de services tiers, y compris le cloud computing, introduit des points de défaillance uniques dans tout le système. Une attaque réussie contre un fournisseur de services numériques pourrait avoir des effets considérables.
Des partenariats publics et privés solides et des coalitions internationales aux vues similaires sont des activités nécessaires pour contrer les menaces futures, telles que les ransomwares et les risques liés à la chaîne d’approvisionnement. Alexandra Friedman, du Trésor américain pour la cybersécurité et la protection des infrastructures critiques, a vu que les activités collectives pendant la pandémie entre les agences gouvernementales américaines, les régulateurs et les partenaires privés ont aidé à créer et à renforcer des mécanismes de collaboration qui pourraient être mis à profit à l’avenir. En outre, des efforts sont en cours pour comprendre la connectivité intersectorielle, comme dans les secteurs des finances et des technologies de l’information et des communications.
Compte tenu des défis et des risques futurs, tels que l’inclusion de la Fintech dans les systèmes financiers, Friedman a observé que l’impact et les risques potentiels dépendent de la connectivité du réseau financier et des mesures que les entreprises mettent en place pour gérer leurs risques. Brotherton a souligné que les entreprises doivent mettre en place des principes fondamentaux de cybersécurité, tels que des systèmes de sauvegarde, des plans de continuité et de reprise, ainsi que des exercices commerciaux et techniques. La planification de scénarios et les ressources et exercices intersectoriels et interinstitutions sont d’autres domaines clés pour renforcer la résilience.
Jennifer Gennaro est la cyber-chercheuse à la School of International and Public Affairs de l’Université Columbia.
Jason Healey est chercheur principal à la School of International and Public Affairs de l’Université Columbia.
Anna Kovner est vice-présidente du groupe de recherche et de statistique de la Federal Reserve Bank of New York.
Michael Lee est économiste au sein du groupe de recherche et de statistique de la Banque.
Patricia Mosser est directrice du programme MPA en gestion des politiques économiques à l’École des affaires internationales et publiques de l’Université Columbia.
Comment citer cet article:
Jennifer Gennaro, Jason Healey, Anna Kovner, Michael Lee et Patricia Mosser, «State-of-the-Field Conference on Cyber Risk to Financial Stability», Federal Reserve Bank of New York Économie de Liberty Street, https://libertystreeteconomics.newyorkfed.org/2021/02/state-of-the-field-conference-on-cyber-risk-to-financial-stability.html.
Lecture connexe
Comprendre le cyberrisque: leçons d’un récent atelier de la Fed
Les profils de risque des grandes sociétés de portefeuille bancaires américaines ont-ils changé?
Avertissement
Les opinions exprimées dans ce billet sont celles de l’auteur et ne reflètent pas nécessairement la position de la Federal Reserve Bank of New York ou du Federal Reserve System. Toute erreur ou omission est de la responsabilité de l’auteur.
