La Federal Reserve Bank de New York s’est associée à la School of International and Public Affairs (SIPA) de l’Université Columbia pour la deuxième conférence annuelle sur l’état du terrain sur le cyber-risque pour la stabilité financière les 14 et 15 décembre 2020. Organisée virtuellement en raison de la pandémie de COVID-19, la conférence a eu lieu au milieu de l’actualité d’une cyberattaque contre un important fournisseur de cybersécurité et un fournisseur de logiciels, soulignant les vulnérabilités du cyber-risque.
Les cyber-risques peuvent être systémiques
Le doyen de SIPA Merit E. Janow a ouvert la conférence par une discussion au coin du feu avec Arthur Lindo, directeur adjoint, Régulation et supervision, Federal Reserve Board, et Jason Witty, Head of Cybersecurity & Technology Controls, CISO, JPMorgan Chase, a prononcé le discours d’ouverture du deuxième jour de la conférence.
Au cours des deux jours, les panélistes ont discuté de la recherche actuelle sur le risque cyber-systémique ; les efforts continus des secteurs public et privé pour lutter contre le cyber-risque ; et les prochaines étapes possibles que les secteurs de la cybersécurité et de la finance peuvent prendre pour renforcer les cadres de stabilité financière à la lumière de l’évolution des cybermenaces. Cet article de blog passe en revue certaines de ces conversations. Consultez le programme complet de la conférence pour une sélection d’enregistrements et de publications de recherche.
Qu’apprenons-nous ?
Dans un panel intitulé « Qu’apprenons-nous ? », la modératrice Anna Kovner, de la Fed de New York, a invité les participants à discuter de leurs recherches en cours sur le risque cyber-systémique, démontrant diverses approches analytiques pour évaluer l’impact des cybermenaces sur le système financier et le système financier au sens large. économie.
Leonardo Gambacorta, Banque des règlements internationaux, a partagé ses réflexions sur les moteurs et les coûts du cyber-risque. Une étude intersectorielle a montré qu’une fréquence plus élevée de cyberincidents dans le secteur financier ne correspondait pas à une perte brute plus élevée par rapport aux autres secteurs. La connectivité entre les institutions avait tendance à augmenter les coûts associés aux cyberattaques, et la technologie cloud a été soulignée comme un facteur croissant de cyber-risque. En regardant à travers les pays, alors que la cyber ne représente qu’une petite fraction des pertes opérationnelles subies par les entreprises, l’éventail de la cyber valeur à risque (la pire perte attendue sur un horizon temporel donné à un niveau de confiance donné) peut être large. Gambacorta a noté une forte augmentation des cyberattaques suite à l’augmentation du travail à distance pendant la pandémie de COVID-19, les travailleurs du secteur financier étant particulièrement ciblés.
Michael Lee, de la Fed de New York, a discuté des caractéristiques systémiques du cyber-risque, sur la base de travaux impliquant des scénarios de cyberattaque dans le système de paiement de gros. L’étude a révélé que la concentration de l’activité financière et la vitesse des activités de paiement sont des facteurs qui contribuent à l’impact d’une cyberattaque à l’échelle du système. Une interruption de l’activité de paiement dans une des cinq premières banques pourrait avoir un impact important sur les conditions de liquidité d’autres institutions et avoir des retombées supplémentaires sur l’économie au sens large. Lee a averti que l’intention et les informations détenues par un attaquant pourraient augmenter l’impact d’une cyberattaque, tout comme les vulnérabilités technologiques et les fournisseurs de services partagés entre les institutions financières.
Jonathan Welburn, RAND Corporation, a parlé de son travail sur les réseaux d’entreprise dans tous les secteurs. Il a résumé une approche de modélisation des pertes globales résultant d’une panne de l’entreprise qui s’étend en aval. Des entreprises d’importance systémique ont été trouvées dans de nombreux secteurs, ce qui indique que le risque systémique est assez répandu dans l’ensemble de l’économie. Faisant comprendre l’importance de la dépendance numérique croissante, il a observé que les fournisseurs de services numériques étaient fortement représentés parmi les entreprises d’importance systémique.
L’analyse du risque cyber est de plus en plus intégrée à l’analyse des notations souveraines et de crédit chez Moody’s, a noté Leroy Terrelonge III, puisque la cyber touche à de multiples méthodologies et scores factoriels, tels que la force économique. L’un des principaux défis pour comprendre les risques qui découlent de différents types de cyberincidents est le manque d’informations sur la préparation. Moody’s a créé ses propres mesures de préparation à la cybersécurité en utilisant les réponses anonymes et agrégées des émetteurs issues d’enquêtes mondiales.
Pour équilibrer le partage d’informations avec la confidentialité, Terrelonge a souligné le rôle important des questions intentionnelles et des divulgations d’informations flexibles et volontaires. Lee considérait la compréhension des vulnérabilités partagées comme un élément important de la gestion du risque cyber-systémique. Gambacorta a souligné que les secteurs public et privé doivent poursuivre leur collaboration et renforcer la résilience opérationnelle par le biais d’exercices de simulation, un sujet qui a été approfondi au cours de la deuxième journée de la conférence.
Qu’est-ce que nous faisons?
Modérant un panel intitulé « Que faisons-nous ? », Patricia Mosser, SIPA, a demandé à un groupe diversifié d’experts de discuter des efforts concrets visant à lutter contre les cyber-risques pour la stabilité financière aujourd’hui.
COVID-19 a rapidement accéléré la transformation numérique et accru l’utilisation des services financiers numériques. Yeow Seng Tan, Autorité monétaire de Singapour, a souligné que Singapour avait six fois plus de transactions de paiement électronique à la mi-2020 qu’au cours de la période similaire de l’année précédente. Pour faire face à l’adoption rapide de la technologie numérique et à l’augmentation des cyber-risques, Tan a souligné que les régulateurs doivent s’adapter. Il a également donné un aperçu de plusieurs plans de transformation de la cybersécurité, y compris des projets visant à cartographier les cyber-interconnexions des institutions financières de Singapour pour faire face aux risques de tiers, créer des cadres pour comprendre les cyber-défis des risques opérationnels et financiers et développer un cadre analytique axé sur le secteur financier. .
Abordant l’importance des exercices de scénario, Greg Rattray, SIPA, a souligné son expérience récente à la tête du groupe de travail sur la cybersécurité de New York de SIPA et son travail avec des experts de nombreux secteurs industriels pour identifier les améliorations à apporter à la collaboration opérationnelle entre le gouvernement américain et le secteur privé. Il a observé qu’il est difficile pour les institutions et les experts d’envisager les scénarios plausibles où les cyber-risques entraînent des pertes généralisées. Les attaques contre les principales banques et fournisseurs de services mondiaux peuvent avoir un impact significatif sur les opérations commerciales et même saper la sécurité nationale. Rattray a souligné que la réflexion sur ces scénarios est importante, mais aussi très difficile car elle nécessite de quantifier les impacts d’événements potentiellement catastrophiques.
Malgré la nature mondiale du système financier et le potentiel de propagation des chocs au-delà des frontières, les efforts mondiaux sont limités pour faire face au cyber-risque systémique et à la résilience. Arthur Nelson a résumé une évaluation récente par la Cyber Policy Initiative du Carnegie Endowment des initiatives de coopération mondiale existantes, qui a révélé que ces initiatives sont réactives et fonctionnent de manière indépendante. Nelson a présenté les recommandations du rapport sur les domaines potentiels d’amélioration de la connectivité, soulignant que le secteur financier, grâce à des incitations mondiales partagées, est un moyen de renforcer la confiance et de faciliter la cyber coopération avec d’autres pays.
Nelson et Tan ont tous deux souligné les activités en cours pour améliorer la communication et la coopération mondiales, tandis que tous les panélistes ont souligné l’importance d’une meilleure collaboration pour la résilience du secteur financier. Abordant les mécanismes potentiels de dissuasion, Rattray a averti que les cyberattaques, comme les récents piratages de SolarWinds, soulignent la nécessité de mesures défensives pour perturber les attaquants.
Et après?
Lors de la discussion finale, animée par Jason Healey, les panélistes ont examiné comment les cyber-risques, ainsi que leurs politiques et solutions proposées, pourraient changer compte tenu des perspectives pour les prochaines années.
La montée des tensions géopolitiques et la concurrence des grandes puissances auront un impact sur l’avenir du cyber-risque. Barry Pavel, directeur du Scowcroft Center for Strategy and Security au Atlantic Council, a souligné que les cyberattaques occuperont une place prépondérante dans les conflits en cours entre les États-Unis et la Russie et la Chine. Des attaques, telles que le piratage de SolarWinds, soulignent l’importance des risques liés aux tiers et à la chaîne d’approvisionnement, et Pavel a souligné que le potentiel croissant des cyber-risques dans tous les secteurs doit faire partie du calcul des risques d’instabilité financière.
Faisant écho aux préoccupations des panels précédents, Jeremy Brotherton, de l’équipe nationale d’intervention en cas d’incident de la Réserve fédérale, a souligné que l’adoption multisectorielle de services tiers, y compris l’informatique en nuage, introduisait des points de défaillance uniques dans tout le système. Une attaque réussie contre un fournisseur de services numériques pourrait avoir des effets de grande envergure.
Des partenariats publics et privés solides et des coalitions internationales partageant les mêmes idées sont des activités nécessaires pour contrer les menaces futures, telles que les ransomwares et les risques liés à la chaîne d’approvisionnement. Alexandra Friedman, Bureau du Trésor américain pour la cybersécurité et la protection des infrastructures critiques, a constaté que les activités collectives pendant la pandémie entre les agences gouvernementales américaines, les régulateurs et les partenaires privés ont aidé à créer et à renforcer des mécanismes de collaboration qui pourraient être exploités à l’avenir. De plus, des efforts sont en cours pour comprendre la connectivité intersectorielle, comme dans les secteurs de la finance et des technologies de l’information et des communications.
Compte tenu des défis et des risques futurs, tels que l’inclusion de la Fintech dans les systèmes financiers, Friedman a observé que l’impact et les risques potentiels dépendent de la connectivité du réseau financier et des mesures mises en place par les entreprises pour gérer leurs risques. Brotherton a souligné que les entreprises doivent avoir mis en place des principes fondamentaux de cybersécurité, tels que des systèmes de sauvegarde, des plans de continuité et de récupération, et des exercices commerciaux et techniques. La planification de scénarios et les ressources et exercices intersectoriels et interinstitutions sont d’autres domaines clés pour renforcer la résilience.
Jennifer Gennaro est la cyber-boursière à la School of International and Public Affairs de l’Université Columbia.
Jason Healey est chercheur principal à la School of International and Public Affairs de l’Université Columbia.
Anna Kovner est responsable de la politique de stabilité financière au sein du groupe de recherche et de statistiques de la Federal Reserve Bank de New York.
Michael Lee est économiste au sein du Groupe de recherche et de statistiques de la Banque.
Patricia Mosser est directrice du programme MPA en gestion des politiques économiques à la School of International and Public Affairs de l’Université Columbia.
Comment citer ce post :
Jennifer Gennaro, Jason Healey, Anna Kovner, Michael Lee et Patricia Mosser, « Conférence sur l’état du terrain sur le cyber-risque pour la stabilité financière », Banque fédérale de réserve de New York Économie de la rue de la liberté, https://libertystreeteconomics.newyorkfed.org/2021/02/state-of-the-field-conference-on-cyber-risk-to-financial-stability.html.
Lecture connexe
Comprendre le cyber-risque : leçons d’un récent atelier de la Fed
Les profils de risque des grandes sociétés de portefeuille bancaires américaines ont-ils changé ?
Avertissement
Les opinions exprimées dans cet article sont celles de l’auteur et ne reflètent pas nécessairement la position de la Federal Reserve Bank de New York ou du Federal Reserve System. Toute erreur ou omission est de la responsabilité de l’auteur.
