Le cyber-risque constitue une menace majeure pour la stabilité financière, mais les institutions financières manquent encore de consensus sur la définition et la terminologie du cyber-risque et n'ont pas de cadre commun pour faire face à ces dangers. Cela entrave les efforts de mesure et de gestion de ces risques, diminuant la disposition individuelle et collective des institutions à gérer les cybermenaces au niveau du système. Dans cet article de blog, nous décrivons les actes d'un récent atelier où les principaux gestionnaires des risques, les universitaires et les décideurs se sont réunis pour discuter des propositions de lutte contre les cyberrisques. Cet atelier fait partie d’une initiative conjointe en deux phases dirigée par les banques de réserve fédérale de Richmond et de New York et le Conseil des gouverneurs de la Fed pour harmoniser les pratiques d’identification, de classification et de mesure des cyberrisques.
Cyber-risque et stabilité financière
Dans son discours d'ouverture, Patricia Mosser de l'Université Columbia a présenté ses récents travaux sur la façon dont les cyber-événements peuvent interagir avec d'autres risques financiers pour provoquer des crises systémiques et menacer ainsi la résilience et la stabilité du système financier. Pour combler l'écart entre le cyber-risque et la stabilité financière, elle a introduit un cadre général pour mieux comprendre comment les cyber-événements dans les institutions financières peuvent avoir des conséquences déstabilisantes. Ces effets peuvent résulter de l’interconnexion et de la dépendance du système financier à l’égard de quelques plateformes clés – plateformes de négociation électronique, bourses et chambres de compensation – qui remplissent des fonctions cruciales et fournissent des services à l’ensemble du secteur financier. Des solutions de contournement viables peuvent être difficiles à trouver si un incident affecte de manière significative ces systèmes ou institutions. Les cyberattaques peuvent également entraîner des problèmes d'intégrité des données, entraînant potentiellement une perte de confiance avec des conséquences systémiques. Dans ses remarques finales, Mosser a souligné l'importance des efforts de collecte et de quantification des données pour mieux comprendre et évaluer les effets du cyber-risque.
Identifier et classer les cyber-risques
Dans le premier des trois panels, Steve Bishop (ORX), Deborah Bodeau (The MITRE Corporation), Todd Waszkelewicz (Federal Reserve Bank of New York) et Dawn Rieth (PNC) ont discuté de l'identification et de la classification des cyberrisques. Les participants au panel se sont accordés à dire que les cadres et méthodologies existants – en particulier la classification des risques opérationnels de Bâle – n'étaient pas conçus pour faire face aux menaces de cyberrisques qui posent des défis importants. En outre, les cadres de gestion des risques des entreprises financières se sont traditionnellement concentrés sur les pertes financières directes en tant que déclencheurs de l'identification des cyber-événements. Cependant, les cyberattaques qui n'entraînent pas de pertes financières directes peuvent encore entraîner des coûts de nettoyage et de réputation importants pour les institutions concernées. Certains participants ont également noté que les équipes informatiques et de gestion des risques ne sont pas bien intégrées et ne communiquent pas facilement entre elles en matière de cyber-risque, créant des obstacles au sein des institutions individuelles. Enfin, pour favoriser une meilleure compréhension du cyber-risque, les panélistes ont suggéré de développer davantage la taxonomie, de normaliser la classification et d'améliorer l'enregistrement et l'analyse comparative des données.
Mesurer le cyber-risque
Dans le deuxième panel, Gilles Hilary (Georgetown University), Patrick Naim (Elseware), Denyette DePierro (ABA), Phil Collet (American Express) et John DeLong (Morgan Stanley) ont discuté de l'impact et de la mesure du cyber-risque. La discussion a mis en évidence la variété des approches actuellement utilisées, la plupart des cadres utilisant des scénarios quantitatifs pour estimer l'exposition au cyber-risque. En règle générale, les experts en la matière évaluent d'abord les paramètres associés à divers scénarios de cyberattaque, y compris la fréquence des attaques, la probabilité d'une attaque réussie et l'impact d'une telle violation. Ces scénarios sont ensuite quantifiés à travers des cadres statistiques.
Une proposition demandait aux institutions financières de mener chacune une analyse de scénario standardisée, puis de partager les résultats (anonymisés) entre elles. Les panélistes avaient des opinions différentes sur la question de savoir si un rapport regroupant ces résultats fournirait des informations aux institutions participantes. D'une part, les panélistes ont convenu qu'il serait utile de lier un ensemble de facteurs observables – tels que les applications informatiques, les fournisseurs tiers et le nombre de clients – à l'exposition aux cyberrisques. D'un autre côté, la conception d'un ensemble de scénarios normalisés applicables de manière cohérente à l'ensemble de l'industrie serait une tâche difficile. Un autre obstacle est la variété des cadres analytiques utilisés par les banques et le manque potentiel de comparabilité des résultats entre ces cadres. Certains panélistes se sont également inquiétés du fait que si les organismes de réglementation devaient collecter des données sur les cyber-pertes et concevoir les scénarios, ces informations pourraient plus tard être utilisées à des fins de surveillance indépendantes.
Le rôle du système de réserve fédérale
Le troisième panel a parlé du rôle du système de la Réserve fédérale dans l'espace des cyberrisques. Les panélistes René Stulz (Ohio State University), Todd Vermilyea (Conseil des gouverneurs), Keith Gordon (Ally) et Nida Davis (Conseil des gouverneurs) ont convenu que la Fed devrait jouer un rôle dans l'atténuation des conséquences systémiques du cyber-risque. Les participants ont souligné les avantages de la Fed de pouvoir fournir une perspective horizontale et d'identifier les meilleures pratiques; ils ont également souligné la nécessité d'une cohérence et d'une étroite collaboration entre le secteur privé et le secteur public, tant au niveau national qu'international. D'autres ont également noté le manque actuel de talents dans le domaine des cyberrisques et ont suggéré des collaborations avec des établissements universitaires pour élargir le bassin de talents disponibles pour les entreprises privées et les agences gouvernementales.
Prochaines étapes
Le cyber-risque et la résilience aux cyber-risques sont les principales priorités du système de la Réserve fédérale, comme l'a souligné le vice-président de la supervision, Randal K. Quarles, dans un discours prononcé lors du forum conjoint de l'industrie 2019 de l'Information Information Institute Pour s'appuyer sur les étapes exposées lors de l'atelier, les organisateurs prépareront un livre blanc résumant les propositions et les discussions de l'atelier. D'autres discussions sur ces propositions auront lieu lors d'un atelier qui suivra plus tard cette année. La Réserve fédérale continuera d'évaluer les problèmes liés aux cyberrisques et proposera des initiatives supplémentaires pour mieux mesurer et évaluer l'exposition aux cyberrisques et améliorer la robustesse et la résilience globales du système financier.
Avertissement
Les opinions exprimées dans ce billet sont celles des auteurs et ne reflètent pas nécessairement la position de la Federal Reserve Bank de New York ou du Federal Reserve System. Toute erreur ou omission relève de la responsabilité des auteurs.
Gara Afonso est vice-présidente adjointe du groupe de recherche et de statistiques de la Banque fédérale de réserve de New York.
Filippo Curti est économiste financier au sein du Quantitative Supervision & Research Group de la Federal Reserve Bank de Richmond.
Ping McLemore est économiste financier au sein du Quantitative Supervision & Research Group de la Federal Reserve Bank de Richmond.
Atanas Mihov est économiste financier au sein du Quantitative Supervision & Research Group de la Federal Reserve Bank de Richmond.
Comment citer ce billet de blog:
Gara Afonso, Filippo Curti, Ping McLemore et Atanas Mihov, «Understanding Cyber Risk: Lessons from a recent Fed Workshop», Federal Reserve Bank of New York Liberty Street Economics (blog), 17 mai 2019, https://libertystreeteconomics.newyorkfed.org/2019/05/-understanding-cyber-risk-lessons-from-a-recent-fed-workshop.html.
