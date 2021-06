Les violations de données doivent être traitées comme la preuve d’un problème de cybersécurité systémique que les acteurs et les régulateurs doivent résoudre, en développant des stratégies pour un cyberespace financier sécurisé.

Par Sohini Banerjee et KS Roshan Menon

Le secteur financier indien est confronté à un problème de cybersécurité en plein essor. De récentes cyberattaques soulignent la gravité de ce malaise. Mobikwik, la start-up de traitement numérique des crédits et des paiements, aurait subi une violation de données qui aurait compromis les données personnelles de près de 10 millions d’utilisateurs. La violation a vu la compromission de données sensibles, y compris les informations de crédit et de débit, avec des reportages suggérant que ces données étaient par conséquent mises en vente sur le dark web.

La violation de données Mobikwik n’est pas un incident isolé. Récemment, le processeur de paiement JusPay a reconnu la violation de 3,5 millions d’enregistrements de données masquées de cartes de crédit et d’empreintes digitales, notant que la vulnérabilité se manifestait par un système isolé qui stockait ces données à des fins d’affichage. Les commentateurs ont rapidement établi des liens entre les deux violations, identifiant la cybersécurité comme une priorité vitale pour les start-up du secteur financier.

Ces violations doivent être traitées comme la preuve d’un problème de cybersécurité systémique que les acteurs et les régulateurs doivent résoudre, en développant des stratégies pour un cyberespace financier sécurisé. La cyber-résilience devrait être utilisée comme un moyen d’identifier une série d’interventions qui aident à construire une cyber-résilience significative pour le secteur financier indien.

La cyber-résilience fait référence au processus à trois volets consistant à renforcer la capacité des entités à se préparer de manière proactive, à réagir et à se remettre rapidement des perturbations. Dupont définit le concept comme « la capacité de résister, de récupérer et de s’adapter aux chocs externes causés par les cyber-risques », indiquant que le cœur de la résilience ne réside pas dans de simples approches « réagir et signaler » de la cybersécurité. Au lieu de cela, la résilience se concentre sur le concept de renforcement des capacités, soulignant la nécessité de promouvoir une culture au sein des entités financières qui donne la priorité à la cybersécurité à différents niveaux organisationnels et techniques.

Il est important de noter que la cyber-résilience n’est pas un concept nouveau parmi les régulateurs indiens. Des instruments tels que les directives de la Reserve Bank of India (« RBI ») sur la sécurité de l’information, les services bancaires électroniques, la gestion des risques technologiques et les cyberfraudes, 2011 ont mis l’accent sur l’élaboration de stratégies informatiques « résilientes à l’échec ». En outre, la Circulaire de 2016 sur le cadre de la cybersécurité dans les banques et la Direction générale sur les contrôles de sécurité des paiements numériques, 2021 ont appliqué les principes de résilience aux nouveaux produits financiers. Ces instruments étaient axés sur la sécurisation des données financières et l’évaluation de la résilience des systèmes financiers.

Il est évident que les régulateurs ont cherché à intégrer la cyber-résilience dans le fonctionnement des institutions financières dès le début. Cependant, l’assaut continu des violations de données, associé à une perception de cyber-risque élevé parmi les institutions financières, semble suggérer que le cadre réglementaire existant n’a pas réussi à créer des paradigmes de résilience efficaces pour lutter contre les cyberattaques.

Nous pensons que l’échec d’une telle réglementation réside dans son incapacité à s’engager dans la résilience de manière significative. Une correction de cap s’impose, et pour la même, nous proposons trois interventions.

Premièrement, la réglementation en Inde doit définir la cyber-résilience. Cela a des avantages marqués – une définition plus large peut aider la RBI à se débarrasser de sa première approche «technologique» de la cybersécurité – en s’adaptant à d’autres paradigmes pour sécuriser les cyberréseaux. Cela peut à son tour rendre la cybersécurité multidisciplinaire. À titre d’exemple, les experts en sécurité peuvent collaborer avec des spécialistes de la protection de la vie privée sur des cadres de conception pour le traitement sécurisé des données personnelles. Des cadres de résilience qui reconnaissent de telles approches multidisciplinaires peuvent être davantage bénéfiques pour les entités réglementées, qui peuvent alors puiser dans davantage de sources pour concevoir des stratégies de cybersécurité adaptées aux risques.

Deuxièmement, l’approche de la RBI devrait tenir compte d’une auto-évaluation solide. À l’heure actuelle, malgré des références périodiques à l’auto-évaluation dans ses règlements, l’approche de la RBI ne tente pas un engagement significatif sur l’auto-évaluation. Un examen attentif de la réglementation existante indique l’absence de « listes de contrôle » ou d’une étude complète des pratiques de résilience dans les entités réglementées. Concevoir des interventions appropriées sur ces points peut simplifier la résilience des entités financières.

Troisièmement, l’approche de la RBI doit tenir compte de la taille ou de l’interdépendance d’une entité réglementée. La mise à l’échelle rejette une approche « taille unique » de la cybersécurité, au profit d’une réponse adaptée aux risques pour renforcer la résilience. Sous l’échelle, les grandes entités ou les entités d’importance systémique peuvent être soumises à des exigences de conformité renforcées (telles que des audits externes ou un responsable de la cybersécurité désigné), tandis que les petites entreprises peuvent se conformer à des normes qui imposent des charges minimales. La sensibilité à l’échelle permet à la résilience de pénétrer les marchés de manière plus significative, garantissant la cybersécurité pour tous.

Sohini Banerjee et KS Roshan Menon sont chercheur et chercheur à Shardul Amarchand Mangaldas & Co. Les opinions exprimées sont personnelles.

