Fin juin 2016, des incidents importants ont touchés certains élément du système international de messagerie financière SWIFT. Les autorités de Hong Kong ont annoncé une nouvelle réglementation visant les institutions financières.
Au cours du Cybersecurity Summit de l’année 2016, l’un des principaux événements de l’île autour de la cybersécurité, l’autorité des marchés de Hong Kong (Hong Kong Monetary Authority – HKMA) a annoncé le lancement du programme CFI, ou « CyberSecurity Fortification Initiative ». Il s’agit d’un plan pluriannuel visant à renforcer la sécurité des banques locales.
Voici les principaux points à retenir de cette initiative, qui reprend les meilleures pratiques internationales en termes de cybersécurité, ainsi qu’une approche novatrice de la cyber threat intelligence.
Une amélioration du niveau de sécurité articulée autour de trois axes
CFI est une initiative sur laquelle travaille la HKMA pour renforcer la cyberresilience (i.e. la capacité à résister/survivre d’une cyberattaque) des organisations. Elle cible toutes les institutions autorisées [1] Authorized Institutions (ou AIs), autrement dit l’ensemble des banques de Hong Kong et repose sur trois piliers :
Un framework d’évaluation de la « cyber-résilience »
Chaque banque aura en charge le déploiement du framework sur son périmètre, ce qui permettra à la HKMA d’ »obtenir une vue globale du niveau de maturité des AIs individuelles ainsi que de l’ensemble du secteur bancaire ». Il se décompose en trois grandes étapes :
- Évaluation des risques dit « inhérents » : étude du niveau de risque de l’organisation, sur les volets aussi bien métiers que technologiques – ce qui nécessite une bonne compréhension de ces deux domaines. Le niveau de risque sera évalué comme élevé, moyen ou faible.
- Évaluation de la maturité : une évaluation du niveau actuel de maturité de l’organisation en termes de cybersécurité
- Des simulations de cyber-attaques, ou Intelligence-led Cyber Attack Simulation Testing (iCAST), pour les banques ayant un risque inhérent évalué comme élevé ou moyen. L’objectif de cette étape est de simuler les cyberattaques, non seulement d’un point de vue technique, mais aussi en prenant en compte les personnes et les processus.
Bien que tous les détails ne soient pas encore publics, les deux premières étapes sont similaires à l’outil FFIEC Cybersecurity Assessment Tool, mis en place par le régulateur américain, et qui a été déployé par de nombreuses grandes banques au cours de l’année passée. Une correspondance doit être faite entre le niveau de risque et le niveau de maturité réelle. En cas d’écart de ces deux indicateurs, la banque devra fournir une feuille de route pour le combler.
La troisième étape, elle, est plus innovante, en particulier de la part d’un régulateur. En effet, iCAST ne repose pas seulement sur des tests d’intrusion techniques, mais demandera aux banques de réaliser de véritables tentatives d’attaques, en s’appuyant notamment sur des données issues de la threat intelligence. Ce type de test « agressif » (aussi appelé « Red Team ») est l’un des moyens les plus efficaces pour tester le niveau de sécurité réel d’une organisation.
1. Un programme de développement professionnel
Le CFI vise également à professionnaliser le secteur de la cybersécurité à Hong Kong, en instaurant un système de certification et de formation offrant trois niveaux : « basique », « professionnel » et « expert ». Il est prévu que les certifications du Council for Registered Ethical Security Testers (ou CREST) britannique intègrent ce programme de développement. Des équivalences seront par ailleurs mises en place pour « veiller à ce qu’une expérience ou une expertise dans le domaine de la cybersécurité soit reconnue. ».
2. Une plateforme de partage CyberIntelligence
La threat intelligence, ou renseignement sur les menaces en français, est devenue essentielle. Chaque entreprise peut développer ses propres compétences et méthodes, mais le succès même de l’approche passe par le partage de l’information. Par conséquent, la HKMA planifie de lancer une plate-forme de partage CyberIntelligence, accessible à toutes les banques agréées à Hong Kong. Son objectif sera d’offrir un système sécurisé et adapté pour partager des données pertinentes, sans compromettre la confidentialité des informations.
3. Un déploiement pas à pas pour le programme
Trois étapes ont été fixées pour les banques à Hong Kong :
- Une consultation du secteur bancaire a commencé fin mai 2016 pour une durée de trois mois, afin de récupérer des retours sur la version préliminaire du framework de cyber-résilience.
- Il est important de noter que la HKMA requiert une participation des conseils de surveillance ou des directions générales des banques. L’évaluation devra être menée par des « professionnels qualifiés possédant les connaissances et l’expertise nécessaires ».
- La HKMA travaillera avec les organisations professionnelles et publiques afin de déployer les premiers cours de formation et de mettre en place de la plate-forme de partage CyberIntelligence d’ici fin 2016.
L’évolution des normes à Hong Kong
Cette initiative de la HKMA tombe dans un contexte réglementaire en rapide évolution à Hong Kong. Plusieurs approches susceptibles de changer la donne vont en effet y façonner l’avenir de la sécurité de l’information dans les années à venir.
En particulier, la circulaire récente sur la cybersécurité ciblant les organisations régulées par la Securities and Futures Commission (SFC), et la révision à venir sur les lois traitant des données à caractère personnelles.
Avec près de 200 banques sur son territoire, Hong Kong se saisit ainsi pleinement du sujet de la cybersécurité, crucial pour maintenir sa position de centre financier de premier plan en Asie.
