• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

A quoi bon rapporter des cyber-incidents (puisqu'on n'en fait rien)?

Jean-Jacques Quisquater et Charles Cuvelliez

Publié le 29 octobre 2021 à 08:00

Composite, Quisquater, Cuvelliez,

Jean-Jacques Quisquater et Charles Cuvelliez

DR

Le Quotidien Numérique

18 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Moyen-Orient : la guerre du détroit aura bien lieu

  • 2

    Incendies : Positive Aviation franchit une étape décisive pour transformer un ATR en alternative au Canadair

  • 3

    Pétrole : le Panama va prendre la main sur un oléoduc, « l'une des infrastructures stratégiques les plus importantes du pays »

  • 4

    Saturation du réseau électrique : 2 500 producteurs d’énergie renouvelable dans l’attente de solutions de raccordement

  • 5

    Cyclisme : du changement dans la direction de l'équipe de Paul Seixas

  • 6

    Mines d'or du Limousin : la fièvre jaune, entre promesses d'emplois et héritage toxique

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
OPINION. Si on estimait mieux le risque systémique des cyberincidents, on saurait mieux définir ce qu'il faut comme information et comment la partager. Par Jean-Jacques Quisquater, Université de Louvain, Ecole Polytechnique de Louvain et MIT, et Charles Cuvelliez, Université de Bruxelles, Ecole Polytechnique de Bruxelles.

Les entreprises qui ont connu un incident de sécurité le savent : le notifier aux autorités compétentes (un régulateur, l'autorité de protection des données, etc.), c'est suivre des procédures différentes sur le contenu à rapporter, les délais pour le faire, les seuils à atteindre pour être obligé de le faire. Le Financial Stability Board (FSB), une émanation du G20, qui le conseille sur les questions de stabilité financière, de développement durable et de changement climatique s'est amusé (quoique ce n'est pas très drôle) à comparer la manière dont les Etats demandent à leurs institutions financières et autres banques de leur rapporter les cyberattaques, que ce soit sous forme d'incidents ou d'attaques avérées et comment cette information est exploitée pour un mieux auprès du secteur. La sûreté nucléaire érige ce partage d'information sur les incidents qui ont lieu dans une centrale en pilier de la sécurité : elle est harmonisée, commune et permet lorsqu'une faiblesse est détectée par l'un d'en faire bénéficier toutes les centrales et tous les opérateurs à travers le monde.

On est en très loin dans le risque cyber en finance ou ailleurs. Le seul élément commun à toutes les juridictions, c'est la date et l'heure de l'incident, son impact financier, son impact sur les clients, sur la réputation, comment l'incident a été identifié et la cause. Celle-ci mise à part, ce n'est pas très utile pour aider une autre institution financière à se protéger d'un même modus operandi. Les différences entre Etats sont importantes lorsqu'il s'agit de définir ce qu'est un cyber-incident, les seuils à partir desquels il faut les rapporter, comment l'information est ensuite utilisée et le délai pour les rapporter. Le casse-tête est majeur pour une banque qui serait établie dans plusieurs pays avec, à chaque fois, une procédure qui varie du tout au tout. Franchement, qui est capable d'évaluer la menace avec une telle fragmentation dans la manière de la communiquer ?

Qu'est-ce qu'un cyberincident?

Les autorités dans certains Etats ne font pas de distinction entre incidents opérationnels et les cyberincidents. L'un n'est pourtant pas l'autre. Un cyberincident peut affecter d'autres banques, pas un incident opérationnel qui résulte de la manière dont la banque qui en est victime gère son IT. C'est rarement transposable. Et bien évidemment, si chaque incident opérationnel doit être rapporté, cela crée une masse de travail administratif. Certaines autorités demandent aux institutions financières de leur rapporter des incidents qui se passent dans une filiale en-dehors de leur juridiction mais parfois (une minorité), les autorités dans l'Etat principal de la banque souhaitent que l'information soit rapportée dans le pays hôte. Quelle est la logique ? Ces mêmes autorités demandent que leur soient rapportés les incidents des fournisseurs dans le pays principal même si ce fournisseur n'est pas établi dans ce pays (on pense aux fournisseurs de cloud).

Quant à la définition et la taxonomie de cyberincidents, on dirait que chaque autorité se crée son propre lexique, ce qui fait qu'un incident chez l'un sera classé dans une catégorie et dans une autre chez le voisin.

Les canaux pour communiquer les incidents sont très variables : mails, plateforme sécurisée. Les canaux sont parfois parallèles : il y a un point téléphonique, un rapport écrit, une réunion qui sont exigés. Dans certaines juridictions, seules des personnes autorisées peuvent rapporter l'incident comme un CISO ou le CIO/CTO.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Seuils et délais

Les seuils pour rapporter ou non un cyberincident varient trop : le FSB estime qu'il manque une méthodologie pour mesurer l'impact et la sévérité d'un incident qui, parfois, est très basse. L'impact peut aussi changer au fur et à mesure de l'évolution de l'incident, selon qu'il est contenu ou pas. Les seuils qu'on voit le plus se mesurent en % de clients ou nombre de clients affectés, aux pertes financières, à la perte de réputation (comment la mesure-t-on d'ailleurs ?). Certaines autorités s'en remettent surtout au jugement des institutions financières pour définir leurs propres seuils.

Le délai pour rapporter des incidents est aussi très variable, entre le plus vite possible et dans les 48 heures. Rapporter l'incident tout de suite n'est pas indiqué, observe le FSB : à ce moment, on ne comprend pas encore bien l'ampleur et la nature de la cyberattaque et ce sont autant de ressources mobilisées à plancher sur un rapport plutôt qu'à traiter le problème. Si l'attaque a visé un fournisseur de la banque, cela devient difficile de rapporter cet incident instantanément. On dépend du fournisseur et de son bon vouloir pour en savoir plus

L'information partagée avec les autorités ne sert pas à grand-chose se plaint le FSB : juste à évaluer le niveau de risque de l'institution attaquée et à lui imposer des mesures et un suivi. Elle ne sert pas pour estimer le risque sur l'ensemble du système financier. Or les premières manifestations d'une menace sont cruciales pour contrer son expansion à temps.

Des mandats divergents

La fragmentation du rapportage des incidents tient aux différences dans les mandats des autorités même au sein d'un même pays. C'est souvent le cas entre les autorités prudentielles qui surveillent les banques et les autres (par exemple, les autorités de protection des données). Si les autorités pouvaient plus se partager les données et promouvaient une compréhension commune du risque sur les institutions financières, une harmonisation par la pratique arriverait très vite.

Parfois, les autorités peuvent plus et mieux se partager l'information entre pairs en-dehors de leur juridiction qu'entre autorités dans leur propre juridiction. Si on estimait mieux le risque systémique des cyberincidents, on saurait mieux définir ce qu'il faut comme information et comment la partager. L'idéal serait la création de plateformes communes de rapportage d'incidents et surtout pas par email.

Des bonnes pratiques, à savoir quelles sont les informations nécessaires pour quel but recherché, quels seuils, quels délais utiliser pour rapporter sont à développer. Le contenu de cette information doit être harmonisé pour que d'un bout à l'autre de la planète, l'information soit utile et une terminologie commune, un langage unique sont essentiels si on veut que le rapportage améliore la stabilité financière. Un objectif commun et une langue commune pour plus de cybersécurité qui mettra certainement beaucoup de temps à se dégager faute d'autorités mondiales.

______

Pour en savoir plus : Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence, Financial Stability Board, 21 Octobre

Jean-Jacques Quisquater et Charles Cuvelliez

Sur le même sujet

Sanjay Pulipaka

OPINION. « Souveraineté numérique : l'Europe ne peut plus se contenter de réagir aux ingérences »

Idées & Débats
Sébastien Boussois

OPINION. « Meloni, Takaichi : une nouvelle droite féminine décomplexée au pouvoir »

Pendant des décennies, l’arrivée des femmes aux plus hautes responsabilités a été accompagnée d’une promesse implicite : elles introduiraient une politique plus douce, plus consensuelle, plus horizontale et plus sensible. Comme si l’autorité, la puissance et l’affirmation de l’intérêt national étaient nécessairement des attributs masculins et qu’il fallait desormais tout autre chose pour réussir en politique.

Idées & Débats
Bertrand Piccard

OPINION. « ETS et long-courriers : l’Europe ne doit pas rater l’embarquement »

Alors que la Commission européenne s’apprête à réviser son système d’échange de quotas d’émission (SEQE), l’une des questions importantes qui se posent est de savoir si les vols internationaux doivent rester en dehors du système ou y être enfin intégrés.

Idées & Débats
Gabriel Gaspard

OPINION. « Présidentielle 2027 - dette publique : faut-il changer de paradigme ? »

Les signaux de la Cour des comptes sont tous alarmants. Le débat sur l'endettement de la France enflamme la présidentielle. La dette devient-elle hors de contrôle ? Faut-il des solutions douloureuses ou une vraie alternative à nos finances publiques ?

Idées & Débats
agir

OPINION. « Redonner aux jeunes le pouvoir d’agir : quand entreprendre remet en mouvement »

Par les 25 membres du collectif Entr&prends ton Avenir et 13 représentants de l’écosystème associatif de la jeunesse.

Idées & Débats
Julien Chaverou

OPINION. « Pour un pacte de soutien a l’ameublement français et europeen »

La France et l’Europe ont une histoire longue et remarquable dans le secteur de la décoration et de l’ameublement. Les trois dernières décennies ont changé radicalement les méthodes, les moyens et les habitudes. Aujourd’hui, comme dans la mode, il y a ce sentiment étourdissant que, soudain, tout s’écroule.

Idées & Débats
Amaury Goguel

OPINION. « Et si les grilles d’analyse des Institutions Financières Internationales alimentaient les polycrises ? »

La décision est passée presque inaperçue. Pourtant, en septembre 2025, Pékin a provoqué un véritable séisme silencieux dans la gouvernance mondiale en renonçant officiellement à son statut de « pays en développement » à l’Organisation mondiale du commerce.

Idées & Débats
Sarah Bagnon-Szkoda

OPINION. « CSRD : le reporting de durabilité entre dans son âge de raison »

La CSRD a d’abord été perçue comme une contrainte. Une norme de plus, venant s’ajouter à un environnement réglementaire déjà dense. Sa mise en œuvre a souvent été vécue comme un chantier lourd, technique, coûteux, déployé dans des délais serrés par des entreprises déjà saturées par les obligations de reporting.

Idées & Débats