Une équipe de la Fed de New York a simulé les effets dévastateurs en cascade d'une cyberattaque qui arriverait simplement à paralyser les paiements d'une banque sur le marché interbancaire (Cyber-Risk and the US Financial System : a pre-mortem analysis, Thomas M. Eisenbach, Fed of New York, Staff Reports, June 2020), et qui plus est, uniquement les paiements émis. Dans ce scénario fictif, la banque peut toujours recevoir des paiements. Elle ne peut plus en émettre. Ce n'est peut-être pas grave pour elle mais les déficits de liquidités qu'elle provoque chez ses contreparties le sont !

Le principal cauchemar d'une banque, dans une cyberattaque, est l'atteinte à la disponibilité et à l'intégrité de ses données. Dans le premier cas, elle immobilise le capital et les liquidités, dans le deuxième cas, elle ne sait plus très bien ce qu'elle a. Un autre cauchemar d'une banque, c'est d'être victime d'une attaque ciblée, lorsque par tous les moyens les hackers s'en prennent à elle spécialement. Les hackers préfèrent des proies plus faciles mais un Etat ennemi pourrait simplement vouloir mettre à terre une banque systémique pour paralyser le pays dans lequel elle opère. La détection, à temps, d'une telle attaque est primordiale : plus tard elle est découverte, plus les dégâts à l'intégrité des données sont grands et laisse la banque sur le carreau alors que sa viabilité dépend de sa présence sur le marché interbancaire pour ses besoins en liquidités. Quand une banque n'est plus capable d'opérer au sein de la communauté des autres banques, c'est l'ensemble des opérations qu'elle effectue pour ses clients qui sont aussi paralysées : on connait peu l'ampleur des conséquences. Il peut enfin y avoir atteinte à la confidentialité des données : l'atteinte à la réputation de la banque, les amendes dues au RGPD feront mal mais on ne peut pas parler de catastrophe systémique.

Un blocage d'ordre technologique

Quand une cyberattaque a lieu au sein d'une banque, les autres banques, dans l'inconnu de ses effets sur elles si tant est qu'elles peuvent identifier où elle se produit, vont adopter un comportement prudent pour elles-mêmes mais dangereux pour l'équilibre interbancaire. C'est déjà ce qu'on avait constaté en 2008 lors de la crise des subprimes : plus personne ne voulait prêter à personne. C'est un effet de l'asymétrie d'information : sans savoir, on se préserve sauf qu'une banque ne peut s'isoler des autres banques sans les paralyser toutes, elle-même comprise, par un effet cascade, selon sa taille. Des rumeurs d'attaque sur une banque A (mais est-ce vraiment A ?) peut provoquer un retrait d'argent de toutes les autres banques avant qu'il ne soit trop tard, penseront-elles.

Les banques sont aujourd'hui plutôt bien équipées pour parer à un risque marché et face à un déficit de liquidités, une conséquence (positive) de 2008, mais rien de tel n'est en place en cas de cyber-choc. Ce ne sont pas les obligations en termes de capital pour se prémunir d'un manque de liquidité ou l'accès à des facilités de cash après l'attaque qui vont résoudre le caractère cyber de ce qui s'est passé. Le blocage de la banque serait technologique dans ce cas, pas financier. Ce sont des exigences technologiques de redondance, de duplication de données à préserver ailleurs qui aideraient mieux les banques à se remettre en route si l'intégrité de leurs données et leur disponibilité sont en cause.

Comme les banques ne peuvent se permettre que l'une d'entre elles ne participe plus au subtil équilibre interbancaire dans les marchés de gros, mieux partager l'information, les menaces, mieux gérer l'incertitude, accepter la nécessité d'avertir les banques centrales en cas d'incident mineur, améliorer l'apprentissage commun sont des must pour réduire l'asymétrie de l'information, mortifère, quand une attaque a lieu quelque part contre une banque. La Banque centrale européenne supervise d'ailleurs le risque cyber de toutes les banques systémique de la zone euro.

L'exemple des Etats-Unis

En ce sens, l'étude de la Fed de New York a le mérite d'attirer l'attention sur les effets d'un cyber choc qui ne permet plus à une banque de gérer ses liquidités au jour le jour.

C'est le système des payements US que la Fed a testé : il y a là 5 banques qui concentrent à elles seules la majorité des paiements entre banques. Pour la Fed, une cyberattaque contre ce système risque de provoquer une brusque baisse de confiance envers le système financier et provoquer les habituelles formes de fragilité financière. Seule la cause diffère. Les attaques peuvent être ciblées au moment où les paiements entre banques sont les plus intenses. Dans l'attaque envisagée par la Fed, les banques continuent à faire de paiements jusqu'au moment où elles réalisent qu'elles font face à des défauts dans leur équilibre quotidien de liquidités et réagissent en conséquence. C'est ce que les chercheurs appellent des dislocations dans les marchés des liquidités. Les terroristes peuvent même rendre public leur attaque de façon à créer une panique des banques, même celles non attaquées, qui commenceraient à garder des liquidités. Ce qui est frappe dans ce scénario, c'est que même les banques bien protégées subiraient les conséquences de cette attaque. Une attaque contre une grande banque, un groupe de petites banques ou un prestataire de service peut être transmis à tout le système bancaire. Il y aura même une amplification, prédisent les chercheurs, car les banques réagiront prudemment et assècheront le marché des liquidités.

Scénario conservatif

Le scénario des chercheurs est pourtant conservatif: ce n'est au fond que l'impossibilité complète d'envoyer des paiements qui est envisagée.

Si l'intégrité des données est compromise, combien de temps faudra-t-il à la banque pour restaurer ses données et revenir dans le système qui se sera peut-être effondré entretemps ? Les chercheurs admettent ne pas savoir dans quelle mesure une telle attaque affectera l'économie réelle : à quoi servent les flux financiers entre banques, sont-ils tous dus à des paiements du monde réel ? Ce scénario indique en tout cas des possibilités dangereuses de blocage du système financier à partir d'un simple blocage d'une de ses composantes. Réfléchir à des mesures appropriées de prévention et de détection de telles compromissions devrait se faire. Et un grave bug, qui peut s'étendre à plusieurs banques, ou une panne mal prévue ne pourrait-il pas avoir les mêmes effets ?