L’implication nécessaire des banques dans la gestion du risque cyber

Paroles d’expert

5 janvier 2026

82% des banques considèrent le risque cyber comme le risque opérationnel n°1.

Le risque cyber peut être défini comme l’« ensemble de risques liés à une utilisation malveillante des systèmes informatiques et des technologies de l’information des particuliers, des administrations ou des entreprises(1).

Par Emeline GINESTE CARLES,
Étudiante en Master 2 Juriste d’Affaires
Membre de l’Association Niçoise des Étudiants Juristes d’Affaires (ANEJA)
et membre de l’AFJE06
Publication proposée dans le cadre du Master 2 juriste d’Affaires à l’Université Nice Côte d’Azur - Cycle "Droit des assurances approfondi - La gestion du risque dans l’entreprise par le mécanisme d’assurance "

L’accroissement de ce risque

53% des entreprises ont déjà subi une attaque en 2023 contre « seulement » 48% en 2022 - provoque pas moins de 1.200 incidents informatiques sur l’espace de quatre mois dans le secteur bancaire, le plus exposé à ce risque. (2)

Aujourd’hui, 82% des banques considèrent le risque cyber comme le risque opérationnel n°1. Ce risque à effet systémique(3), prévenu par la BCE dès 2014, peut engendrer des pertes titanesques : en perpétuelle hausse(4), elles ont atteint 6.5 milliards d’euros en 2024. Toujours plus innovants, les projets de nouveaux systèmes informatiques de paiement(5) aggravent d’autant un risque face auquel l’utilisateur moyen n’est pas suffisamment vigilant.

Un système assurantiel millimétré et proportionné

Les établissement financiers, indispensables à une économie stable et pérenne, doivent donc s’armer en appliquant les mécanismes de prévention rendus obligatoires par la BCE(6), tel le return to operation (RTO) qui permet un rétablissement de la sécurité financière sous deux heures de la réalisation du risque. Les infrastructures bancaires doivent être ou rester résilientes.(7) Les renforcements purement internes(8) se conforment aux obligations du règlement DORA de 2022.(9)
La prévention du risque cyber implique donc une attention accrue des établissements bancaires qui doivent intégrer dans leur organisation interne des mécanismes de surveillance réguliers.
En outre, les assureurs se sont réinventés pour créer un système assurantiel millimétré et proportionné à ce risque, permettant de sécuriser la continuité d’accès et un accompagnement immédiat en cas de crise. La couverture financière, bien que prévue, doit malgré tout rester minime pour un souci de sécurité publique. Ce système assurantiel prend en ligne de compte les enjeux des institutions financières et est donc en perpétuelle sophistication pour être le plus proche et robuste face aux innovations techniques et de leurs risques et répondre aux exigences réglementaires DORA et NIS2. L’assurance cyber, innovation dans le secteur assurantiel, est en passe de devenir le pilier de la résilience contre les cyber menaces en aide aux établissements bancaires préparés. Son rôle n’est donc pas celui de supporter les établissements bancaires défaillants et n’ayant pas mis en œuvre toutes les préventions possibles contre ce risque. On pourrait valablement penser qu’un établissement qui ne se conformerait pas aux recommandations de résilience face à ces risques pourrait se voir opposer son manque de vigilance.


Lire aussi : Cyberattaques et PME : un enjeu majeur pour l’assurance

Références
1 Rapport de 2021 de l’Assemblée Nationale sur le risque cyber et à défaut de définition légale.
2 L’exemple du vol des données des banques suisses UBS et Pictet par le biais de systèmes informatiques piratés n’est plus isolé. En 2016, Mary Jo White, ancienne présidente de la Securities and Exchange Commission, considérait que la menace cyber constituait le plus grand " SEC " risque auquel était confronté le système financier
3 Risque systémique : risque qu’un événement particulier entraîne par réactions en chaîne des effets négatifs considérables sur l’ensemble du système pouvant occasionner une crise générale de son fonctionnement.
4 2.8 milliards en 2023
5 Projet de créer un euro numérique en réponse au développement des cryptomonnaies par Van der LEYEN
6 Exercice posé par les principes pour les infrastructures des marchés financiers (PFMI) de CPMI-IOSCO de 2012. Il consiste à identifier un point de reprise possible, restaurer les données saines avant ce point et traiter à nouveau toutes les opérations arrivées dans le système après le point de reprise.
7 Guide sur la super résilience BIS et IOSCO de 2016 et rôle majeur de la BDF avec les standards SCoRE et gestion du collatéral. Elle permet la sécurisation de l’Eurosystème.
8 TIBER – FR : renforcer les cyber-risques du secteur financier français par des mises en situation de tactiques, techniques et procédures (TTPs) d’acteurs malveillants réels perçus comme une menace pour l’entité testée.
9 Mettre en place les mesures aptes à résister à tous les types de perturbations et de menaces liées aux TIC, un dispositif de gestion, de classification et de notification des incidents, conduire régulièrement des tests avancés sur la base de tests de pénétration fondés sur la menace.

Emeline GINESTE CARLES