Les régulateurs américains ordonnent aux banques de signaler les cyberattaques dans les 3 jours

US regulators order banks to report cyberattacks within 3 days

Les agences fédérales américaines de réglementation des banques ont approuvé une nouvelle règle ordonnant aux banques d’informer leurs principaux régulateurs fédéraux des incidents de sécurité informatique importants dans les 36 heures.

Les banques ne sont tenues de signaler les cyberattaques majeures que si elles ont ou auront probablement un impact sur leurs opérations, leur capacité à fournir des produits et services bancaires ou la stabilité du secteur financier américain.

Les prestataires de services bancaires devront également informer les clients « dès que possible » si une cyberattaque a matériellement affecté ou affectera probablement les clients pendant quatre heures ou plus.

Parmi les exemples d’incidents qui doivent être signalés en vertu de la nouvelle règle, citons les attaques par déni de service distribué à grande échelle qui perturbent l’accès des comptes clients aux services bancaires ou les incidents de piratage informatique qui interrompent les opérations bancaires pendant de longues périodes.

« Les incidents de sécurité informatique peuvent résulter de logiciels malveillants destructeurs ou de logiciels malveillants (cyberattaques), ainsi que d’une défaillance non malveillante du matériel et des logiciels, d’erreurs de personnel et d’autres causes », explique la règle finale de notification d’incident de sécurité informatique (PDF).

« Les cyberattaques ciblant le secteur des services financiers ont augmenté en fréquence et en gravité ces dernières années. Ces cyberattaques peuvent affecter négativement les réseaux, les données et les systèmes des organisations bancaires, et finalement leur capacité à reprendre leurs activités normales. »

Conformité requise d’ici mai 2022

La règle finale émise par la Federal Deposit Insurance Corporation (FDIC), le Conseil des gouverneurs du Système fédéral de réserve (Conseil) et le Bureau du contrôleur de la monnaie (OCC) entrera en vigueur le 1er avril 2022, avec plein conformité prolongée jusqu’au 1er mai 2022.

« La FDIC fournira aux institutions supervisées une logistique pour la notification de la FDIC au début de 2022 », la Federal Deposit Insurance Corporation (FDIC) mentionné jeudi.

La nouvelle règle de signalement des cyberattaques est conçue pour sensibiliser les autorités de contrôle bancaire aux menaces émergentes pour les organisations bancaires et le système financier américain au sens large.

Ceci, à son tour, permettra aux agences fédérales de réglementation des banques de réagir à ces menaces croissantes et qui s’accumulent avant qu’elles ne deviennent systémiques.

« La règle finale vise à permettre aux superviseurs bancaires d’être informés des cyberattaques les plus importantes en temps opportun tout en évitant des obligations de déclaration inutilement difficiles ou chronophages », mentionné La présidente de la FDIC, Jelena McWilliams.

« La règle finale n’exige donc pas une évaluation de l’incident pour remplir l’exigence de notification. »

Ce mois-ci, les législateurs américains ont également introduit une nouvelle législation (la loi sur les ransomwares et la stabilité financière) qui vise à définir des « règles de route » pour la réponse aux attaques de ransomwares pour les institutions financières américaines.

S’il est promulgué, ce nouveau projet de loi obligera les organisations financières américaines touchées par les attaques de rançongiciels à informer le directeur du Financial Crimes Enforcement Network (FinCEN) du département du Trésor des détails de l’attaque et des demandes de rançon associées.