Le Comité européen du risque systémique (CERS) a proposé un nouveau cadre de coordination systémique des incidents cybernétiques qui permettrait aux autorités compétentes de l’UE de mieux se coordonner lorsqu’elles interviennent en cas d’incidents informatiques transfrontaliers majeurs ayant une incidence sur le secteur financier de l’Union.
CERS est un organisme indépendant de l’UE créé en 2010 qui surveille le système financier de l’Union européenne afin de prévenir et d’atténuer le risque systémique.
« Les trois autorités européennes de surveillance (ABE, EIOPA et ESMA – AES) ont publié aujourd’hui une déclaration saluant la recommandation du Comité européen du risque systémique (CERS) sur le cyber-risque systémique, qui appelle les AES à se préparer au développement progressif d’un cadre de coordination des incidents cybernétiques systémiques (EU-SCICF) », un communiqué de presse publié jeudi lit.
« Cela soutiendra une réponse efficace et coordonnée au niveau de l’UE en cas de cyberincident transfrontalier majeur qui pourrait avoir un impact systémique sur le secteur financier de l’Union. »
Le CERS recommande également aux autorités européennes de surveillance (en coordination avec le CERS et la Banque centrale européenne) d’examiner les éventuels obstacles opérationnels et juridiques qui pourraient entraver le développement du cadre de coordination paneuropéen.
La recommandation du CERS intervient dans le contexte d’un risque accru pour la stabilité financière de l’UE dû à un nombre croissant de cybermenaces en constante évolution.
« Le CERS souligne la nécessité pour les autorités de se coordonner et de communiquer rapidement en cas de cyberincident majeur, d’évaluer rapidement son impact et de soutenir la confiance dans le secteur financier », a déclaré le CERS. [PDF].
Cyberattaques ciblant les réseaux des organisations de l’UE
Cette initiative intervient après de multiples incidents ayant entraîné la violation de réseaux appartenant à des organisations de l’UE l’année dernière.
Par exemple, en janvier, l’Agence européenne des médicaments (EMA) a révélé que des attaquants inconnus avaient volé les données du vaccin Pfizer/BioNTech COVID-19 en décembre et les avaient divulguées en ligne.
L’Autorité bancaire européenne (ABE), qui supervise l’intégrité et le bon fonctionnement du secteur bancaire de l’UE, a été contrainte de mettre hors service tous les systèmes de messagerie en mars 2021 après ses serveurs Microsoft Exchange lors d’une campagne de piratage ciblant des organisations du monde entier.
Le même mois, la Commission européenne et plusieurs autres organisations de l’UE ont également été touchées par une cyberattaque qui a touché l’infrastructure informatique de plusieurs institutions, organes et agences de l’UE.
En juillet, les États-Unis et leurs alliés, y compris l’Union européenne, ont officiellement accusé la Chine de la vaste campagne de piratage de Microsoft Exchange de l’année dernière.