Malgré près de trois jours de black-out du système d'information la semaine passée, deuxième panne majeure en deux mois, le groupe BNP-Paribas n'a toujours pas fourni d'explication digne de ce nom sur l'incident. Un simple incident réseau, seule explication fournie, ne peut en effet en aucune façon expliquer un tel plantage sur une telle durée, sauf à admettre une absence de redondance des infrastructures, ce qui constituerait une faute majeure. Or une banque a des obligations strictes en matière de disponibilité de son service, en lien avec son statut d'opérateur d'importance vitale (OIV).

Sollicitée par la rédaction de notre confrère CIO, l'ANSSI (Agence nationale de la sécurité des systèmes d'information), qui supervise la cyber-sécurité des OIV, a réagi lundi 11 mars. L'agence a ainsi indiqué que, d'après les éléments en sa possession, le groupe BNP-Paribas n'avait pas fait l'objet d'une cyber-attaque. Par conséquent, l'ANSSI n'avait pas à poursuivre plus loin ses investigations ou à envisager une intervention.

La cyber-résilience est exigée par le régulateur européen

Autre autorité de contrôle sollicitée, la BCE (Banque Centrale Européenne) a également réagi. En tant qu'autorité de contrôle, elle n'a pas à commenter un cas précis, surtout qu'une enquête est visiblement en cours. En effet, dans sa réponse, la BCE a insisté sur l'importance de la cyber-résilience dans les critères de sa supervision et de son contrôle des banques commerciales. Sabine Lautenschläger, membre du directoire de la Banque centrale européenne, avait consacré tout un discours à ce sujet en mars 2018, discours qui a été remis en avant par la BCE dans sa réponse.

« La supervision bancaire de la BCE attache une très grande importance à la cyber-résilience » prévient Sabine Lautenschläger. Le superviseur européen mène ainsi des audits concernant la gestion des risques IT, notamment ceux en lien avec une externalisation, le contrôle sur site de la mise en oeuvre des bonnes pratiques de l'état de l'art et développer le reporting des incidents informatiques. Gageons que le groupe BNP-Paribas va sans doute recevoir de la visite sous peu, si ce n'est pas déjà fait.

Outre les deux incidents majeurs déjà évoqués, d'autres incidents plus limités nous ont été signalés par des internautes sans que l'on puisse juger de leur réelle importance. La série noire va-t-elle se poursuivre ? Ou bien le groupe devra-t-il adopter un nouveau slogan, « BNP-Paribas, la banque d'une informatique qui plante » ?