Alors que 2016 a livré son lot d'attaques DDoS et de piratages, la Commission européenne s'interroge : les banques de la zone euro sont-elles équipées pour faire face à ces nouvelles menaces ? L'idée d'un test à grande échelle semble faire son chemin. L'année dernière, un pan du Web américain a mis genou à terre quand les DNS de Dyn ont fléchi sous une attaque DDoS. Bien plus près de nous, OVH a aussi fait état d'une agression spectaculaire, avec un bombardement virtuel tutoyant le térabit par seconde. Mais les professionnels de la Toile sont loin d'être les seuls à avoir été pris pour cibles. Au Bangladesh, par exemple, la banque centrale du pays a fait la triste expérience d'un casse purement dématérialisé, avec environ 72 millions d'euros volatilisés à la clé. Et au Royaume-Uni, ce sont 2,5 millions de livres sterling qui ont été dérobées auprès d'une filiale bancaire du groupe Tesco, sans ouvrir le moindre coffre.

 

Pour Bruxelles, ces épisodes n'ont rien d'anecdotique. Ils attestent de l'existence d'une menace sans visage, mais grandissante. Et le cas des banques, en particulier, inquiète. Si celles-ci sont soumises aux standards de sécurité imposés par les autorités nationales, il paraît évident que toutes n'ont pas mis en place le même arsenal défensif. Et l'Autorité bancaire européenne (ABE), de son côté, ne cherche pas à rassurer. Sa position officielle ? Les banques de l'Union s'appuient sur une infrastructure numérique "rigide et obsolète". Quant aux régulateurs nationaux, ils feraient bien de délaisser les mesures sur papier et d'organiser des tests de résistance concrets.

C'est sur la base de cette très encourageante évaluation de la situation que la Commission européenne songe maintenant à imposer un "stress test" généralisé. En substance, toutes les banques européennes pourraient être soumises à une série d'attaques dans le but de vérifier leur capacité à repousser un hypothétique hold-up virtuel. Et bien sûr, les résultats pourraient ensuite être utilisés pour combler d'éventuelles failles découvertes à cette occasion et mettre tout le monde au niveau.

Notez que, pour le moment, rien n'a encore été décidé de manière officielle. Toutefois, d'après Reuters, l'Autorité bancaire européenne — qui a sonné l'alerte — planche actuellement sur un programme de test qui doit être arrêté mi-2017 pour une mise à exécution en 2018.