En 2023, l’hameçonnage1 a été la principale cyberattaque en termes de fréquence, avec plus de 50 000 personnes sollicitant de l’assistance via cybermalveillance.gouv.fr2. Parmi ces incidents, on trouve les faux conseillers bancaires (augmentation de 78 % entre 2022 et 2023), les piratages de comptes et les attaques par rançongiciel. Ainsi, les établissements bancaires et financiers doivent continuer de renforcer leur système d’information (SI) et sensibiliser leurs clients aux cybermenaces.
Introduction
La cybersécurité se définit comme la capacité à résister à des actions compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données et services numériques. Elle vise à protéger les données contre les cybermenaces tout en assurant leur accessibilité et leur sécurité malgré les tentatives de compromission3.
Cependant, peu de condamnations interviennent en raison de la difficulté à identifier les pirates informatiques, ce qui engendre un sentiment d’impunité. La majorité des plaintes pénales sont déposées contre des auteurs inconnus, qui sont rarement identifiés. Dès lors, les litiges introduits par les victimes sont plutôt des actions en responsabilité entre les clients et les organismes financiers ou entre ces derniers et leurs prestataires informatiques.
Face à cela, les autorités adoptent une politique de régulation qui tend à renforcer significativement les obligations de sécurité de chaque organisme. Ainsi, on passe clairement d’un « droit à la sécurité » à une « obligation de se sécuriser ».
1. Le volet préventif
1.1. Les obligations de conformité
Ces dernières années, le législateur (européen et national) s’est engagé dans l’adoption de textes visant à garantir la sécurité des données et à protéger les organisations contre les cybermenaces. Un ensemble d’obligations est imposé aux organisations, notamment aux établissements financiers, qui doivent se conformer à un vaste dispositif juridique (RGPD4, DORA5, NIS 26, CER7, directive (UE) 2022/25568, Cyber Security Act9, Cyber Resilience Act10, etc.).