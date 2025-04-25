Le secteur financier n'a jamais connu une telle exposition aux risques : les inquiétudes autour de ce risque sont fondées puisque l'enquête menée par la Banque d'Angleterrerapporte que 79 % des personnes interrogées considèrent les cyberattaques comme le risque le plus important encouru par le système financier britannique. Les directives MaRisk visent à rectifier le tir grâce à un dispositif destiné au secteur bancaire et aux entreprises associées désirant réduire les risques liés à leurs activités.

Les banques et les directives MaRisk

Ces dernières années, les banques allemandes ont été touchées par des violations de données de grande ampleur comme la cyberattaque de 2022 visant la Deutsche Banket entraînant le vol de 60 Go de données clients. Les banques et autres entités du secteur financier relèvent de la loi bancaire allemande, de la BaFin et des directives MaRisk. Conformément aux directives MaRisk, les « Exigences de surveillance pour l'informatique dans les institutions financières », ou « Supervisory Requirements for IT in Financial Institutions », identifient les mesures que les banques doivent prendre pour se conformer aux exigences de sécurité du domaine de l'informatique. Par ailleurs, les directives MaRisk obligent les banques allemandes à sécuriser leurs flux de données, et l'une des dernières modifications apportées à cette réglementation prévoit l'ajout d'une mesure de sécurité pour le « home trading » (commerce intérieur) qui impose désormais un niveau minimum de sécurité informatique pour garantir la confidentialité des données. Les principes Zero Trust de moindre privilège imposent des contrôles d'accès à chaque connexion depuis un nouvel appareil, y compris aux connexions effectuées depuis un bureau à domicile.

Fournisseurs de services cloud des banques

En Allemagne, la chaîne d'approvisionnement des fournisseurs de services cloud qui collaborent avec le secteur bancaire est soumise à la réglementation MaRisk. Les fournisseurs de services cloud sont tenus de se conformer aux exigences de surveillance informatique pour veiller à ce qu'un client (banque ou autre institution financière) exerce un contrôle des risques conforme aux dites exigences. L'évaluation des risques vise à prouver la mise en place de mesures de gestion des risques liés à l'information, de sécurité de l'information et d'intervention en cas d'urgence, tout en démontrant leur conformité aux directives MaRisk, aux BAIT, ainsi qu'aux initiatives de la BaFin. Les contrats clients des fournisseurs de services cloud et informatiques prennent généralement ces évaluations en compte. Les fournisseurs de services cloud se doivent d'envisager des approches Zero Trust pour proposer des contrôles d'accès fiables au sein d'une architecture de services distribués.