Un test de crise grandeur nature a été mené avec succès sur la place financière de Paris les 21 et 22 novembre, afin de déterminer la capacité de réaction des grands acteurs à une cyber-attaque d'envergure, selon un communiqué publié jeudi.
Le groupe, qui a mené l'exercice, baptisé Robustesse, réunit les grands établissements de crédit (y compris la Fédération bancaire française), les sociétés d'infrastructures de marché, les superviseurs, le ministère de l'Economie et le Trésor. L'attaque a notamment consisté à envoyer des dizaines d'ordres de vente et d'achat « demeurant non réconciliés » (qui n'ont pas pu être vérifiés) et des virements dissimulés « de centaines de millions d'euros », selon le communiqué conjoint de la Banque de France, la Fédération bancaire française et Paris Europlace.
Ces mouvements visaient « à provoquer une paralysie » totale ou partielle du système de traitement et de prise en compte des ordres, et « au-delà, de perturber gravement le fonctionnement de la place financière de Paris », selon le communiqué. A ces assauts informatiques s'ajoutaient une perturbation des transports en commun, des rumeurs d'arrêt de fonctionnement d'institutions financières diffusées par internet « et relayées par certains médias ».
Le test a été « réussi », selon le communiqué, qui indique que « les principaux acteurs financiers de la place ont pu tester avec succès leur capacité à déclencher rapidement et de façon coordonnée les plans d'actions permettant de cantonner les effets de l'attaque et de limiter l'ampleur et la durée des perturbations sur le fonctionnement du système financier ».
Deux aspects étaient privilégiés lors du test : les interactions entre les responsables des plans de continuité d'activité (RPCA) et les responsables de la sécurité des système d'information (RSSI), ainsi que la communication à destination du grand public. « Les stratégies adoptées (...) ont permis dans une première phase de contourner les difficultés, avant de les résoudre dans un second temps tant du point de vue de la sécurité des transactions que de l'intégrité des systèmes d'information », indique le communiqué.
