Les enjeux sont élevés pour les secteurs bancaire et FinTech alors que les cyberattaques se multiplient et deviennent de plus en plus coûteuses.
Ces entreprises détiennent des montagnes de données sensibles et évoluent dans des réseaux interconnectés qui attirent des hackers sophistiqués.
Au cœur de leur stratégie de défense se trouve la Loi sur le partage de renseignements en matière de cybersécurité de 2015 (CISA), une législation qui définit comment les entreprises privées partagent des informations sur les menaces cybernétiques avec les agences fédérales et entre elles. Alors que la date limite du 30 septembre approche, les interrogations concernant son renouvellement ajoutent une incertitude nouvelle pour les entreprises de services financiers.
Rôle de la CISA
La CISA a été mise en place pour éliminer les barrières au partage des renseignements sur les menaces cybernétiques entre les secteurs public et privé. En ce qui concerne les services financiers, elle permet aux banques, aux FinTechs et à d’autres « entités non fédérales » de surveiller leurs propres réseaux et de partager des « indicateurs de menace cybernétique », c’est-à-dire des données techniques concernant des activités malveillantes, avec leurs pairs ou le gouvernement fédéral, sans enfreindre les lois sur la confidentialité, la concurrence ou d’autres lois.
Le Département de la Sécurité intérieure agit comme un centre principal pour distribuer instantanément des indicateurs de menaces aux agences et aux entreprises privées, tout en exigeant des entreprises qu’elles retirent les données personnelles qui ne sont pas directement liées à une menace cybernétique avant de partager.
La loi protège également les entreprises contre les poursuites judiciaires liées à une surveillance ou à une divulgation de bonne foi, créant ainsi la certitude juridique qui permet une coopération en temps réel.
Ces caractéristiques donnent aux banques la confiance nécessaire pour coopérer contre des adversaires communs. Les Centres d’analyse et de partage d’information spécifiques aux secteurs (ISAC) collaborent avec la CISA pour relayer des alertes essentielles aux banques membres, aux réseaux de cartes et aux processeurs de paiements, tissant ensemble un tissu de sécurité qui s’étend à travers l’écosystème financier.
Services financiers dans le viseur
La loi est pertinente pour les services financiers, car les banques et les FinTechs subissent en permanence des tentatives d’intrusion allant du ransomware aux schémas de prise de contrôle de compte. Les institutions financières aux États-Unis ont enregistré une hausse à deux chiffres des violations de données signalées au cours du premier semestre 2025 par rapport au premier semestre 2024. Ces incidents soulignent la nécessité d’un partage d’informations fluide et protégé par la responsabilité.
La dépendance du secteur bancaire à ce cadre a encore augmenté avec l’expansion des paiements numériques, des règlements instantanés et des API d’open banking, élargissant ainsi la surface d’attaque. Les FinTechs et les banques traditionnelles ont intégré le partage conforme à la CISA dans leurs centres d’opérations de sécurité, créant des échanges d’indicateurs en quasi-temps réel qui peuvent identifier une violation dans un coin du système et immuniser d’autres systèmes en quelques minutes.
Importance du renouvellement
Si le Congrès ne parvient pas à réautoriser la CISA, des protections clés pourraient disparaître. Les banques partageant des données de menace pourraient perdre les protections en matière de concurrence et de responsabilité dont elles bénéficient actuellement, les exposant à des poursuites judiciaires ou à des conflits réglementaires. Les lois des États pourraient combler le vide de manière inégale, créant un patchwork d’exigences particulièrement contraignant pour les institutions financières nationales et transfrontalières.
Les législateurs n’ont pas encore indiqué de voie claire pour la réautorisation.
« Tant le secteur privé que le gouvernement ont besoin de certitudes, y compris la capacité d’allouer des ressources à la planification et à la mise en œuvre de la cybersécurité à long terme », a déclaré Matthew Eggers, vice-président de la politique de cybersécurité à la Chambre de commerce des États-Unis, selon un rapport du The Wall Street Journal.
À l’approche de la date limite de 2025, la capacité du secteur financier à répondre aux cybermenaces pourrait dépendre de l’action rapide des législateurs.
Bon à savoir
- La CISA encourage le partage d’informations sans compromettre la confidentialité des données.
- Les fluctuations des cybermenaces nécessitent une vigilance permanente dans le secteur financier.
- La collaboration entre entreprises privées et agences gouvernementales est cruciale pour renforcer la sécurité collective.
Il est indéniable que la sécurité dans le secteur financier est un enjeu crucial qui nécessite une attention concertée. La façon dont les législateurs décideront d’aborder le renouvellement de la CISA pourrait avoir des conséquences à long terme sur la manière dont les institutions s’adaptent aux menaces. Cela soulève une question importante : jusqu’où devraient aller les entreprises et les gouvernements pour garantir une cybersécurité efficace et proactive ?