En novembre 2016, Tesco Bank, banque de détail britannique détenue à 100% par le groupe de distribution Tesco, avait essuyé une attaque informatique d’une ampleur alors inédite dans ce secteur. En moins de 48 heures, les pirates avaient réussi à prélever sur des comptes clients près de 2.26 millions de livres.
40 000 comptes avaient été touchés par cette attaque et l’argent avait été subtilisé par les cybercriminels sur 20 000 d’entre eux.
Même s’il s’agissait de montants peu élevés et que ceux-ci avaient été remboursés aux victimes, la question de la solidité et la fiabilité des systèmes informatiques du secteur bancaire avait bien sûr été soulevée.
La décision de justice rendue par le FCA (Financial Conduct Authority), le régulateur financier du Royaume-Uni, est assez éloquente en la matière, jugeant que la banque n’a pas suffisamment protégé ses utilisateurs contre les cyberattaques. Les cybercriminels avaient en effet réussi à exploiter des failles pour mener à bien leur attaque, notamment dans le système de conception des cartes bancaires.
Si Tesco risquait une amende de 33.6 millions de livres, le groupe a finalement écopé d’une sanction de 16.4 millions de livres, soit environ 18.4 millions d’euros.
Le but de cette amende : montrer que le régulateur financier n’a « aucune tolérance pour les banques qui échouent à protéger les clients contre des risques prévisibles »*, souligne Mark Steward, executive director of enforcement and market oversight au FCA.
Le FCA a ainsi exprimé que Tesco Bank avait manqué à ses obligations de vigilance quant à :
- La fabrication et la distribution des cartes de crédit
- La configuration d’un système d’authentification spécifique et de détection des fraudes
- La prise d’actions appropriées pour anticiper les risques d’attaques et de fraudes
Mark Steward ajoute également que dans le cas précis de l’attaque de novembre 2016, la banque n’avait géré une alerte spécifique qu’une fois que l’attaque avait débuté.
Pour la FCA, « la norme doit être désormais celui de la résilience, afin de réduire en amont le risque d’une cyberattaque, pas seulement de réagir à celle-ci »**.
*“The fine the FCA imposed on Tesco Bank today [1st October] reflects the fact that the FCA has no tolerance for banks that fail to protect customers from foreseeable risks”.
**“The standard is one of resilience, reducing the risk of a successful cyber attack occurring in the first place, not only reacting to an attack.”
