Cyber-attaques : BAM fixe de nouvelles règles pour les banques

Bank Al-Maghrib impose des tests d’intrusion du système d’information des établissements bancaires

BAM prend très au sérieux la menace des cyber-attaques pour les banques marocaines. Dans ce sens, le wali de Bank Al-Maghrib (BAM) vient d’adresser une directive aux banques fixant des règles minimales à observer pour réaliser les test d’intrusion du système d’information du secteur bancaire. Le but est de détecter les lacunes qui pourraient être utilisées par les pirates informatiques pour mener des cyber-attaques contre le secteur. C’est une feuille de route bien précise à laquelle les établissements de crédit à l’échelle nationale devront dorénavant se conformer.

Dans les détails, BAM veut que chaque établissement évalue la sécurité de son système d’information. Il leur est demandé également d’établir un planning de tests à inscrire dans le cadre d’une stratégie d’évaluation du dispositif de sécurité informatique. Ce n’est pas tout. Chaque établissement devra élaborer une cartographie des risques de ses systèmes d’information au regard des risques d’intrusion ou de cyber-attaques.

L’objectif de ces tests est d’évaluer au préalable et avec exactitude la capacité réelle de chaque banque à faire face aux intrusions étrangères et malveillantes. Les tests devront également être menés systématiquement à chaque changement dans les systèmes d’information susceptible d’exposer l’établissement au risque d’une cyber-attaque. Les établissements bancaires devront à la fois évaluer la sécurité des systèmes d’information internes ainsi que ceux ouverts sur le grand public. Plus loin encore, BAM demande aux banques de ne pas faire confiance à des établissements externes lorsque les tests concernent des bases de données à caractère confidentiel. Chaque banque devra privilégier le recours à ses équipes internes.

Lorsqu’un établissement fait appel à un prestataire externe, une démarche spéciale mise en place par BAM doit être scrupuleusement respectée. Par ailleurs, la banque devra adresser chaque année avant le 31 mars un rapport annuel détaillé sur les tests effectués ainsi que les solutions apportées. A noter que ces règles son entrées en vigueur depuis le 10 juin dernier.