Cyber Security and Ransomware in Financial Markets

Document de travail du personnel 2022-32 (anglais)
Toni Ahnert, Michael Brolley, David Cimon, Ryan Riordan
Juillet 2022
Disponible en format(s) : PDF

Les institutions financières des marchés modernes agissent souvent comme des plateformes numériques dont les fonctions consistent à traiter des transactions, entreposer des données et prodiguer des conseils. Depuis que leur présence numérique s’est agrandie, elles sont plus vulnérables que jamais aux cyberattaques, et en particulier à deux types d’attaques :   

  • Les attaques conventionnelles au cours desquelles une entreprise se fait voler les actifs ou les données de ses clients.
  • Les attaques par rançongiciel au cours desquelles les pirates prennent le contrôle des systèmes informatiques d’une institution et les tiennent en otage jusqu’à ce qu’une rançon soit versée.

Les entreprises et les clients veulent à tout prix éviter les attaques réussies; les clients pour éviter des pertes, les entreprises pour maintenir la satisfaction de leurs clients. Cette relation entraîne des questionnements : 

  • Quelle est l’incidence de la relation de l’institution avec ses clients sur ses investissements en cybersécurité et, en fin de compte, sur sa vulnérabilité aux atteintes à la sécurité?
  • Est-ce que l’apparition des attaques par rançongiciel réduit ou accroît le risque de cyberattaque?
  • Quels types d’institutions financières sont les plus touchés par les attaques par rançongiciels?
  • Comment une autorité de réglementation pourrait-elle améliorer la prospérité des entreprises et des clients, et est-ce que la solution dépend du type d’attaque (conventionnelle ou rançongiciel)?

Nous modélisons le système financier avec des clients, des fournisseurs d’infrastructure financière et des pirates informatiques. Nous montrons que les attaques par rançongiciel ont plus de chances de réussir que les attaques conventionnelles. Lorsque les clients ne savent pas combien les institutions financières investissent dans la cybersécurité, les institutions ont tendance à sous-investir. Une autorité de réglementation pourrait améliorer la prospérité en exigeant des investissements en sécurité (p. ex., des normes minimales de sécurité) ou une amélioration de la transparence (p. ex., des niveaux de sécurité). Nos résultats viennent conforter les efforts réglementaires en faveur d’une plus grande transparence en matière de cybersécurité et de cyberattaques.
Type(s) de contenu : Travaux de recherche du personnel, Documents de travail du personnel
Sujet(s) : Modèles économiques, Réglementation et politiques relatives au système financier, Services financiers, Stabilité financière, Systèmes de compensation et de règlement des paiements
Code(s) JEL : D, D7, D78, D8, D81, G, G1, G18, G2, G21, G23

DOI : https://doi.org/10.34989/swp-2022-32