L'Autorité monétaire de Singapour (MAS) a publié lundi 18 janvier 2021 des directives à l'intention des institutions financières afin de réduire les cyber risques, les obligeant à surveiller étroitement leurs fournisseurs de services et leurs fournisseurs de technologies. Les nouvelles directives s'appliquent aux banques, aux sociétés de services de paiement ainsi qu'aux sociétés de négoce et d'assurance.

Cette initiative survient au milieu de récentes cyberattaques à travers le monde, y compris le soi-disant incident SolarWinds. Les pirates informatiques ont subverti la société de logiciels SolarWinds, basée au Texas, et l'ont utilisée comme tremplin pour s’immiscer dans les réseaux gouvernementaux et ceux d'entreprises américaines.

« La récente vague de cyberattaques sur les chaînes d'approvisionnement qui a ciblé plusieurs fournisseurs de services informatiques grâce à l'exploitation de logiciels de gestion de réseau largement utilisés, est une indication claire de l'aggravation de l'environnement des cybermenaces », a déclaré la MAS dans un communiqué de presse. « Les directives révisées se concentrent sur la gestion des risques technologiques et cybernétiques dans un environnement d'utilisation croissante par les institutions financières des technologies cloud, des interfaces de programmation d'applications et du développement rapide de logiciels. »

Parmi les mesures énoncées, les institutions financières devraient exercer une « surveillance étroite » des accords avec des fournisseurs de services tiers, a déclaré la banque centrale de Singapour. « L’institut financier doit évaluer et gérer son exposition aux risques technologiques susceptibles d'affecter la confidentialité, l'intégrité et la disponibilité des systèmes informatiques et des données chez les tiers avant de conclure un accord contractuel ou un partenariat », indiquent les directives. 

Les institutions financières devraient également veiller à ce que les codes logiciels tiers et open source soient soumis à un examen et à des tests avant l'intégration dans leur propre logiciel.

Source : dv(gs), 18/01/2021, CNA