Banques US : 36 heures pour signaler un cyber incident

Les régulateurs américains de la finance vont obliger les banques à leur signaler tout cyber incident d’importance dans les 36 heures suivant sa détection

Face à une cyberattaque, les banques américaines ont eu tendance, ces derniers mois, à informer tardivement leur régulateur fédéral et leurs clients, générant inquiétude et suspicion, notamment face à l’inaccessibilité longue durée d’un service de banque en ligne.

Pour mettre un terme à ces pratiques dommageables, les trois principaux régulateurs financiers fédéraux ont validé une nouvelle directive obligeant les organisations bancaires à signaler tout incident de cybersécurité « significatif » dans les 36 heures suivant sa découverte.

Dans le détail, une banque américaine devra, à compter du 1er mai 2022, informer son principal régulateur fédéral « des incidents qui ont – ou sont raisonnablement susceptibles d’avoir – une incidence importante sur la viabilité de leurs opérations, leur capacité à fournir des produits et des services, ou la stabilité du secteur financier américain ».

Les régulateurs citent notamment les attaques DDoS ou les « piratages informatiques qui mettent les opérations bancaires hors service pendant de longues périodes » – comme les rançongiciels. De plus, les banques devront informer leurs clients « dès que possible », si l’incident est susceptible de bloquer l’accès à leurs comptes pendant quatre heures ou plus.