Une fuite audio de la Banque d'Angleterre a suivi la perte d'un membre clé du personnel de cyber sécurité .




Exclusif : les ex-employés disent qu'au moins 20 membres du personnel de sécurité ont été réaffectés ou ont quitté au cours de l'année écoulée
La Banque d'Angleterre a restructuré son département de sécurité et a perdu de nombreux employés de haut niveau chargés de protéger certaines des infrastructures financières les plus critiques de la Grande-Bretagne peu avant qu'elle ne subisse une brèche majeure, peut révéler l'Observateur.
Après que la banque centrale a admis que les fonds spéculatifs avaient obtenu un accès rapide à ses conférences de presse sur les marchés par l'entremise d'un flux audio de secours, plusieurs anciens employés ont communiqué avec l'Observateur pour l'avertir que la Banque était aux prises avec le départ d'employés clés chargés de la protéger contre les menaces externes.
Les sources ont indiqué qu'au moins 20 des employés de la Banque chargés de la sécurité de l'information avaient quitté ou été réaffectés ailleurs au sein de la Banque au cours de la dernière année, ce qui a soulevé des questions sur la protection des systèmes de paiement du pays et d'autres infrastructures essentielles au système financier britannique. L'observateur a pu vérifier 13 de ces départs à l'aide d'informations provenant des médias sociaux et d'autres sources.


Comment huit secondes et un flux audio illicite ont donné un avantage aux commerçants
Ces révélations surviennent à un moment délicat pour la Banque, alors qu'elle se prépare à la passation des pouvoirs en mars de Mark Carney, le gouverneur sortant, à Andrew Bailey, l'actuel chef de la direction de l'Autorité de surveillance des pratiques de l'industrie financière.
Threadneedle Street a également joué un rôle central dans les efforts visant à améliorer la sécurité et l'intégrité du système financier depuis l'effondrement des banques en 2008, notamment en mettant en garde l'industrie contre l'amélioration de ses opérations de sécurité informatique et de sécurité de l'information. Elle est responsable de parties clés de l'infrastructure essentielle du pays, notamment les systèmes de paiement qui acheminent tous les virements bancaires effectués en Grande-Bretagne, les salaires de millions de personnes, les chèques et les paiements entre entreprises de toutes tailles. Au cours d'une journée moyenne en 2018, le système de règlement brut en temps réel (RTGS) de la Banque a réglé des transactions d'une valeur de 651 milliards de livres sterling.
Selon les anciens employés, le chef de la sécurité de l'information de la Banque et deux adjoints ont quitté la Banque au cours de la dernière année.
Plusieurs anciens employés ont décrit l'organisation comme étant assaillie par des réductions budgétaires avant le départ de M. Carney, sur fond de préoccupations concernant la rentabilité. Ils ont dit qu'il y avait des problèmes de personnel étant donné les départs et le faible moral du personnel.
Une grande partie de l'inquiétude provient de la décision de démanteler la direction de la sécurité et de la confidentialité de la Banque. L'équipe, qui faisait partie de la division des services centraux, avait auparavant la responsabilité des questions de sécurité cybernétique, physique et du personnel, ainsi que de la protection de la vie privée. Le personnel et les responsabilités étaient plutôt répartis dans d'autres secteurs de l'organisation.
Il est entendu qu'un grand nombre de ces personnes relèvent désormais des directions de la technologie, de la sécurité et des risques de la Banque, dans le cadre d'une démarche visant à rendre l'organisation plus sûre. La Banque compte environ 70 professionnels de la cybersécurité.
Un porte-parole de la Banque d'Angleterre a déclaré "La Banque applique les normes les plus élevées en matière de sécurité de l'information et a confiance en notre capacité à reconnaître les cyber-menaces et à défendre nos systèmes de manière appropriée. Plus tôt cette année, la Banque a terminé un examen de son modèle d'exploitation cible des services centraux et, dans le cadre de cet examen, a renforcé les dispositions relatives à la sécurité de l'information de première et de deuxième ligne. Ce changement a été pleinement appuyé par le comité de vérification et de gestion des risques de la Banque ".
La Banque a admis tard mercredi soir qu'elle avait subi une brèche de sécurité, un fournisseur d'un flux audio de sauvegarde des conférences de presse du gouverneur sensibles au marché ayant vendu à son insu un accès anticipé à des investisseurs non nommés. Ces investisseurs auraient pu utiliser l'avantage de quelques secondes pour faire des profits.
Le journal Times a été alerté de la brèche, a mené une enquête interne rapide et a transmis l'affaire à la CAF. Le chien de garde de la Ville a confirmé qu'il enquêtait sur la question, et il est entendu que M. Bailey se retirera de toutes les discussions sur la question pour éviter toute suggestion de conflit d'intérêts.


Andrew Bailey : nouveau gouverneur.
Le chef de l'exploitation de la Banque, Joanna Place, est le plus haut responsable de la sécurité physique et de la sécurité de l'information, et a dû faire face à des appels à la démission d'un ancien membre du comité de la politique monétaire de la Banque, Danny Blanchflower, à la suite de cette violation. Mme Place, qui a été nommée en juillet 2017, relève directement du gouverneur et a un statut égal à celui des sous-gouverneurs de la Banque.
Selon de nombreuses sources, la Banque a subi des pressions pour réduire le budget de la division des services centraux, qui est gérée par M. Place. Ils ont dit que le chien de garde des dépenses du gouvernement, le National Audit Office, a averti en décembre 2018 que la Banque devait offrir un meilleur rapport qualité-prix.
En janvier, M. Place a déclaré au Comité des comptes publics des Communes que la Banque n'avait " aucune lacune en matière de cybersécurité ". Toutefois, son chef de la sécurité de l'information, Cameron " Buck " Rogers, a démissionné un peu plus d'un mois plus tard. De nombreux autres experts en sécurité l'ont suivi.
Une porte-parole de la Banque a déclaré que M. Rogers avait démissionné le 23 février et que la Place ne savait pas qu'il allait démissionner lorsqu'elle a témoigné le 21 janvier.
Lors de l'audience, Meg Hillier, la présidente travailliste du comité, s'est dite surprise de la réponse de Place, compte tenu des difficultés que d'autres organisations du secteur public ont eues à recruter et à conserver du personnel de cybersécurité, et a demandé à nouveau s'il y avait des postes vacants.
Place a répondu : "De prime abord, je ne sais pas si nous avons des postes vacants, mais nous n'avons pas de problème de recrutement et nous n'avons pas non plus de problème de rétention dans le domaine de la cyber sécurité."
Selon de multiples sources, son témoignage a suscité un malaise généralisé au sein de la Banque et, dans les mois qui ont suivi sa comparution, la fonction de cybersécurité a souffert de l'exode du personnel.
Le secteur public a du mal à retenir son personnel dans les fonctions de cybersécurité en raison de la concurrence intense du secteur privé, mieux rémunéré. Toutefois, la réputation de la Banque et son rôle important dans la protection de la stabilité financière sont attrayants pour les candidats potentiels, et les sources ont déclaré qu'elles croyaient qu'il était dans l'intérêt public de faire la lumière sur les problèmes auxquels elle faisait face.
C'est ce qu'a déclaré un porte-parole de la Banque d'Angleterre : "L'incident relatif à l'utilisation abusive d'une alimentation audio de secours des conférences de presse de la Banque par un fournisseur tiers, que la Banque a renvoyé à la Financial Conduct Authority pour une enquête plus approfondie, n'était pas une question de cybersécurité."

Commentaires

Articles les plus consultés