Une fuite audio de la Banque d'Angleterre a suivi la perte d'un membre clé du personnel de cyber sécurité .
Exclusif :
les ex-employés disent qu'au moins 20 membres du personnel de sécurité ont été
réaffectés ou ont quitté au cours de l'année écoulée
La Banque
d'Angleterre a restructuré son département de sécurité et a perdu de nombreux
employés de haut niveau chargés de protéger certaines des infrastructures
financières les plus critiques de la Grande-Bretagne peu avant qu'elle ne
subisse une brèche majeure, peut révéler l'Observateur.
Après que la
banque centrale a admis que les fonds spéculatifs avaient obtenu un accès
rapide à ses conférences de presse sur les marchés par l'entremise d'un flux
audio de secours, plusieurs anciens employés ont communiqué avec l'Observateur
pour l'avertir que la Banque était aux prises avec le départ d'employés clés
chargés de la protéger contre les menaces externes.
Les sources
ont indiqué qu'au moins 20 des employés de la Banque chargés de la sécurité de
l'information avaient quitté ou été réaffectés ailleurs au sein de la Banque au
cours de la dernière année, ce qui a soulevé des questions sur la protection
des systèmes de paiement du pays et d'autres infrastructures essentielles au
système financier britannique. L'observateur a pu vérifier 13 de ces départs à
l'aide d'informations provenant des médias sociaux et d'autres sources.
Comment huit
secondes et un flux audio illicite ont donné un avantage aux commerçants
Ces
révélations surviennent à un moment délicat pour la Banque, alors qu'elle se
prépare à la passation des pouvoirs en mars de Mark Carney, le gouverneur
sortant, à Andrew Bailey, l'actuel chef de la direction de l'Autorité de
surveillance des pratiques de l'industrie financière.
Threadneedle
Street a également joué un rôle central dans les efforts visant à améliorer la
sécurité et l'intégrité du système financier depuis l'effondrement des banques
en 2008, notamment en mettant en garde l'industrie contre l'amélioration de ses
opérations de sécurité informatique et de sécurité de l'information. Elle est
responsable de parties clés de l'infrastructure essentielle du pays, notamment
les systèmes de paiement qui acheminent tous les virements bancaires effectués
en Grande-Bretagne, les salaires de millions de personnes, les chèques et les
paiements entre entreprises de toutes tailles. Au cours d'une journée moyenne
en 2018, le système de règlement brut en temps réel (RTGS) de la Banque a réglé
des transactions d'une valeur de 651 milliards de livres sterling.
Selon les
anciens employés, le chef de la sécurité de l'information de la Banque et deux
adjoints ont quitté la Banque au cours de la dernière année.
Plusieurs
anciens employés ont décrit l'organisation comme étant assaillie par des
réductions budgétaires avant le départ de M. Carney, sur fond de préoccupations
concernant la rentabilité. Ils ont dit qu'il y avait des problèmes de personnel
étant donné les départs et le faible moral du personnel.
Une grande
partie de l'inquiétude provient de la décision de démanteler la direction de la
sécurité et de la confidentialité de la Banque. L'équipe, qui faisait partie de
la division des services centraux, avait auparavant la responsabilité des
questions de sécurité cybernétique, physique et du personnel, ainsi que de la
protection de la vie privée. Le personnel et les responsabilités étaient plutôt
répartis dans d'autres secteurs de l'organisation.
Il est
entendu qu'un grand nombre de ces personnes relèvent désormais des directions
de la technologie, de la sécurité et des risques de la Banque, dans le cadre
d'une démarche visant à rendre l'organisation plus sûre. La Banque compte
environ 70 professionnels de la cybersécurité.
Un
porte-parole de la Banque d'Angleterre a déclaré "La Banque applique les
normes les plus élevées en matière de sécurité de l'information et a confiance
en notre capacité à reconnaître les cyber-menaces et à défendre nos systèmes de
manière appropriée. Plus tôt cette année, la Banque a terminé un examen de son
modèle d'exploitation cible des services centraux et, dans le cadre de cet
examen, a renforcé les dispositions relatives à la sécurité de l'information de
première et de deuxième ligne. Ce changement a été pleinement appuyé par le
comité de vérification et de gestion des risques de la Banque ".
La Banque a
admis tard mercredi soir qu'elle avait subi une brèche de sécurité, un
fournisseur d'un flux audio de sauvegarde des conférences de presse du
gouverneur sensibles au marché ayant vendu à son insu un accès anticipé à des
investisseurs non nommés. Ces investisseurs auraient pu utiliser l'avantage de
quelques secondes pour faire des profits.
Le journal
Times a été alerté de la brèche, a mené une enquête interne rapide et a
transmis l'affaire à la CAF. Le chien de garde de la Ville a confirmé qu'il
enquêtait sur la question, et il est entendu que M. Bailey se retirera de
toutes les discussions sur la question pour éviter toute suggestion de conflit
d'intérêts.
Andrew Bailey
: nouveau gouverneur.
Le chef de
l'exploitation de la Banque, Joanna Place, est le plus haut responsable de la
sécurité physique et de la sécurité de l'information, et a dû faire face à des
appels à la démission d'un ancien membre du comité de la politique monétaire de
la Banque, Danny Blanchflower, à la suite de cette violation. Mme Place, qui a
été nommée en juillet 2017, relève directement du gouverneur et a un statut
égal à celui des sous-gouverneurs de la Banque.
Selon de
nombreuses sources, la Banque a subi des pressions pour réduire le budget de la
division des services centraux, qui est gérée par M. Place. Ils ont dit que le
chien de garde des dépenses du gouvernement, le National Audit Office, a averti
en décembre 2018 que la Banque devait offrir un meilleur rapport qualité-prix.
En janvier,
M. Place a déclaré au Comité des comptes publics des Communes que la Banque
n'avait " aucune lacune en matière de cybersécurité ". Toutefois, son
chef de la sécurité de l'information, Cameron " Buck " Rogers, a
démissionné un peu plus d'un mois plus tard. De nombreux autres experts en sécurité
l'ont suivi.
Une
porte-parole de la Banque a déclaré que M. Rogers avait démissionné le 23
février et que la Place ne savait pas qu'il allait démissionner lorsqu'elle a
témoigné le 21 janvier.
Lors de
l'audience, Meg Hillier, la présidente travailliste du comité, s'est dite
surprise de la réponse de Place, compte tenu des difficultés que d'autres
organisations du secteur public ont eues à recruter et à conserver du personnel
de cybersécurité, et a demandé à nouveau s'il y avait des postes vacants.
Place a
répondu : "De prime abord, je ne sais pas si nous avons des postes
vacants, mais nous n'avons pas de problème de recrutement et nous n'avons pas
non plus de problème de rétention dans le domaine de la cyber sécurité."
Selon de
multiples sources, son témoignage a suscité un malaise généralisé au sein de la
Banque et, dans les mois qui ont suivi sa comparution, la fonction de
cybersécurité a souffert de l'exode du personnel.
Le secteur
public a du mal à retenir son personnel dans les fonctions de cybersécurité en
raison de la concurrence intense du secteur privé, mieux rémunéré. Toutefois,
la réputation de la Banque et son rôle important dans la protection de la
stabilité financière sont attrayants pour les candidats potentiels, et les
sources ont déclaré qu'elles croyaient qu'il était dans l'intérêt public de
faire la lumière sur les problèmes auxquels elle faisait face.
C'est ce qu'a
déclaré un porte-parole de la Banque d'Angleterre : "L'incident relatif à
l'utilisation abusive d'une alimentation audio de secours des conférences de
presse de la Banque par un fournisseur tiers, que la Banque a renvoyé à la
Financial Conduct Authority pour une enquête plus approfondie, n'était pas une
question de cybersécurité."
Commentaires
Enregistrer un commentaire