Passer au playerPasser au contenu principalPasser au pied de page
Assemblée nationale
  • avant-hier
Renforcement de la cybersécurité : Table ronde réunissant les autorités de régulation financière

Catégorie

🗞
News
Transcription
00:00:00Merci.
00:00:30Merci.
00:01:00Merci.
00:01:30Merci.
00:02:00Merci.
00:02:30Merci.
00:03:00Merci.
00:03:30Merci.
00:04:00Merci.
00:04:30Merci.
00:05:00Merci.
00:05:30Merci.
00:06:00Merci.
00:06:30Merci.
00:07:00Merci.
00:07:30Merci.
00:08:00Merci.
00:08:30Merci.
00:09:00Merci.
00:09:30Merci.
00:10:00Merci.
00:10:30Merci.
00:11:00Merci.
00:11:30Merci.
00:12:00Merci.
00:12:30Merci.
00:13:00Merci.
00:13:30Merci.
00:14:00Merci.
00:14:30Merci.
00:15:00Merci.
00:15:30Merci.
00:16:00Merci.
00:16:30Merci.
00:17:00Jusqu'à présent, notre cycle d'audition sur le projet de loi relatif à la résilience des infrastructures critiques au renforcement de la cybersécurité, c'est principalement concentré sur les deux premiers titres du projet de loi.
00:17:29Merci.
00:17:30D'une part, la disposition de la transposition de la directive REC sur la résilience des entités critiques. D'autre part, la directive NIS2 visant à renforcer la cybersécurité au sein de l'Union européenne.
00:17:39L'audition d'aujourd'hui est consacrée à un sujet que nous n'avons pas encore eu l'occasion d'aborder, le titre 3 du projet de loi qui transpose dans le droit interne les dispositions de la directive du Parlement européen du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier dite DORA.
00:17:54Ce titre 3 relève plus particulièrement de la compétence de notre collègue Michael Boulou, rapporteur thématique ici présent. Nous le savons, le secteur financier constitue une cible pour les cyberattaques.
00:18:03Dans son dernier rapport sur la stabilité financière de décembre 2024, la Banque de France indiquait que le risque de cyberattaques se maintenait à un niveau élevé dans un environnement géopolitique dégradé, se traduisant par une variété de menaces hybrides.
00:18:15La cybersécurité fait partie des thèmes appréhendés par l'AMF dans le cadre de ses contrôles. Elle a d'ailleurs réalisé trois campagnes de contrôle spot, supervision des pratiques opérationnelles et thématiques, sur ce thème en 2019, 2020 et 2023.
00:18:29Nous avons le plaisir d'accueillir l'autorité des marchés financiers, l'AMF, représentée par M. Sébastien Rapillet, secrétaire général.
00:18:34Il est accompagné de Mme Lortertret, directrice de cabinet de la Présidente et conseillère parlementaire, et M. Franck Lasserie, conseiller expert au sein de la division Data et Technologies Policy de la Direction des Données de la Surveillance.
00:18:45L'autorité de contrôle prudentiel et de résolution, la CPR, est quant à elle représentée par M. Hervo, secrétaire général adjoint, M. Garcia, chef de service adjoint du service des affaires internationales, Banque de la CPR.
00:18:56Ils sont accompagnés de Mme Véronique Bensaïd-Cohen, conseillère parlementaire auprès du gouverneur, ainsi que de M. Préguiessa, chargé de mission.
00:19:07Je vais vous laisser la parole pour une courte intervention sur le rôle de vos institutions respectives qui seront amenées à jouer dans le cadre de la transposition de la directive DORA,
00:19:15avant que notre rapporteur général et nos rapports thématiques et l'ensemble de nos collègues puissent vous interroger.
00:19:20J'aurais pour ma part une question. Lorsque nous avons auditionné le directeur général de l'ANSI, Vincent Strubel,
00:19:25celui-ci nous a indiqué que, et je le cite, le Sénat a simplifié l'articulation entre DORA et la directive NIS2, ce qui est louable dans l'intention.
00:19:32Toutefois, supprimer la notification des incidents cyber qui affecteraient les entités soumises à DORA auprès de l'ANSI
00:19:37pour ne conserver qu'une notification aux entités de contrôle DORA, c'est-à-dire l'ACPR et l'AMF, provoque des effets de bord néfastes.
00:19:45Contrairement à l'ANSI, l'ACPR et l'AMF ne disposent pas d'un service opérationnel 24h sur 24 et 7 jours sur 7.
00:19:50Ce passage obligé par les autorités de DORA entraînerait un retard dans la prise en compte des notifications d'incidents par l'ANSI,
00:19:56l'empêchant ainsi de remplir efficacement sa mission d'assistance aux victimes et d'alerte à d'autres cibles potentielles.
00:20:03Ma question est donc la suivante.
00:20:04Partagez-vous ce constat. Est-ce qu'une forme de double notification basée sur un formulaire unique pour éviter la duplication du travail
00:20:10constituerait une meilleure solution ?
00:20:13La réunion répondra aux prises de parole définies lors de la réunion constitutive, c'est-à-dire une durée d'intervention fixée à 3 minutes pour les rapporteurs
00:20:21et à 2 minutes pour les orateurs de groupe et 1 minute pour les prises de paroles individuelles.
00:20:25Je vous laisse dorénavant la parole dans l'ordre qui vous plaira.
00:20:28Monsieur le Président, Mesdames et Messieurs les rapporteurs, Mesdames et Messieurs les députés, Mesdames, Messieurs,
00:20:39je suis donc très honoré d'échanger aujourd'hui avec vous sur la réglementation DORA relative à la résilience informatique et cyber du secteur financier
00:20:50qui fait donc l'objet d'un titre spécifique du projet de loi Résilience.
00:20:54En tant que secrétaire général adjoint de la CPR, je vous confirme que la résilience cyber et informatique est une priorité absolue pour la stabilité financière en France et en Europe
00:21:04et qui nous mobilise au quotidien.
00:21:06Vous faisiez référence, Monsieur le Président, à effectivement la cotation des risques par la Banque de France.
00:21:10Je confirme que c'est effectivement évalué comme le risque probablement le plus élevé aujourd'hui et celui qui a le potentiel le plus important d'impact pour la stabilité financière.
00:21:28Comme j'ai pu l'évoquer déjà lors de mon audition au Sénat, le secteur financier fait face à deux enjeux structurants dans ce domaine.
00:21:35Le premier, c'est la digitalisation toujours plus rapide des services financiers, à l'heure des paiements instantanés, de la blockchain, de l'intelligence artificielle.
00:21:45La finance d'aujourd'hui n'a plus grand-chose à voir avec celle d'il y a 20 ans.
00:21:51Ceci repose sur des services supports qui sont de manière croissante externalisés par les acteurs financiers auprès de prestataires spécialisés,
00:21:59notamment on peut penser aux services en nuages, cloud, ou au centre de données.
00:22:05La concentration croissante de ces prestataires, aux premiers chefs, les GAFAM, les rend donc critiques.
00:22:13Et pour le secteur financier, le fait que la majorité soit située hors de l'Union européenne ajoute un défi supplémentaire.
00:22:22Il est donc indispensable d'avoir un cadre comme DORA qui nous donne désormais, pour les autorités européennes de supervision,
00:22:31et avec le concours de la Banque centrale européenne et des autorités nationales, des pouvoirs de surveillance sur ces acteurs,
00:22:38afin d'encadrer les risques associés.
00:22:40Nous nous préparons très activement à cette nouvelle mission.
00:22:45Vous évoquiez le type de responsabilité des autorités françaises dans ce cadre.
00:22:50Cela fait partie de nos responsabilités de nous préparer activement à cette nouvelle mission
00:22:53sur une population de prestataires critiques qui sera déterminée au deuxième semestre de cette année.
00:23:00Le second enjeu, c'est l'augmentation constante des cyberattaques à l'encontre du secteur financier,
00:23:05qui évidemment est une cible de choix.
00:23:09Très concrètement, un établissement financier mal protégé peut être amené à avoir sa solidité financière mise en jeu
00:23:17au cours d'une attaque d'importance.
00:23:19Je crois qu'on peut en citer une illustration.
00:23:21La banque chinoise ICBC, l'année dernière, qui a dû recapitaliser sa filiale américaine
00:23:28de plusieurs milliards de dollars à cause d'une attaque par ensongiciel.
00:23:36C'est effectivement aussi l'enjeu important de cette réglementation.
00:23:42Dans ce contexte, le règlement d'Aura met en place un dispositif qui repose sur un triptyque testé, alerté, protégé.
00:23:51Afin d'éviter les maillons faibles, tous les acteurs financiers sont soumis à un socle d'exigence
00:23:56de gestion des risques informatiques et cyber, que ce soit les banques, les assureurs,
00:24:00jusqu'aux infrastructures de marché, en passant par les émetteurs de cryptoactifs.
00:24:04Chacun doit tester sa cyber-résilience et les établissements les plus systémiques sont assujettis
00:24:12à partir de cette année à des tests d'intrusion renforcés qui sont pilotés par leur autorité de contrôle.
00:24:19Et donc, effectivement, compte tenu de la responsabilité de la CPR sur le secteur bancaire et assimilé,
00:24:27établissement de paiement et de monnaie électronique, entreprises d'investissement,
00:24:30chambres de compensation et également sur le secteur de l'assurance.
00:24:35Tout ceci fait partie de nos responsabilités.
00:24:38Et c'est l'intérêt aussi d'avoir un cadre harmonisé de déclaration et de traitement des incidents cyber.
00:24:46Alors, Dora, c'est certes un règlement européen qui est déjà en application.
00:24:50Nous avons commencé à le mettre en œuvre depuis le 17 janvier de cette année.
00:24:54Mais c'est aussi une directive qui modifie un certain nombre de textes sectoriels,
00:24:58que ce soit dans le domaine bancaire ou assurantiel.
00:25:02Et dans le cadre de cette transposition, nous, en droit français,
00:25:06la CPR soutient deux amendements qui nous semblent indispensables.
00:25:14Et je tiens à préciser qu'il ne s'agit à notre sens non pas d'une surtransposition,
00:25:19mais simplement d'assurer la cohérence et l'efficacité du cadre de cyber-résilience.
00:25:24Alors, le premier point concerne l'assujettissement des sociétés de financement.
00:25:29Par définition, elles ne sont pas couvertes par le règlement européen,
00:25:33puisque c'est un statut qui est purement national.
00:25:37Mais, eu égard à leur rôle essentiel pour le secteur bancaire français,
00:25:42il est nécessaire de leur étendre l'application des exigences de Dora à brève échéance.
00:25:46Or, dans la version votée par la Haute Assemblée, Dora ne s'appliquerait à elle qu'en 2030.
00:25:54Il nous semble que ce serait prendre le risque qu'elle constitue un point faible
00:25:59pour l'ensemble du secteur financier, puisque par définition,
00:26:01le risque cyber a vocation par contagion à partir d'un point faible
00:26:08à s'étendre aux autres acteurs du secteur financier.
00:26:13Et, voilà, si on cite un certain nombre d'entités critiques,
00:26:18comme Crédit Logement pour le crédit immobilier,
00:26:21je rappelle que Crédit Logement cautionne 420 milliards d'encours en 2024.
00:26:27Donc, je vous laisse imaginer l'impact d'un vol de données personnelles
00:26:30sur les crédits immobiliers de millions de Français,
00:26:32qui pourraient se retrouver dans la nature, si vous permettez ce terme.
00:26:38Et donc, nous recommandons effectivement une application au plus tôt,
00:26:43au moins pour les sociétés de financement les plus critiques,
00:26:48et en appliquant un principe de proportionnalité pour les plus petites en janvier 2027,
00:26:53ce qui nous semble raisonnable en termes de préparation,
00:26:56puisque ce serait deux ans après l'entrée en vigueur de Dora.
00:27:00Le deuxième point, et je pense que c'était une de vos questions, M. le Président,
00:27:04c'est effectivement l'interaction entre les autorités de contrôle du secteur financier
00:27:11et l'autorité en charge des aspects cyber, l'ANSI,
00:27:16dans la réponse aux cyberattaques.
00:27:19Donc, le règlement Dora donne l'option de prévoir en droit national
00:27:22que les établissements concernés puissent adresser copie de leur déclaration d'incident cyber
00:27:28à l'autorité compétente au titre de la directive NIS.
00:27:32Nous sommes favorables à mettre en place, effectivement, cette notification parallèle,
00:27:37comme Vincent Strubel a pu déjà l'évoquer lors de son audition.
00:27:41Il nous semble que le coût supplémentaire pour les établissements est nul,
00:27:45puisqu'ils transmettraient strictement les mêmes informations à l'ANSI
00:27:48qu'à la CPR, selon le même format,
00:27:52tandis que le gain en termes de stabilité financière serait significatif,
00:27:57puisque quelques heures pour le traitement de l'incident cyber
00:28:00peuvent vraiment compter dans la capacité à neutraliser une cyberattaque.
00:28:06Et là, je me permettrais pour terminer peut-être deux précisions.
00:28:09D'abord, une seule notification, finalement, serait une vraie fausse simplification,
00:28:15puisqu'en fait, elle ferait perdre du temps, quelque part,
00:28:20dans le traitement de la menace cyber.
00:28:25D'avoir deux notifications ferait perdre du temps, effectivement, à l'ANSI.
00:28:33Donc, il nous semble important d'avoir ces deux schémas de notification en même temps.
00:28:39Et donc, c'est une vraie fausse simplification.
00:28:42Et effectivement, les autorités du secteur financier et l'ANSI ne répondent pas aux mêmes missions.
00:28:48C'est-à-dire que le rôle des autorités du secteur financier,
00:28:51c'est vraiment de traiter les conséquences d'un incident cyber pour le secteur financier,
00:28:57la protection de la clientèle, la protection des avoirs, le risque systémique d'une cyberattaque,
00:29:04alors que la réponse technique à la cyberattaque relève de l'ANSI.
00:29:08Donc, il est vraiment important d'avoir, effectivement, ce double circuit de notification.
00:29:19Voilà. Donc, merci et à votre disposition pour vos questions.
00:29:24Merci, M. le Président, M. le rapporteur général, Messieurs, Mme les rapporteurs.
00:29:33Merci beaucoup pour accueillir l'autorité des marchés financiers.
00:29:36Comme l'a indiqué Frédéric Herveau, les supérieurs financiers sont en charge de la mise en œuvre de DORA.
00:29:44DORA, le champ de compétences est respecté entre l'ACPR et l'AMF.
00:29:52DORA, c'est déjà en premier lieu un ajout dans la supervision que nous menons par rapport aux entités dont nous avons déjà la charge de supervision.
00:30:03Pour l'AMF, il s'agit des sociétés de gestion, il s'agit des prestataires de services de financement participatif,
00:30:10il s'agit des prestataires de services sur actifs numériques, donc une population très nombreuse, de plus petite taille en moyenne que dans le domaine bancaire et assurantiel.
00:30:25Donc, un enjeu extrêmement fort pour l'AMF de nous assurer de la capacité de ses acteurs à satisfaire à l'ambition du paquet DORA
00:30:39et je fais une petite incise dans mes précédentes fonctions, j'ai eu à finaliser la négociation du paquet DORA sous présidence française de l'Union Européenne.
00:30:50C'était le niveau 1.
00:30:53Il y a eu beaucoup de textes européens de niveau 2, je crois qu'il en reste un à prendre, donc on est quasiment finalisé,
00:31:00de ce parcours législatif au niveau communautaire.
00:31:02étant passé de l'autre côté, la mise en œuvre est évidemment un défi et je crois que c'est quelque chose où il faut bien avoir conscience
00:31:14que quand on parle à des entités d'une taille relativement petite, c'est un vrai défi et donc notre première mission, c'est l'accompagnement.
00:31:24L'accompagnement pour expliquer en quoi ceci est nécessaire pour ceux qui ne l'auraient pas compris.
00:31:31Et puis, il y a ceux, Frédéric Hervaux l'a mentionné, qui ont déjà pu malheureusement comprendre à quel point c'est important de s'assurer d'une capacité,
00:31:42un, à réduire la probabilité de survenance de sujets qui peuvent être absolument majeurs,
00:31:47deux, d'en limiter les conséquences quand ils surviennent quand même.
00:31:50Et c'est bien ça l'objet de Dora.
00:31:55Il va y avoir donc un besoin qui a déjà commencé, mais qui va se poursuivre sur quelques mois, si ce n'est quelques années,
00:32:03de monter en compétence aussi pour l'autorité des marchés financiers, j'imagine pour les superviseurs homologues au niveau européen
00:32:10et puis pour ceux en charge des banques et des assurances.
00:32:12C'est un effort en tout cas collectif dans la mesure où on est sur un sujet où le maillon faible donne le la du niveau de résilience.
00:32:25Et on a eu des exemples récents où l'on voit bien que une cyberattaque par rançon judiciaire, par exemple,
00:32:33sur un acteur peut avoir des répercussions sur bon nombre d'autres acteurs et donc une propagation qui peut être très problématique.
00:32:45C'est en ce sens qu'il est important déjà pour les acteurs d'avoir une cartographie de leur point de vulnérabilité.
00:32:51On est dans un monde où ces acteurs reposent beaucoup sur l'externalisation et ça n'est pas prêt de s'arrêter.
00:33:00Externalisation, évidemment, sur des systèmes d'information, externalisation aussi de prestations essentielles.
00:33:07Un exemple qui s'est passé il n'y a pas si longtemps en Espagne et au Portugal sur un blackout électrique,
00:33:13évidemment, c'est plus difficile dans ces conditions de pouvoir délivrer les prestations auprès de sa clientèle.
00:33:19Donc ça touche à des choses qui peuvent paraître très terre à terre, mais ça a le mérite de reposer ce sujet-là,
00:33:30qui est la continuité des activités et des sujets comme le plan de continuité de l'activité.
00:33:37Et puis, sur des menaces qui s'accroissent, qui deviennent de plus en plus technologiques pointues,
00:33:42les cyberattaques, et comme Frédéric Arvaux l'a mentionné, à compter du deuxième semestre,
00:33:50il y aura du paquet d'aura la nécessité, l'obligation de piloter des tests d'intrusion auprès des entités critiques.
00:33:59Ça nécessite, pour des autorités comme l'AMF, l'acquisition de compétences très pointues en matière de cyber expertise,
00:34:09mais qui se mixent également avec une compétence pointue des acteurs et donc du métier classique de superviseur.
00:34:16C'est un challenge dans la mesure où ces compétences sont rares et chères.
00:34:22Nous sommes des entités publiques, donc nous luttons avec des entités du secteur privé pour pouvoir attirer ces profils.
00:34:32Je le mentionne, encore une fois, l'aspect très opérationnel de mise en œuvre de ce règlement,
00:34:38qui, pour le coup, apporte quand même, me semble-t-il s'il est bien réalisé, un niveau de confiance augmenté.
00:34:48Et je terminerai par là, des échanges que j'ai pu avoir dans mes précédentes fonctions et là, maintenant.
00:34:55Je ne suis pas sûr que le terme « envier » est approprié à ce stade,
00:34:59mais en tout cas, les acteurs qui sont conscients du risque pour leur survie même,
00:35:04la poursuite de leurs activités et leur risque de réputation par rapport à leur clientèle,
00:35:09se disent que ce cadre, qui vise à améliorer le niveau minimum de capacité de résilience
00:35:15parmi les acteurs financiers, est un élément très positif en ce sens, y compris pour eux,
00:35:22en espérant évidemment que s'il y a un problème, ça arrive plutôt chez le voisin que chez eux,
00:35:26mais ils savent bien que dans un monde aussi interconnecté, on n'est jamais à l'abri de rien.
00:35:31Pour répondre également et soutenir ce qu'a indiqué Frédéric Herveau en réponse à votre question,
00:35:36M. le Président, nous soutenons effectivement l'idée d'une double notification.
00:35:40Alors le mot « double » peut laisser penser que c'est une double charge de travail pour un acteur.
00:35:48On est quand même sur un acteur qui vient de subir une cyberattaque,
00:35:51donc il est plutôt en train de demander de l'aide, et à son superviseur et à l'ANSI.
00:35:58Donc on peut se dire que spontanément il le ferait, pour autant c'est mieux s'il est clair qu'il doit le faire.
00:36:05Après, que ce soit la même notification ne pose aucune difficulté, donc il s'agit juste de cliquer deux fois,
00:36:11plutôt que, je caricature évidemment un peu, mais on ne parle pas de CRD ou de reporting massif.
00:36:21En tout cas, l'urgence est absolument fondamentale, en particulier pour l'ANSI.
00:36:26En particulier pour l'ANSI.
00:36:30Donc évidemment qu'il y aura des échanges très nourris entre l'ANSI et les autorités de supervision financière,
00:36:36mais il est très important, si ce n'est primordial, en premier lieu,
00:36:39qu'il y ait des échanges très nourris et le plus rapide possible entre l'entité qui a subi une cyberattaque et l'ANSI.
00:36:44Et qu'on soit intermédiaire là-dessus ne serait qu'une source, on va dire, de ralentissement inutile,
00:36:52parce qu'on n'apportera pas de compétences spécifiques.
00:36:54Donc en plein soutien à ce qu'a indiqué M. Strubelle et Frédéric Havreau.
00:37:00Merci beaucoup. Je vous propose de... M. le rapporteur général.
00:37:04M. le Président, alors depuis le 17 janvier 2025, vous l'avez rappelé,
00:37:10les entités financières soumises à Dora sont tenues de notifier tous les incidents majeurs liés au TIC et aux cybermenaces.
00:37:15Les établissements de crédit, les établissements de paiement, les prestataires des services d'information sur les comptes,
00:37:19les établissements de monnaie électronique sont, quant à eux, tenus de déclarer également des incidents opérationnels ou de sécurité liés au paiement.
00:37:25Comment cela se passe-t-il ? Quels sont les premiers retours ?
00:37:27Y a-t-il, enfin, votre rétexte est-il ? Y a-t-il d'ores et déjà des choses à changer, voire à préciser dans le dur de la loi ?
00:37:33S'agissant de la Banque de France, afin d'assurer ses missions en matière de stabilité financière,
00:37:37la Banque de France évalue conjointement avec la CPR les vulnérabilités du système financier.
00:37:42Elle va également, à travers un dispositif de robustesse de la place, à renforcer la résilience opérationnelle du secteur.
00:37:46Enfin, elle contribue à sa transformation numérique en travaillant sur l'euro numérique et la monnaie numérique de la Banque centrale et MNBC interbancaire.
00:37:53Dans votre dernier rapport biannuel d'analyse de risque encouru par le système financier français,
00:37:57vous écriviez que néanmoins le secteur financier reste résilient face au risque cyber par ses investissements continu en cybersécurité
00:38:02et sa préparation face aux attaques.
00:38:04De mauvaises pratiques de cybersécurité mèneraient à 2,6 fois plus d'incidents cyber répertoriés
00:38:09et des pertinences consécutives en raison du risque de réputation ou encore des fluides d'informations.
00:38:14Êtes-vous convaincus de ce niveau de préparation et d'investissement ?
00:38:16Et pour terminer, après avoir reçu hier l'AMRAE, l'Association pour le management des risques et de l'assurance de l'entreprise,
00:38:22même si ce n'est pas un point qui est rattaché à l'ISO, je crois que c'est un point de l'OPNI,
00:38:26partagez-vous avec eux que pour être couvert par son assurance, il conviendrait de notifier l'incident,
00:38:32non pas au moment où on détecte l'incident, mais au moment où on le présente à son assurance.
00:38:38Voilà.
00:38:38Merci. Je vous propose qu'on fasse l'ensemble des rapporteurs. Donc, M. Boulou.
00:38:49Oui, merci. Merci, M. le Président, de me faire commencer dans la liste des rapporteurs thématiques,
00:38:56étant donné le sujet aujourd'hui. Vous l'avez compris, j'ai l'honneur d'être le rapporteur thématique
00:39:02pour ce qui concerne le titre 3 du projet loi et qui porte sur la résilience opérationnelle numérique
00:39:08du secteur financier avec les articles de transposition de la directive d'ORA du 14 décembre 2022.
00:39:14Il va sans dire que cette audition concerne en plein cette partie du projet de loi et je vous remercie
00:39:19d'être présent en nombre aujourd'hui, puisque vous représentez les autorités de surveillance
00:39:23du secteur financier. Donc, merci déjà pour tous les éléments que vous nous avez donnés.
00:39:28J'avais des questions, vous y avez déjà répondu.
00:39:31Et en plus, j'ai vu ce matin la direction générale du Trésor.
00:39:37On retrouve aussi des thématiques communes, notamment sur le fameux formulaire
00:39:42et la notification aux entités et que j'auditionnerai aussi en fin de semaine
00:39:49la Fédération bancaire française.
00:39:51Donc, j'ai bien noté aussi vos recommandations sur les sociétés de financement type crédit
00:39:58logement. On a eu la discussion avec le Trésor également et vos points de vue sur le signalement
00:40:04d'incident. Donc, en fait, vous avez déjà répondu à cette question sur le double assujettissement
00:40:12entre les directives d'ORA et NIS2 au moins pour cette partie notification.
00:40:15Mais s'il y en a d'autres points que vous voyez, il y aurait un recouvrement.
00:40:22Je suis preneur également.
00:40:28Quels obstacles avez-vous pu identifier ? Vous l'avez un peu évoqué, mais peut-être
00:40:33quelques points pratiques sur la mise en application du règlement d'ORA.
00:40:39J'évoque à la fois sa mise en œuvre par les entités financières que vous supervisez,
00:40:44mais aussi par vous-même, puisqu'il comporte un certain nombre d'obligations et de changements
00:40:50qui vous concernent en premier lieu. J'ai bien noté que vous avez évoqué notamment le sujet RH
00:40:55et l'accès aux compétences cyber dédiées.
00:40:58Bon, ça, c'est un sujet qui va être largement partagé.
00:41:02Et une dernière question sur l'apport de la directive et du règlement d'ORA.
00:41:07Donc, avec ces deux textes européens, est-ce que vous pensez qu'on est couverts, que c'est suffisant pour protéger notre système financier
00:41:17contre les risques liés aux technologies de l'information et de la communication ?
00:41:21Ou est-ce que vous voyez des prochaines étapes, déjà des améliorations ?
00:41:25Une question sous-jacente. Alors, quel rôle avez-vous joué lors de l'élaboration de ces textes ?
00:41:29Donc, j'ai compris que, monsieur, vous étiez de l'autre côté. Alors, là, je pensais plutôt les entités, pas les personnes.
00:41:36Et notamment, avez-vous le sentiment d'avoir été écouté lors de la négociation en amont de cette législation européenne ?
00:41:44Je vous remercie.
00:41:46Merci. Madame Le Hénanf.
00:41:50Merci, monsieur le président. Mesdames, messieurs, merci pour votre présence et vos exposés.
00:41:55Est-ce que vous pourriez lever les craintes exprimées par un certain nombre d'acteurs auditionnés quant au risque de double assujettissement à Nice 2 et d'Aura
00:42:07au regard de l'article 43a introduit par le sénateur Canevet au Sénat ?
00:42:15Donc ça, c'est une première question.
00:42:17Il me semble, mais vous me dites si je me trompe, qu'un certain nombre de groupes bancaires introduisent la notion de cybersécurité pour leurs propres clients.
00:42:31Est-ce que votre intervention va jusqu'à là ? C'est-à-dire, vous êtes conseil, vous les accompagnez, les organismes bancaires.
00:42:40Est-ce que vous allez jusqu'aux clients de vos interlocuteurs ?
00:42:44C'est-à-dire, est-ce que vous avez des préconisations qui vont jusqu'à, finalement, l'entreprise qui met ses comptes dans les établissements bancaires ?
00:42:51Si c'est le cas, de quelle manière vous le faites ?
00:42:54Est-ce que vous ne pensez pas, finalement, puisque certains d'entre eux ont déjà des critères d'exigence en niveau de cybersécurité pour leurs propres clients,
00:43:01dont ils hébergent les comptes dans leurs banques,
00:43:04est-ce que vous ne pensez pas, finalement, que Dora va être un stimulateur et un moteur, une opportunité, finalement, excusez-moi,
00:43:10une opportunité, ou voir un effet de bord, dans certains cas, vis-à-vis du client final ?
00:43:18Ça m'intéresserait beaucoup de voir, jusqu'au bout de la chaîne, comment vous analysez, Dora. Merci.
00:43:22Merci. Madame Hervieux.
00:43:27Oui, bonjour. Bonjour, monsieur le président, monsieur le rapporteur, mesdames et messieurs.
00:43:34Vous avez évoqué la question des crypto-monnaies, des monnaies numériques,
00:43:39et je souhaiterais vraiment qu'on puisse préciser deux, trois choses en lien avec ce qui se passe dans le cadre de l'eurosystème
00:43:47et le projet d'émettre une monnaie virtuelle en complément des espèces et des autres moyens de paiement.
00:43:54Et de ce point de vue-là, l'euro numérique pourrait être déployé à partir de 2027 ou 2028.
00:43:59Et concernant les crypto-monnaies, certains États et acteurs économiques souhaitent développer leurs utilisations,
00:44:09mais ça ne va pas s'en poser des questions, malgré le fait que l'Union européenne a mis en application son règlement MICA
00:44:16pour assurer la stabilité des entreprises crypto et assurer la protection des consommateurs.
00:44:22Pour autant, dans vos propos introductifs, vous avez bien mis en avant la rapidité de la digitalisation qui est exponentielle
00:44:36et derrière laquelle nous courons.
00:44:38Et de ce point de vue-là, on ne peut que constater que depuis, en 2021 notamment,
00:44:4370% des cyberattaques étaient des rançons logiciels, vous l'avez évoqué,
00:44:50et que 60% d'entre eux exigeaient un paiement en crypto-monnaie, dont le célèbre Bitcoin.
00:44:59Et de ce point de vue-là, le fait qu'on s'interroge, enfin qu'on travaille la transposition de la directive européenne
00:45:05pour sécuriser à la fois les infrastructures sensibles et critiques, dont je suis la rapporteure pour le titre 1,
00:45:12mais aussi les aspects financiers et les aspects cyber, doit nous voir vraiment très, très, enfin encore plus que vigilants
00:45:21et voir l'efficacité parce que derrière ça, la toile de fond, c'est quand même la fragilisation des États.
00:45:28Alors, selon vous, est-il possible et quels moyens, et ça a été aussi abordé, les moyens c'est aussi derrière une volonté de le faire,
00:45:38pour tracer les attaques et sécuriser tous nos systèmes et mettre en œuvre des luttes hyper efficaces
00:45:49et anticipant toutes ces évolutions technologiques qui s'accélèrent, qui sont exponentielles.
00:45:58En tout cas, je vous remercie d'avance pour vos réponses.
00:46:01Merci. Je vous propose de répondre aux rapporteurs, puis ensuite on ouvrira un cycle de questions avec les orateurs de groupe. Merci.
00:46:08Alors, merci pour toutes ces questions. Donc peut-être commencer par nos premières expériences en matière d'incidents et de notification des incidents.
00:46:25Donc vous avez raison de le souligner, un des apports d'Odora, c'est de créer un cadre pour à la fois le reporting, la notification des incidents,
00:46:38mais aussi quelque part pour leur traitement plus coordonné entre autorités, que ce soit au niveau national ou au niveau européen,
00:46:46puisque effectivement un cadre aussi de traitement au niveau européen, des incidents les plus importants,
00:46:53ceux qui sont susceptibles d'avoir une empreinte au niveau européen.
00:46:59Donc Dora prévoit effectivement que les incidents majeurs, avec un certain nombre de critères que je ne détaillerai pas,
00:47:06mais qui sont fixés dans le règlement, doivent être notifiés aux autorités compétentes dans un délai de 4 heures après leur qualification de majeure
00:47:19et au plus tard 24 heures après leur occurrence.
00:47:24Et donc ce dispositif effectivement a commencé à s'appliquer depuis le 17 janvier.
00:47:31Alors quel premier bilan côté ACPR ?
00:47:37En date du 2 juin, nous avons reçu la notification de 76 incidents majeurs, ce qui peut vous sembler significatif.
00:47:50Je pense qu'il faut un petit peu relativiser ce chiffre pour deux raisons.
00:47:55D'abord parce que le même incident a pu être notifié par plusieurs entités affectées.
00:48:01Je pense que tout le monde a en tête l'incident Harvest, puisqu'il a fait l'objet de nombreuses communications dans la presse,
00:48:11mais aussi d'un certain nombre d'entités financières affectées.
00:48:15Donc c'est tout à fait dans le domaine public.
00:48:18Donc il y a effectivement dans ces 76 incidents des doubles notifications.
00:48:22Et puis je dirais aussi qu'on est un petit peu au début du dispositif, donc tendance pour, ça fait partie des premiers éléments de bilan,
00:48:33pour un certain nombre d'acteurs, la tendance plutôt à notifier, même s'ils ne sont pas complètement certains du caractère majeur de l'incident,
00:48:43en tout cas de le rapporter aux autorités.
00:48:45Sur la typologie de ces incidents, près de la moitié, en fait, de ces incidents ont pour origine une défaillance informatique opérationnelle.
00:49:02Donc voilà un problème un peu classique de continuité opérationnelle, de problématiques bien connues.
00:49:10Un quart sont des incidents de paiement, j'y reviendrai, puisque ça fait partie aussi un petit peu de vos questions.
00:49:18Et un quart sont d'origine cyber, dont en particulier l'incident Harvest,
00:49:24puisque c'est effectivement un rançon logiciel qui a affecté au départ d'ailleurs un des prestataires d'Harvest.
00:49:34Donc on voit bien toute l'importance de la chaîne, en fait, d'externalisation dans la vulnérabilité potentielle.
00:49:46Ce qu'on peut peut-être retirer de ces premières expériences, c'est que finalement, ce dispositif de notification, il est vraiment utile.
00:49:55On est encore dans une phase d'apprentissage, mais il est vraiment utile parce qu'il nous permet en fait assez rapidement, en tant qu'autorité,
00:50:05d'avoir déjà une première visibilité sur quelles sont les entités du secteur financier qui sont affectées.
00:50:13Donc avec effectivement ce délai de 4 heures que je mentionnais, et donc de pouvoir bien coordonner la réponse entre autorités,
00:50:23mais aussi dans la communication vis-à-vis des entités qui sont affectées, et avec l'ANSI également.
00:50:31Donc je crois que c'est vraiment un dispositif qui est bénéfique.
00:50:34Alors ça ne veut pas dire qu'avant DORA, on n'avait pas de dispositif de traitement de ces incidents,
00:50:40mais bien sûr il était sur une base, je dirais, plus ad hoc, plus nationale.
00:50:50Vous avez mentionné effectivement le dispositif, le groupe de place robustesse de la Banque de France,
00:50:54qui a maintenant 20 ans d'existence, mais donc un dispositif plus national.
00:50:59DORA permet de normaliser les choses, d'avoir aussi ses attentes par rapport au délai.
00:51:05On n'a pas eu d'incident majeur au niveau européen, dans ceux qu'on a reçus.
00:51:09Donc on était sur des incidents plus au niveau national, et beaucoup finalement sont résolus assez vite,
00:51:18notamment les incidents de continuité opérationnelle.
00:51:23Donc voilà, je crois que c'est, bien sûr on est toujours en phase d'apprentissage et de rodage,
00:51:27mais je crois qu'en tout cas DORA montre toute son utilité dans ce dispositif.
00:51:34Je ne sais pas si tu veux ajouter sur le...
00:51:38Côté AMF, effectivement on en a reçu une trentaine de notifications depuis le début de DORA, donc mi-janvier.
00:51:4640% cyberattaque, une moitié pour indisponibilité de services informatiques, et 10% de pannes assez basiques, envie de dire.
00:51:59Comme j'avais pu le mentionner, ça part aussi parfois de choses très terre à terre.
00:52:03Un nombre relativement significatif, parce que pour nous, je pense qu'il y a eu un délai de compréhension par les acteurs,
00:52:15comme je vous l'ai dit, c'est souvent des acteurs de relativement petite taille,
00:52:19de comprendre qu'il fallait notifier suivant un standard.
00:52:22Ce que l'on peut observer, c'est qu'au fur et à mesure, le pli se prend bien.
00:52:28Donc là, on a les notifications maintenant qui arrivent dans les délais et qui sont suivant le format.
00:52:33Donc il y a eu un délai d'apprentissage, mais peut-être encore en cours,
00:52:37mais en tout cas on a noté une amélioration sensible.
00:52:40Et les gens comprennent également, à confirmer sur la durée,
00:52:44qu'il vaut mieux notifier de manière un peu prudente,
00:52:49plutôt que d'attendre pour être sûr qu'il fallait absolument notifier.
00:52:55Après, je répondrai peut-être à plusieurs questions qui sont à la fois sur l'état de préparation,
00:53:00finalement de la place financière, sur notre rôle aussi,
00:53:03la perception qu'on peut avoir, toute la chaîne également.
00:53:06Donc je crois que quand on...
00:53:12Nous, on n'a pas forcément, évidemment, tous les points de comparaison avec les autres secteurs économiques,
00:53:16mais il y a effectivement une certaine maturité du secteur financier,
00:53:22d'abord parce qu'il fait partie des secteurs les plus attaqués,
00:53:26et donc les plus sensibles.
00:53:28Et je crois qu'il y a une bonne sensibilisation depuis déjà assez longtemps,
00:53:33et un rôle aussi des autorités qui étaient ancrées avant même Dora.
00:53:38Donc ce que Dora permet, c'est d'avoir finalement une approche homogène
00:53:42pour l'ensemble du secteur financier.
00:53:45On avait avant des réglementations qui étaient sectorielles,
00:53:49pour les banques, pour les assurances, les marchés, etc.
00:53:54Donc Dora a aussi une vocation à unifier,
00:53:57mais on ne part pas de zéro sur ce point.
00:54:01Bon, notamment tout ce qui concerne finalement tout le premier pilier de Dora,
00:54:07c'est-à-dire l'analyse des risques propres à l'institution,
00:54:14de ses vulnérabilités, les différents niveaux de contrôle,
00:54:19la bonne gouvernance également,
00:54:22la bonne compréhension par les instances dirigeantes de ces problématiques.
00:54:26Bon, là on a une homogénéité, mais ce sont des concepts qui ne sont pas nouveaux.
00:54:35Ce qui est plus nouveau certainement pour les acteurs,
00:54:40qui va nécessiter un travail important,
00:54:45qui a déjà été entrepris,
00:54:47mais sur lequel ils vont devoir vraiment beaucoup travailler aussi cette année,
00:54:51c'est que Dora prévoit un certain nombre de clauses type
00:54:55qui doivent être contenues dans les contrats d'externalisation avec les prestataires critiques.
00:55:02Ça nous semble un élément extrêmement important,
00:55:04parce que, si on prend un exemple très concret,
00:55:09on sait que par exemple l'utilisation des prestataires de cloud,
00:55:12les prestataires sont un nombre limité d'entités très importantes,
00:55:16avec lesquelles le pouvoir de négociation contractuel,
00:55:20y compris des plus grands établissements du secteur financier près d'Aura,
00:55:24n'était pas toujours évident.
00:55:25Donc le fait d'avoir ces clauses dans les contrats,
00:55:27c'est aussi renforcer le pouvoir de négociation des acteurs du secteur financier
00:55:34vis-à-vis de ces GAFAM,
00:55:36qui en plus sont pour l'essentiel extérieurs à l'Union européenne.
00:55:41Donc ça c'est un point important,
00:55:42mais revoir ces contrats est effectivement un travail significatif.
00:55:50Donc nous avons eu, je pense toutes les autorités,
00:55:54un rôle important d'abord de sensibilisation.
00:55:58Nous avons eu beaucoup de réunions de places,
00:56:02de réunions avec les différentes associations professionnelles
00:56:05pour sensibiliser aux nouvelles dispositions de Dora,
00:56:10aux différentes problématiques,
00:56:11notamment pour tout ce qui concerne les tests d'intrusion,
00:56:15qui sont de deux natures.
00:56:17Dora demande à la fois aux entités d'avoir leur propre plan de test d'intrusion interne.
00:56:22Donc ça c'est selon un principe de proportionnalité,
00:56:27mais applicable à l'ensemble des acteurs qui sont soumis à Dora.
00:56:31Et donc pour un sous-ensemble plus limité d'entités critiques ou systémiques,
00:56:38des tests là qui sont sous le contrôle des autorités de supervision
00:56:45et qui vont vraiment avoir vocation,
00:56:47comme le ferait un hacker externe,
00:56:50à détecter vraiment les points de vulnérabilité dans les systèmes critiques
00:56:54pour les services financiers des différents acteurs.
00:56:58Donc c'est effectivement, comme l'évoquait Sébastien Raspillé,
00:57:01un dispositif qu'on va commencer à mettre en place à partir du deuxième semestre,
00:57:05sur un cycle triennal,
00:57:07qui est très exigeant en termes d'expertise et de ressources,
00:57:13à la fois pour les autorités et pour les entités.
00:57:18Donc bon niveau de sensibilisation de la place.
00:57:24Évidemment, les plus petits acteurs ou certains secteurs,
00:57:28comme notamment le secteur de l'assurance ou des mutuelles,
00:57:30qui est beaucoup plus dispersé avec des petits acteurs,
00:57:33partent effectivement de plus loin.
00:57:34Donc là, il y a un travail de sensibilisation qui reste important.
00:57:39Donc c'est effectivement pour nous aussi un travail d'accompagnement,
00:57:42pas passé directement au contrôle.
00:57:45On le fera progressivement,
00:57:46donc avec une approche là aussi qui est pragmatique et proportionnée.
00:57:53Sur les clients, donc oui, effectivement,
00:57:57notamment il y a des liens importants avec la fraude au paiement.
00:58:03La fraude en général, mais en particulier la fraude sur les paiements.
00:58:09Donc c'est aussi effectivement l'occasion de rappeler les bonnes pratiques
00:58:13pour la clientèle en matière de prévention de la fraude.
00:58:16On sait aussi que l'évolution technologique, l'utilisation de l'IA,
00:58:20de l'intelligence artificielle, facilite aussi un certain nombre de dispositifs de fraude.
00:58:25Et ce qui nous semble particulièrement important et qui est vraiment bien souligné d'Andorra,
00:58:29c'est que pour tout ce qui concerne l'externalisation,
00:58:32il faut une bonne prise en compte en fait de toute la chaîne des prestataires externes.
00:58:36Ça, on l'a vu assez clairement et de manière concrète avec l'incident Harvest,
00:58:41puisque Harvest était aussi un fournisseur de logiciels pour toute une série d'acteurs,
00:58:46notamment les conseillers en gestion de patrimoine.
00:58:49Mais finalement, la cyberattaque qui l'a affectée, c'était un de ses propres prestataires.
00:58:53Donc c'est le prestataire d'un prestataire, des entités du système financier,
00:58:57qui a été à l'origine de cette cyberattaque.
00:58:59Donc on doit bien prendre en compte effectivement toute la chaîne de sous-traitance, d'externalisation.
00:59:11Donc est-ce qu'on est bien couvert avec Dora ?
00:59:14Je pense que c'est effectivement une étape vraiment très significative.
00:59:19Mais après, les menaces continuent à évoluer.
00:59:24Il faut essayer de faire en sorte que les organisations criminelles ou para-étatiques
00:59:32n'aient pas toujours un temps d'avance.
00:59:34Donc je pense qu'il faudra effectivement tirer le bilan de Dora
00:59:40au bout de quelques années d'utilisation.
00:59:44Sur l'articulation entre Nice, Nice 2 et Dora.
00:59:52Donc peut-être deux points.
00:59:54D'abord, le principe, c'est que Dora est effectivement un texte spécialisé.
01:00:02Et donc le principe, c'est qu'à partir du moment où, pour le secteur financier,
01:00:07les exigences sont comparables à Nice,
01:00:10une entité du secteur financier qui répond à Dora n'est pas soumise à Nice.
01:00:16Donc c'est un élément de simplification.
01:00:18Le point concret de la double notification, c'est vraiment un sujet d'ordre opérationnel.
01:00:27Comme on l'évoquait précédemment,
01:00:30les entités sectorielles, AMF ou ACPR,
01:00:36quand nous recevons les notifications d'incidents,
01:00:38nous allons devoir les partager avec toute une série d'autres autorités,
01:00:44y compris au niveau européen.
01:00:48Et donc pour des cyberattaques qui peuvent intervenir le week-end, la nuit, etc.,
01:00:54il est vraiment important que la réponse technique,
01:00:58ce n'est pas nous qui allons l'apporter, ce n'est pas notre rôle,
01:01:00c'est vraiment les conséquences pour le système financier,
01:01:03et que donc l'ANSI, qui est vraiment l'autorité responsable,
01:01:09puisse recevoir cette notification directement,
01:01:14d'où cette double notification, mais selon le même format,
01:01:18le même modèle, et puisse la recevoir directement,
01:01:22même si ça implique en fait un doublon.
01:01:24Mais sur le plan opérationnel, c'est vraiment important
01:01:27pour pouvoir gagner du temps sur la réponse,
01:01:30et ça ne remet pas en cause, à notre sens, le principe général,
01:01:34qui est que pour toutes les dispositions de Nice,
01:01:37en fait, elles ne s'appliquent pas pour le secteur financier,
01:01:40c'est vraiment DORA qui est la loi spéciale.
01:01:45Peut-être que je laisserai Sébastien Raspillé
01:01:48prendre la première réponse sur l'articulation avec Mika.
01:01:53Je pourrais y revenir si vous le souhaitez.
01:01:55Oui, merci Frédéric, effectivement.
01:01:59S'agissant de Mika, la Autorité des marchés financiers
01:02:03est en charge de l'agrément des prestataires de services
01:02:05sur actifs numériques et de leur supervision,
01:02:08donc aura aussi la charge de veiller à la supervision,
01:02:13s'agissant de DORA, pour ces acteurs.
01:02:16Les acteurs qu'on connaît déjà un peu du fait du régime national,
01:02:21qui a préexisté en France, issu de la loi Pacte,
01:02:26avant l'entrée en vigueur, donc au 30 décembre 2024,
01:02:30du règlement Mika, nous avons affaire à des acteurs
01:02:34qui peuvent être d'ores et déjà très conséquents,
01:02:39digitaux par essence,
01:02:42et pan-européens, voire internationaux.
01:02:47Il y a déjà eu, et encore très récemment,
01:02:53sur un acteur américain,
01:02:55des sujets de vol de données,
01:02:58perte de confidentialité,
01:03:00vol de cryptoactifs.
01:03:02Là, je pense par exemple à un cas
01:03:04qui est arrivé en février
01:03:05sur une plateforme internationale,
01:03:07Bybit,
01:03:08pour 1,6 milliard de dollars.
01:03:11Juste pour la petite histoire,
01:03:12c'était un acteur qui n'était pas autorisé
01:03:14à prester ses services en France,
01:03:17car pas enregistré dans le cadre de la loi Pacte.
01:03:20Nous lui avons demandé de cesser ses activités
01:03:23et de restituer les avoirs.
01:03:25C'était en janvier.
01:03:26Donc la France est sans doute un des rares pays
01:03:28où il n'y a aucun client qui n'a été victime de ce hack,
01:03:32mais ça arrive sur d'autres plateformes,
01:03:34encore très récemment.
01:03:37Nous l'avons vu.
01:03:38Ce sont évidemment des acteurs extrêmement sensibles
01:03:41à cela.
01:03:43Dans le cadre de la loi Pacte,
01:03:46il y avait la nécessité
01:03:49pour obtenir un enregistrement renforcé
01:03:51ou un agrément
01:03:52d'avoir un audit cyber réalisé
01:03:55par un prestataire dit PACI,
01:03:56c'est-à-dire certifié par l'ANSI.
01:03:58C'est quelque chose qui n'a pas été retenu
01:04:00dans le cadre de MICA.
01:04:02C'est quelque chose que nous regrettons.
01:04:03Alors les acteurs qui, pour l'instant,
01:04:05sont auprès de nous et demandent
01:04:09un agrément MICA,
01:04:10nous leur signalons que ça n'est pas nécessaire
01:04:13au regard de le règlement MICA.
01:04:15Il n'y a pas de surtransposition,
01:04:17mais que ça nous paraît
01:04:18quelque chose de pertinent à faire.
01:04:22Beaucoup le font spontanément,
01:04:24on va dire,
01:04:26parce qu'ils comprennent
01:04:26que c'est quand même un gage de sérieux
01:04:29vis-à-vis de leurs clients.
01:04:30C'est aussi pour répondre
01:04:31à une de vos questions.
01:04:33C'est évident que voir ces clients
01:04:38pouvoir se faire dérober leurs clés
01:04:41et donc leurs cryptoactifs
01:04:42et leur argent
01:04:44est un souci pour les acteurs sérieux,
01:04:47quelle que soit leur activité.
01:04:50Donc s'agissant de l'articulation avec MICA,
01:04:52en fait, ces acteurs rentrent
01:04:53de plein pied dans Dora
01:04:54et avec une dimension,
01:04:58j'ai envie de dire,
01:05:00pour le coup,
01:05:01parmi les acteurs,
01:05:03d'autant plus exposés
01:05:04à ce type de risque,
01:05:05de cyberattaques notamment,
01:05:08du fait même de leurs activités.
01:05:12Et nous, ce qu'on observe,
01:05:15ce sont plutôt des acteurs matures.
01:05:16Je ne peux pas garantir
01:05:17qu'à travers l'Union européenne,
01:05:20voire ailleurs,
01:05:21ce soit le même degré de maturité.
01:05:22Enfin, ça sera un élément important
01:05:26de pédagogie à signaler.
01:05:29Le règlement MICA permet un passeport.
01:05:31Donc évidemment,
01:05:32nous indiquons aussi à nos homologues
01:05:34que ça nous paraît un point important
01:05:36de renforcer les exigences cyber,
01:05:38alors si possible au niveau européen
01:05:39par la révision du règlement MICA
01:05:42quand elle interviendra,
01:05:43mais d'ores et déjà
01:05:44en ayant quand même
01:05:45une attention particulière
01:05:46quand on agrée des acteurs
01:05:48sur ce qui est fait en la matière.
01:05:50Je crois que Frédéric a répondu
01:05:54sur l'articulation Nice de Dora,
01:05:56donc je n'y reviendrai pas,
01:05:57mais en tout cas,
01:05:57nous, on était très satisfaits
01:05:59du point d'entrée unique.
01:06:01Ce n'est pas un sujet
01:06:01d'articulation Nice de Dora,
01:06:02mais en tout cas,
01:06:03de simplicité dans le champ
01:06:05des acteurs de supervision,
01:06:08des autorités de supervision financière
01:06:10pour éviter les doublons.
01:06:11C'est-à-dire qu'il y a quelques acteurs
01:06:12qui sont sous supervision conjointe,
01:06:15je pense notamment aux infrastructures
01:06:16de marché,
01:06:17qui sont sous la triple supervision
01:06:19de la Banque de France,
01:06:20de la CPR et de l'AMF,
01:06:22avec une répartition savante,
01:06:23mais il y en a trois,
01:06:24donc on a réussi à trouver
01:06:25un accord sans problème
01:06:26depuis longue date sur le sujet.
01:06:29Mais elles sont très systémiques,
01:06:30donc c'est un élément important.
01:06:32Pour le reste,
01:06:33il y a évidemment les prestataires
01:06:34de services d'investissement,
01:06:35où là aussi,
01:06:36ça nous convient bien,
01:06:37puisque la CPR est organisée
01:06:40en ce sens.
01:06:40Donc quelque part là-dessus,
01:06:43je pense que dès qu'il y a
01:06:44une source de simplification pertinente,
01:06:47nous avons été en ce sens.
01:06:49sur l'opportunité pour le client final,
01:06:53c'est notamment par rapport aux avoirs,
01:06:54donc Frédéric Arvaux a parlé des paiements,
01:06:56on a parlé rapidement des cryptoactifs,
01:06:58sur les...
01:07:00est-ce que c'est suffisant,
01:07:01est-ce qu'il y aura de nouvelles étapes ?
01:07:03Moi je reviens sur ce que j'ai indiqué,
01:07:05ça me paraît tôt,
01:07:07clairement pour évoquer des nécessités
01:07:10d'un dos à deux.
01:07:12Je pense que l'objectif,
01:07:13en revanche,
01:07:13il ne faut vraiment pas le perdre de vue,
01:07:15il faudra juger à cette zone-là.
01:07:16Ce n'est pas de se dire
01:07:19qu'il faudrait un monde
01:07:20où il y a zéro sujet,
01:07:22ça arrivera.
01:07:24En revanche,
01:07:24qu'on en réduise l'occurrence,
01:07:27par rapport à une base qui sera,
01:07:29un contrefactuel qui sera compliqué
01:07:30de mesurer,
01:07:30mais enfin,
01:07:31voilà,
01:07:31de se dire que ça a permis,
01:07:33en améliorant les investissements
01:07:34des uns et des autres,
01:07:35de se dire qu'on a des cyberattaques,
01:07:38enfin,
01:07:38je veux dire,
01:07:40je pense que là,
01:07:41nous,
01:07:41vous,
01:07:42à l'Assemblée nationale,
01:07:43on est victime régulièrement
01:07:45de cyberattaques,
01:07:46après,
01:07:46celles qui réussissent,
01:07:47celles qui ne réussissent pas.
01:07:48Donc ça,
01:07:48c'est le premier indicateur.
01:07:49Et après,
01:07:50c'est si ça arrive,
01:07:51est-ce que les effets sont atténués ?
01:07:54Et c'est vraiment un sujet
01:07:55de résilience
01:07:56pour,
01:07:58un,
01:07:58être conscient du risque,
01:08:00deux,
01:08:00savoir y faire face
01:08:01quand il arrive,
01:08:03en s'efforçant
01:08:04qu'il arrive le moins souvent.
01:08:05Bon,
01:08:05je pense que c'est à cette haute-là
01:08:06qu'il faudra pouvoir juger
01:08:07de l'efficacité de Dora.
01:08:08Là,
01:08:09c'est un peu tôt.
01:08:10Sur les obstacles,
01:08:11donc j'ai parlé un peu
01:08:12des sujets ressources humaines,
01:08:14ce n'est pas pour se plaindre,
01:08:15mais c'est clair
01:08:16qu'au-delà des cyber-experts
01:08:18qu'on évoque souvent,
01:08:19c'est aussi une montée en gamme
01:08:21de l'ensemble des acteurs
01:08:23de la supervision classique.
01:08:25C'est valable chez nous,
01:08:26sur notre personnel,
01:08:27c'est aussi valable
01:08:28chez les acteurs
01:08:29type société de gestion
01:08:30où ils ont plein de choses à faire.
01:08:32Le risque cyber
01:08:33n'est pas forcément
01:08:34le premier risque
01:08:35auquel ils vont penser le matin.
01:08:38Pour autant,
01:08:38il faut qu'ils s'en préoccupent.
01:08:39Ils sont soumis
01:08:39notamment à Dora.
01:08:42Donc là,
01:08:43c'est beaucoup de formations.
01:08:44Je cite juste un exemple.
01:08:45On a passé
01:08:46une bonne partie de la journée
01:08:47qu'on organise annuellement
01:08:49avec les responsables
01:08:49de la conformité
01:08:50du contrôle interne.
01:08:51Sur les enjeux de Dora,
01:08:53c'est 450 participants.
01:08:54Ce sont des gens
01:08:54qui sont plutôt
01:08:55conformités du contrôle interne.
01:08:56Mais voilà,
01:08:57ils intègrent ça
01:08:58et on fait des webinaires
01:08:59d'accompagnement également.
01:09:01Ça ne s'adresse pas
01:09:02qu'à des cyber-experts.
01:09:03Je pense que c'est un élément important.
01:09:04Il faut aussi
01:09:05que ça puisse s'adresser.
01:09:06Peut-être pas au grand public,
01:09:07mais en tout cas,
01:09:08à un public
01:09:09dont ça n'est pas
01:09:09le métier premier
01:09:10d'être spécialiste en ça.
01:09:12Ça,
01:09:13c'est un vrai défi.
01:09:14L'autre défi,
01:09:15et là,
01:09:15on aura le résultat,
01:09:16je pense,
01:09:17courant de cet été,
01:09:19c'est que Dora
01:09:20prévoit quand même
01:09:21des couches nationales.
01:09:22Je pense que là,
01:09:22on a plutôt,
01:09:24même certainement,
01:09:25une très bonne coordination
01:09:25entre autorités nationales.
01:09:26on est habitué de longue date,
01:09:29prévoit aussi un échelon européen.
01:09:31Ce n'est pas un facteur de risque
01:09:32en tant que tel,
01:09:33mais c'est sûr
01:09:34que c'est assez nouveau
01:09:35et en plus,
01:09:36c'est les trois autorités européennes
01:09:37de supervision
01:09:38qui doivent se coordonner
01:09:39entre elles.
01:09:40Donc,
01:09:40ça peut créer
01:09:41une certaine complexité
01:09:42qui,
01:09:42j'espère,
01:09:43pourra être traité.
01:09:45En tout cas,
01:09:45je le mentionne
01:09:46parce que vous avez posé
01:09:46la question des obstacles
01:09:47identifiés.
01:09:48Ce n'est peut-être pas un obstacle,
01:09:49mais en tout cas,
01:09:50là aussi,
01:09:51il faudra s'assurer
01:09:52que tout ça fonctionne bien.
01:09:54Sur votre question
01:09:55de savoir
01:09:55si les autorités
01:09:56ont été écoutées,
01:09:57je peux vous répondre
01:09:58quand j'étais de l'autre côté,
01:09:59c'est que j'ai passé
01:10:00un temps considérable
01:10:00à écouter ces dites autorités.
01:10:03Donc,
01:10:03j'espère qu'elles ont été
01:10:04écoutées,
01:10:05c'est sûr,
01:10:06entendues,
01:10:07je pense,
01:10:07pas mal,
01:10:08mais ce sera à elle
01:10:09de le dire,
01:10:09en tout cas pour l'AMF,
01:10:10comme je pense
01:10:11qu'elle a été entendue.
01:10:14Voilà,
01:10:15c'est juste pour revenir
01:10:17le débat à l'époque,
01:10:18politique,
01:10:19parce que c'était
01:10:20à un niveau politique,
01:10:21niveau 1,
01:10:22c'était sur les fournisseurs
01:10:25de cloud.
01:10:27Et est-ce qu'il y a un peu,
01:10:28comme ils sont américains,
01:10:30un peu d'extrateriorité possible ?
01:10:31Frédéric Carvaux
01:10:32a mentionné
01:10:33le sujet
01:10:33des close-tips.
01:10:36Voilà,
01:10:36ça a été un débat
01:10:37très,
01:10:39enfin,
01:10:39ça a été le débat
01:10:40le plus difficile,
01:10:41clairement.
01:10:42Mais ça ne se limite
01:10:43pas qu'à ça.
01:10:44Typiquement,
01:10:45vous avez des fournisseurs
01:10:46de données,
01:10:47par exemple,
01:10:48qui sont aussi
01:10:48assez systémiques,
01:10:49c'est-à-dire que
01:10:49s'ils font n'importe quoi
01:10:51ou qu'ils leur donnaient
01:10:52son fausse,
01:10:53ça a des impacts massifs.
01:10:54Vous avez un développement
01:10:55de la gestion d'actifs,
01:10:56par exemple,
01:10:57basé sur des indices.
01:10:58Si ces indices sont calculés
01:10:59de manière erronée,
01:11:00parce qu'il y a...
01:11:02Voilà,
01:11:02c'est des impacts
01:11:03sur les clients,
01:11:04les épargnants,
01:11:04qui peuvent être
01:11:05absolument massifs.
01:11:07Ces acteurs-là,
01:11:08moi,
01:11:08ce que j'observe,
01:11:09c'est qu'à l'époque
01:11:10de la négociation politique,
01:11:13on avait un lobbying
01:11:14assez féroce
01:11:14pour qu'ils n'y soient pas
01:11:15de leur part.
01:11:17Dorénavant,
01:11:18c'est plutôt...
01:11:19De toute façon,
01:11:19on se doute bien
01:11:20qu'on va y être.
01:11:21C'est les autorités européennes
01:11:22qui vont définir
01:11:22la liste des prestataires
01:11:24tiers critiques.
01:11:27Nous,
01:11:27ce qu'on souhaite,
01:11:28c'est que ce soit
01:11:28aussi clair que possible
01:11:29pour qu'on se mette
01:11:30bien en conformité.
01:11:32C'est quand même
01:11:33une évolution.
01:11:33Alors,
01:11:34c'est leur discours,
01:11:35on verra sur les actes.
01:11:37Mais en tout cas,
01:11:37moi,
01:11:37ce que je peux noter déjà
01:11:38en termes de discours,
01:11:39c'est une évolution
01:11:40qui témoigne
01:11:42d'un côté positif
01:11:43qui est la compréhension
01:11:44que,
01:11:45mine de rien,
01:11:46ça les aide aussi
01:11:47en interne
01:11:48à mettre en place
01:11:49les investissements nécessaires
01:11:50qui ne sont pas forcément
01:11:52ceux
01:11:52où il y a 3 ans,
01:11:534 ans,
01:11:54ils auraient été vus
01:11:54comme prioritaires.
01:11:56Donc,
01:11:57après,
01:11:57c'est des choix commerciaux,
01:11:58mais c'était pour vous mentionner
01:11:59sur les facteurs de réussite
01:12:02au-delà des obstacles
01:12:03identifiés.
01:12:08Merci.
01:12:11Je vous propose
01:12:11qu'on passe aux questions
01:12:12des orateurs de groupe
01:12:13et des questions individuelles.
01:12:15J'en aurais peut-être une
01:12:15à titre individuel.
01:12:17Vous avez évoqué Harvest,
01:12:19ça me fait penser
01:12:19à une question
01:12:21d'architecture
01:12:22entre le RGPD
01:12:24et le rôle de la CNIL
01:12:25sur les données personnelles
01:12:26et sur DORA.
01:12:27Autant dans Nice 2,
01:12:29l'architecture entre Nice 2
01:12:30et la CNIL
01:12:31est réglée,
01:12:32est-ce qu'aujourd'hui,
01:12:33il y a une question
01:12:34aujourd'hui d'architecture
01:12:35entre DORA
01:12:36et le rôle de la CNIL
01:12:37et quel rôle,
01:12:38vous, autorité de référence
01:12:41pour le secteur financier,
01:12:42allez-vous avoir
01:12:43avec la CNIL
01:12:44sur des incidents de cyber
01:12:45ayant eu des impacts
01:12:46sur les données personnelles ?
01:12:49Et ensuite,
01:12:49je propose à Mme Saint-Paul
01:12:50de prendre la parole.
01:12:54Merci, M. le Président.
01:12:55Mesdames, Messieurs,
01:12:56M. Hervaud,
01:12:57vous avez évoqué l'idée
01:12:59que l'utilisation
01:13:00de l'intelligence artificielle
01:13:01facilitait les dispositifs
01:13:02de fraude.
01:13:03Donc, ça m'intéresserait
01:13:04de savoir
01:13:05dans quelle mesure
01:13:09les cyberattaquants
01:13:11utilisaient
01:13:11l'intelligence artificielle
01:13:13et vous,
01:13:13de la même manière,
01:13:15comme bouclier,
01:13:16comment vous l'utilisiez
01:13:17en défensif ?
01:13:18Puisque je crois
01:13:19que malheureusement,
01:13:20les criminels
01:13:20auront toujours
01:13:21un temps d'avance.
01:13:23Et à ce sujet,
01:13:25je n'ai pas eu le sentiment
01:13:27d'avoir la réponse
01:13:28à la question
01:13:28de Mme Hervieux
01:13:29quant aux cryptomonnaies.
01:13:31Est-ce que ce serait possible
01:13:34d'apporter des précisions
01:13:36quant à ces cryptomonnaies ?
01:13:37Savoir si elles facilitent
01:13:40le blanchiment d'argent
01:13:41ou pas ?
01:13:43Et comme souvent,
01:13:44on explique
01:13:45dès qu'il est question
01:13:45de criminalité
01:13:46qu'il faut suivre l'argent,
01:13:48je pense qu'on a
01:13:48les intervenants
01:13:50les plus éclairés
01:13:51sur le fait
01:13:53de suivre l'argent.
01:13:55Donc, comment faire face
01:13:58à ce blanchiment ?
01:14:01Est-ce qu'on développe
01:14:02de nouveaux moyens
01:14:03pour y faire face ?
01:14:05Et au regard
01:14:07de l'augmentation
01:14:07constante
01:14:08des cyberattaques,
01:14:09je retiens le chiffre
01:14:10de 70% de cyberattaques
01:14:12par rançongiciel.
01:14:13Si vous pouviez redétailler
01:14:15comment les 30 derniers pourcents
01:14:17se répartissaient.
01:14:18Je vous remercie.
01:14:21Merci.
01:14:21Si je n'ai pas d'autres demandes
01:14:23de prise de parole,
01:14:23je vous propose
01:14:24de répondre.
01:14:25M. le Président,
01:14:36sur votre question.
01:14:40L'articulation,
01:14:41c'est évidemment
01:14:42que les entités
01:14:43qui, par exemple,
01:14:45font face
01:14:46à une fuite
01:14:46de données personnelles
01:14:47doivent le déclarer
01:14:48à la CNIL.
01:14:48Donc,
01:14:51si on observe
01:14:52dans leur reporting
01:14:53qu'il y a des fuite
01:14:54de données personnelles,
01:14:55ça fait partie
01:14:55du dialogue
01:14:56de supervision
01:14:57de leur dire
01:14:57est-ce que vous avez
01:14:57bien prévenu la CNIL ?
01:14:59Ça, c'est le respect,
01:14:59j'ai envie de dire,
01:15:00de la conformité
01:15:00dans le cas.
01:15:02Et ça,
01:15:02c'est rentré dans les mœurs.
01:15:04Ils savent
01:15:04qu'ils doivent le déclarer.
01:15:06On n'a pas identifié,
01:15:06je pense,
01:15:07sous le contrôle de Franck
01:15:08pour ce qui concerne l'AMF.
01:15:09En tout cas,
01:15:09difficulté en ce sens.
01:15:12Mais bon,
01:15:13si jamais il y avait,
01:15:14ce serait là.
01:15:15Et donc,
01:15:16pas certain,
01:15:17si c'était aussi
01:15:18le sens de votre question,
01:15:19qu'il y ait besoin
01:15:19d'une disposition spécifique
01:15:20en la matière.
01:15:21En tout cas,
01:15:21nous,
01:15:21en tant que superviseurs,
01:15:24nous devons nous assurer
01:15:25que nos entités assujetties
01:15:26respectent les réglementations.
01:15:29Et quand il y a
01:15:30ce type de remontée
01:15:31qui nous est faite,
01:15:32on a la capacité
01:15:33de les orienter
01:15:34dans ce sens.
01:15:36Sur l'IA et la fraude,
01:15:37je vais peut-être aussi prendre,
01:15:38tu pourras compléter
01:15:39sur sa question,
01:15:40parce que,
01:15:41pour le coup,
01:15:42au télémarché financier,
01:15:45on alerte,
01:15:46on l'a fait
01:15:47avec Nathalie Aufau,
01:15:48la procureure
01:15:49de Paris
01:15:52et la directrice
01:15:54de la DSRF,
01:15:54notamment,
01:15:55en fin d'année dernière,
01:15:56lors d'une conférence de presse,
01:15:57une explosion
01:15:57des arnaques.
01:16:01Pour vous donner
01:16:02deux chiffres
01:16:03qui sont basés
01:16:03sur les études d'AMF,
01:16:05il y a 15%
01:16:06des Français
01:16:07qui pensent
01:16:08avoir été victimes
01:16:09d'une arnaque
01:16:10ou d'une tentative
01:16:10d'arnaque financière.
01:16:11ce chiffre
01:16:13monte à 35%
01:16:14pour les moins
01:16:15de 35 ans.
01:16:17Après,
01:16:17le nombre
01:16:18d'arnaques
01:16:19effectives
01:16:20est inférieur.
01:16:21En revanche,
01:16:21la tendance
01:16:22est tout aussi
01:16:23préoccupante,
01:16:25c'est-à-dire
01:16:25qu'on voit
01:16:25une multiplication
01:16:26quasi par trois
01:16:27sur ces trois dernières années.
01:16:28parmi ces fraudes,
01:16:32vous en avez certaines
01:16:33qui utilisent déjà
01:16:34l'intelligence artificielle.
01:16:36On va appeler ça
01:16:36deepfake
01:16:37sous cette forme-là.
01:16:38C'est par exemple
01:16:39personnalités
01:16:41qui vont être
01:16:42utilisées
01:16:45leur faisant dire
01:16:46des choses
01:16:47qu'elles n'ont jamais
01:16:49dites.
01:16:49Donc ça,
01:16:50il y a eu par exemple
01:16:51des fausses publicites
01:16:53en ce sens
01:16:54sur des journalistes,
01:16:54des hommes politiques,
01:16:57des personnalités sportives,
01:16:58etc.
01:16:59Et c'était
01:17:00Immédiat Connect
01:17:01où nous avons
01:17:02alerté
01:17:02beaucoup.
01:17:05Donc,
01:17:05il y a
01:17:05dans les moyens d'action
01:17:07la capacité d'alerte.
01:17:08Il y a évidemment
01:17:08la transmission
01:17:09aux autorités judiciaires
01:17:11qui ont
01:17:11les moyens
01:17:12d'action
01:17:13pour.
01:17:13Maintenant,
01:17:15on sait bien
01:17:15que l'IA
01:17:16va se développer.
01:17:17Je dis juste
01:17:18que lors de cette
01:17:19conférence de presse,
01:17:20il y avait eu
01:17:20l'utilisation
01:17:22par une start-up
01:17:23justement,
01:17:24du substitut,
01:17:26je crois,
01:17:27qui,
01:17:27voilà.
01:17:29Et donc,
01:17:29il était présent
01:17:30à la conférence de presse
01:17:31et sur l'écran,
01:17:32la start-up
01:17:33avait mis également
01:17:34en train de dire
01:17:34quelque chose
01:17:35d'une logique arnaque.
01:17:38Ça se voyait
01:17:39encore
01:17:40que ce n'était pas
01:17:41exactement la même personne
01:17:42et que ce n'était pas
01:17:43un vrai.
01:17:45Avec les progrès,
01:17:46on peut se douter
01:17:47que dans quelques mois,
01:17:48quelques années,
01:17:49ça sera beaucoup plus le cas.
01:17:52Bon.
01:17:52Comment est-ce qu'on utilise
01:17:53l'IA pour se protéger
01:17:54de cela ?
01:17:55Nous,
01:17:56on y travaille.
01:17:58Vous dites que les criminels
01:18:00auront toujours
01:18:00un temps d'avance.
01:18:02Je ne peux pas vous dire
01:18:05que vous avez raison,
01:18:06sinon je ne ferais pas bien
01:18:09mon travail,
01:18:09je pense.
01:18:11Maintenant,
01:18:11c'est sûr que ce n'est pas facile
01:18:12et c'est sûr que ça nécessite
01:18:13aussi pour les autorités
01:18:15de pouvoir investir
01:18:16dans ces moyens-là
01:18:17pour pouvoir ne pas être
01:18:19à la traîne
01:18:20quand on détecte
01:18:21ce genre de choses.
01:18:23Enfin,
01:18:23ça passe aussi
01:18:24par des éléments
01:18:26beaucoup plus basiques.
01:18:27Nous avons lancé
01:18:28une campagne
01:18:29typiquement
01:18:29pour l'éducation financière
01:18:32avec le slogan,
01:18:35enfin,
01:18:36la trame
01:18:36qui dit
01:18:36« Il n'est jamais urgent
01:18:37de perdre son argent »
01:18:38c'est-à-dire
01:18:38vous ne précipitez pas
01:18:40quand vous voyez
01:18:41quelque chose
01:18:41qui vous dit
01:18:42que c'est l'affaire du siècle
01:18:43et qu'il faut absolument
01:18:44y aller dans les deux secondes
01:18:45parce que sinon
01:18:46vous ne serez plus.
01:18:49C'est des réflexes
01:18:50assez élémentaires,
01:18:51mais enfin,
01:18:52qu'il faut répéter
01:18:53inlassablement.
01:18:54C'est pour dire
01:18:54que la technologie
01:18:55sera évidemment nécessaire
01:18:57pour pouvoir lutter
01:18:58contre le développement
01:18:59de fraudes
01:18:59de plus en plus sophistiquées.
01:19:01Ça passe aussi
01:19:02par des éléments
01:19:03plus terre à terre
01:19:05de pédagogie.
01:19:06Sur les crypto-actifs,
01:19:09la compétence
01:19:10LCBFT
01:19:11y compris
01:19:12sur les arrière-en-MICA
01:19:12pour l'AMF,
01:19:13c'est la CPR
01:19:14comme pour la loi Pacte.
01:19:16Donc,
01:19:16je laisserai Frédéric
01:19:17évidemment
01:19:18aller là-dessus
01:19:19sur le terrain
01:19:21du blanchiment.
01:19:22Après,
01:19:22sur l'utilisation
01:19:23de crypto-actifs
01:19:24comme moyen,
01:19:26j'ai envie de dire,
01:19:27de ne pas tracer
01:19:29l'argent
01:19:30ou autre,
01:19:32c'est surtout
01:19:32les identités
01:19:34le fait
01:19:37qu'il n'y ait pas
01:19:37d'identité
01:19:37derrière
01:19:38qui soit là.
01:19:39Alors,
01:19:39la réglementation
01:19:40européenne,
01:19:41parce que normalement
01:19:41sur la blockchain,
01:19:42c'est traçable,
01:19:43par définition même,
01:19:44c'est plus traçable
01:19:44que l'argent liquide
01:19:45ou autre.
01:19:47Simplement,
01:19:48si vous avez
01:19:49un pseudo
01:19:49derrière lequel
01:19:50vous ne savez pas
01:19:51qui c'est,
01:19:52oui,
01:19:52c'est anonyme.
01:19:55Vous avez quand même
01:19:55depuis l'entrée
01:19:57en vigueur de,
01:19:59enfin,
01:19:59concomitamment
01:20:00d'entrée en vigueur
01:20:01de MICA,
01:20:01vous avez aussi
01:20:01l'entrée en vigueur
01:20:02de TFR,
01:20:03ce règlement européen,
01:20:05Transfer of Funds,
01:20:06qui prévoit
01:20:07quelque part
01:20:07la travel rule,
01:20:08désolé de ces anglicismes,
01:20:10mais qui réplique
01:20:12dans l'univers crypto
01:20:14les règles
01:20:15qui existent
01:20:15de longue date
01:20:16dans l'univers
01:20:17financier
01:20:17plus traditionnel
01:20:18qui est,
01:20:19quand il y a
01:20:20un transfert
01:20:21de fonds
01:20:21par cryptoactif,
01:20:22l'identification
01:20:23des deux contreparties
01:20:24et l'identification réelle,
01:20:26ce n'est pas le pseudo,
01:20:27je ne vais pas inventer
01:20:28un nom,
01:20:28mais que vous voyez
01:20:29dans les forums
01:20:30ou autres,
01:20:31c'est-à-dire
01:20:31il faut vraiment
01:20:32l'identité
01:20:32des bénéficiaires.
01:20:35Donc ça,
01:20:35c'est mis en oeuvre
01:20:35depuis le début
01:20:36de l'année,
01:20:36c'est pour dire
01:20:37que les cryptoactifs,
01:20:38il n'y a pas de raison
01:20:39d'imaginer
01:20:40qu'il n'y ait pas
01:20:40de réglementation
01:20:41qui soit capable
01:20:42de faire
01:20:42pour ces actifs-là,
01:20:44sur ces sujets-là
01:20:45que vous évoquez,
01:20:46la même chose
01:20:47qu'il y a eu
01:20:47sur les transferts
01:20:48d'argent fiat,
01:20:50quelque part,
01:20:51depuis de nombreuses années.
01:20:52Mais maintenant,
01:20:53je laisse Frédéric.
01:20:54sur ces deux questions,
01:20:58parce que je pense
01:20:58que Sébastien
01:20:59a à peu près tout dit.
01:21:02Oui,
01:21:03bien sûr,
01:21:03il y a une sensibilité
01:21:04particulière
01:21:05des cryptoactifs
01:21:07au risque de blanchiment.
01:21:09Je pense que Sébastien
01:21:10l'a bien expliqué.
01:21:13Mais Mika,
01:21:16en créant un certain nombre
01:21:17de statuts
01:21:18pour certaines activités
01:21:22liées aux cryptos,
01:21:23y compris sous l'angle
01:21:25LCBFT,
01:21:27permet d'avoir
01:21:29un dispositif de contrôle.
01:21:30Alors,
01:21:30ça ne traite pas
01:21:31tout le domaine.
01:21:33La finance décentralisée
01:21:34n'est pas traitée
01:21:35par Mika.
01:21:38Ainsi,
01:21:38ça fait partie
01:21:39des évolutions
01:21:39législatives européennes.
01:21:41Mais en tout cas,
01:21:42c'est déjà
01:21:42un premier rapport
01:21:44important.
01:21:46Sur l'intelligence artificielle,
01:21:47je donnerais un autre exemple
01:21:50de l'utilisation
01:21:52de l'IA
01:21:53à des fins de fraude.
01:21:55C'est
01:21:56la bonne vieille
01:21:59fraude au président
01:22:00où,
01:22:01voilà,
01:22:02la direction financière,
01:22:04le comptable
01:22:05est contacté
01:22:06très tard le soir,
01:22:08le week-end,
01:22:10soi-disant
01:22:11par le président,
01:22:12le directeur général
01:22:13pour lui dire
01:22:14opération
01:22:15très confidentielle,
01:22:17il faut
01:22:18vous fassiez
01:22:21tout de suite
01:22:21un virement
01:22:22pour cette opération.
01:22:24Bon,
01:22:24c'est une fraude
01:22:25qui est très ancienne
01:22:26mais qui est aujourd'hui
01:22:27renouvelée
01:22:28par l'utilisation
01:22:29des techniques d'IA
01:22:30avec à la fois
01:22:31des recherches
01:22:32automatisées
01:22:32sur les réseaux sociaux
01:22:34ou autres
01:22:34qui permettent
01:22:36de crédibiliser
01:22:37en traitant
01:22:38un petit peu
01:22:38tous les aspects
01:22:39du profil
01:22:39du dirigeant
01:22:40voire d'imiter sa voix
01:22:41avec des techniques
01:22:44d'intelligence artificielle
01:22:46donc qui renouvelle
01:22:47un peu
01:22:47sur le plan
01:22:47technique
01:22:48cette fraude
01:22:49qui est très ancienne.
01:22:51Ce qu'il faut voir
01:22:51c'est que l'IA
01:22:52comme toute évolution
01:22:53technologique
01:22:54bien sûr
01:22:55elle introduit
01:22:56de nouveaux moyens
01:22:57pour les fraudeurs
01:22:57mais elle introduit
01:22:58aussi
01:22:59de nouvelles perspectives
01:23:00pour la lutte.
01:23:02Et là
01:23:02j'en donnerai un exemple
01:23:03je ferai un petit peu
01:23:04le lien
01:23:05avec la première question
01:23:06c'est que
01:23:07beaucoup d'établissements
01:23:09financiers
01:23:10commencent
01:23:11à utiliser
01:23:12assez fortement
01:23:14l'IA
01:23:15dans le traitement
01:23:16des flux d'opérations
01:23:17en matière LCBFT
01:23:18pour le criblage
01:23:20des opérations sensibles
01:23:23et la préparation
01:23:23des déclarations
01:23:24de soupçons.
01:23:25Donc il y a
01:23:25à la fois
01:23:26des expérimentations
01:23:27voire des mises
01:23:29en oeuvre
01:23:29déjà plus importantes
01:23:31pour un certain nombre
01:23:32de grands groupes financiers
01:23:33la CPR
01:23:34qui a effectivement
01:23:35un rôle important
01:23:36sur le volet préventif
01:23:38de la lutte contre
01:23:39le blanchiment
01:23:39et le financement
01:23:40du terrorisme
01:23:41analyse et évalue
01:23:43aujourd'hui
01:23:43ces évolutions
01:23:45mais qui en tout cas
01:23:46sont intéressantes
01:23:47sur le principe.
01:23:50Merci beaucoup.
01:23:51Y a-t-il d'autres questions ?
01:23:54Bien.
01:23:55Merci en tout cas
01:23:56de votre disponibilité.
01:23:58Merci aussi
01:23:58de votre avis
01:23:59sur les deux amendements
01:24:00qui sont en prévision
01:24:03de dépôt
01:24:03pour cette commission.
01:24:05Et n'hésitez pas
01:24:06si vous voyez
01:24:06d'autres éléments
01:24:07qui arrivent
01:24:09durant la période
01:24:10des auditions
01:24:11et qui vous reviennent
01:24:12à nous en faire
01:24:13une communication
01:24:14auprès des rapporteurs
01:24:15une communication écrite
01:24:16pas de soucis.
01:24:17Oui madame ?
01:24:19Excusez-moi
01:24:19est-ce que vous avez
01:24:20une idée du calendrier
01:24:21d'examen du texte ?
01:24:23On a une idée
01:24:24de ne pas avoir
01:24:25de calendrier
01:24:26pour l'instant.
01:24:28On ne sait pas encore
01:24:29si ça sera
01:24:30en session extraordinaire
01:24:31en juillet
01:24:32ou en septembre.
01:24:34Donc voilà.
01:24:35Partons du principe
01:24:36que c'est plutôt septembre
01:24:37et donc ça nous laisse
01:24:38un peu de temps
01:24:38mais s'il fallait
01:24:39si vous avez oublié
01:24:41quelque chose
01:24:42n'hésitez surtout pas
01:24:43à nous faire une contribution.
01:24:44Merci beaucoup.
01:24:45La séance est levée.
01:24:45Merci.
01:25:07Sous-titrage Société Radio-Canada
01:25:16Merci.
01:25:17Merci.

Recommandations

2:26:32
À suivre
Renforcement de la cybersécurité : Table ronde d’associations d’élus - Jeudi 15 mai 2025
Assemblée nationale
1:31:02
Renforcement de la cybersécurité : M. Nicolas Roche, secrétaire général de la défense et de la sécurité nationale - Mardi 13 mai 2025
Assemblée nationale
5:00
Troisième forum mondial sur la cybersécurité
euronews (en français)
1:37
Combien va toucher Loïs Boisson pour sa demi-finale à Roland Garros? BFMTV répond à vos questions
BFMTV
2:34
Agression de Christophe Beaugrand et sa famille: "C'est assez traumatisant", témoigne une voisine du présentateur
BFMTV
2:10
L'animateur Christophe Beaugrand et son époux victimes d'un home-jacking, une enquête pour violences aggravées ouverte
BFMTV
1:11:05
La séance est ouverte ! - A69 : proposition de loi pour la reprise des travaux - 02/06/2025
LCP Assemblée nationale
1:23:17
100% Sénat - Municipales à Paris, Lyon et Marseille : le Sénat refuse de changer le scrutin
Public Sénat
1:01
MaPrimeRénov’ : le ministre de l’Economie Eric Lombard confirme la « suspension » du dispositif
Public Sénat
1:18
Blocage des sites pornographiques : « Ça ne me fait pas beaucoup de peine s’ils s’arrêtent »
Public Sénat
1:18:41
La séance est ouverte ! - Un texte pour élever Alfred Dreyfus au grade de général de brigade - 02/06/2025
LCP Assemblée nationale
1:26:08
DébatDoc - Hongrie : jusqu'où ira Viktor Orbán ?
LCP Assemblée nationale
6:15:26
1ère séance : Modification du Règlement de l'Assemblée nationale ; Motion de censure (art 49, al. 2 de la Constitution) ; Droit de vote par correspondance des personnes détenues (suite) - Mercredi 4 juin 2025
Assemblée nationale
5:15:35
1ère séance : Questions au Gouvernement ; Faciliter la transformation des bureaux en logement ; Création homicide routier et lutte contre la violence routière ; Reconnaissance de la Nation envers les rapatriés d’Indochine - Mardi 3 juin 2025
Assemblée nationale
2:51:44
2ème séance : Permettre aux salariés de participer aux collectes de sang sur leur temps de travail (suite) ; Exercer l’accès à l’emploi, pérenniser et étendre progressivement l’expérimentation territoires zéro chômeur longue durée - Mercredi 4 juin 2025
Assemblée nationale
3:43:48
Commission des affaires économiques : Programmation nationale et simplification normative dans le secteur économique de l’énergie (suite) - Mercredi 4 juin 2025
Assemblée nationale
3:42:09
Commission des affaires étrangères : Défis posés par le nouvel environnement numérique et technologique aux démocraties occidentales ; Cacique Tau Metuktire, chef du peuple Kayapo et petit-fils du cacique Raoni Metuktire - Mercredi 4 juin 2025
Assemblée nationale
4:04:23
Commission des lois : M. Bernard Stirn, proposé comme président de la commission ; Mme Pauline Türk, proposée comme membre de la commission ; Mme Claire Hédon, Défenseure des droits - Mercredi 4 juin 2025
Assemblée nationale
3:05:03
Commission de la défense : Représentants de Louis Dreyfus Armateurs et de CMA CGM ; Ratification du Traité de coopération en matière de défense entre la France et le Djibouti - Mercredi 4 juin 2025
Assemblée nationale
2:31:30
Commission des affaires culturelles : M. Jean-Baptiste Gourdin, président du Centre national de la musique ; Principaux enseignements de la mission effectuée au Québec - Mercredi 4 juin 2025
Assemblée nationale
1:16:08
Conférence de presse de l’AJP : M. Stéphane Peu, président du groupe Gauche démocrate et républicaine de l’Assemblée nationale, député de Seine-Saint-Denis - Mercredi 4 juin 2025
Assemblée nationale
1:56:21
Commission du développement durable : Adaptation de l’aménagement des territoires au changement climatique - Mercredi 4 juin 2025
Assemblée nationale
1:34:10
Freins à la réindustrialisation de la France : Mme Agnès Pannier-Runacher, ministre de la transition écologique, de la biodiversité, de la forêt, de la mer et de la pêche - Mercredi 4 juin 2025
Assemblée nationale
3:37:46
Commission des affaires sociales : Lutte contre la fraude aux prestations sociales ; Recettes et équilibre général de la sécurité sociale ; Approbation des comptes de la sécurité sociale de 2024 - Mercredi 4 juin 2025
Assemblée nationale
1:44:32
Délégation aux outre-mer : Rapport de la mission sur le mode de scrutin utilisé pour l’élection de l'Assemblée de Polynésie française - Mercredi 4 juin 2025
Assemblée nationale