Le scénario de ce qui est probablement le premier e-braquage de banque du monde – ayant affecté les clients de Tesco Bank – n'est pas entièrement connu à cette heure. En revanche, les conséquences pour les victimes sont déjà très visibles et donnent à réfléchir sur la préparation aux situations de crise dans les institutions financières…
Rappelons rapidement les faits. Durant le week-end du 6-7 novembre, environ 9 000 comptes courants se sont vus délestés de sommes comprises entre une vingtaine et plusieurs centaines de livres sterling (270, en moyenne, le préjudice total étant estimé à 2,5 millions de livres). Une partie des services en ligne étaient alors fermés, préventivement, et un renouvellement des cartes des personnes ciblées était initié. Le lundi matin, la banque a émis une alerte générale, faisant état d'une cyber-attaque (sans autre précision) ayant visé plus de 40 000 comptes, au total.
Sans plus de détails sur les circonstances, je ne me hasarderai pas dans ce billet à conjecturer sur la sécurité informatique de Tesco Bank. En revanche, les réactions des consommateurs aux désagréments qu'ils subissent recèlent un trésor d'information dont il serait dommage de ne pas profiter. Trois constats ressortent plus particulièrement : un certain fatalisme quant à l'incident lui-même, la frustration face aux difficultés rencontrées pour contacter la banque et l'angoisse de ceux qui n'ont plus accès à leur argent.
Ainsi, les critiques les plus véhémentes émanent des clients dont Tesco est la banque principale et qui se retrouvent dans une situation difficile, incapables de régler leurs dépenses courantes en attendant que leur carte de paiement soit remplacée (le délai annoncé étant d'une dizaine de jours). À ceux-là, viennent naturellement s'ajouter ceux dont le compte a été presque entièrement vidé et qui se demandent à quelle échéance le remboursement promis sera effectif (en l'occurrence, il est intervenu le 8 novembre).
La deuxième grande source des mécontentements exprimés est liée au gigantesque débordement de capacité du centre d'appel de la banque, nombre d'internautes signalant un temps d'attente d'une heure ou plus. Les difficultés auraient été suffisamment gênantes s'il ne s'était agi que de rassurer des clients inquiets pour leur porte-monnaie, elles ont été rendues d'autant plus insupportables que la campagne d'alertes individuelles aux victimes présumées leur demandait de prendre contact avec un conseiller !
Que faut-il retenir de cette expérience ? En premier lieu, la survenue d'un cambriolage électronique dans une banque ne paraît pas surprendre les consommateurs. En revanche, ce qui les préoccupe majoritairement est d'en connaître les conséquences pratiques pour eux, personnellement. Et les solutions proposées ne les satisfont que si elles sont mises en œuvre rapidement. Promettre un remboursement ne suffit pas, il faut une échéance. Laisser les clients sans carte pendant 10 jours est inacceptable.
Partant de ces constats, on peut dégager quelques recommandations importantes à destination de toutes les institutions financières. Car, bien que la tentation soit forte de stigmatiser un établissement « hors système » (issu d'une grande chaîne de distribution), il serait extrêmement présomptueux de croire qu'un tel incident ne peut atteindre les acteurs historiques. Or, dans cette hypothèse, avec des millions de comptes gérés au lieu de quelques dizaines de milliers, l'ampleur du désastre pourrait être démultipliée.
La transparence est évidemment la première consigne à appliquer dans ces circonstances. Tesco Bank était plutôt bien armée en la matière, apparemment, mais les dispositions prises étaient en dessous des attentes, en termes de délais et, surtout, de coordination entre les messages délivrés et les capacités de traitement disponibles. Enfin, la stratégie de remédiation comporte une faille critique (pour les clients restant sans moyen de paiement), pour laquelle aucun mécanisme de secours n'est prévu.
En résumé, comme il est d'usage avec les risques systémiques, les scénarios de cyber-attaques devraient faire l'objet d'évaluations, d'élaboration de plans de défense et d'exercices périodiques. Je ne suis pas certain que ce soit le cas aujourd'hui…