Vingt banques (certaines souffrant de pannes à répétition), six pays (un en lock-out), cinq continents, des dizaines de millions de clients mécontents. Il n'y a jamais de bon moment pour que le système informatique de votre banque tombe en panne. Mais peu peuvent être pires qu'au milieu d'un verrouillage. Il est difficile de quitter la maison, votre agence locale peut ne pas être ouverte et, par conséquent, vous dépendez plus que jamais des services bancaires numériques.
ghjk
En Nouvelle-Zélande, maintenant dans sa septième semaine de verrouillage à l'échelle nationale, l'un des plus grands prêteurs du pays, Kiwibank, a fait faillite mardi dernier, laissant bon nombre de ses clients dans l'embarras. Il fait partie d'une série de pannes informatiques dont la banque a souffert au cours des trois dernières semaines, après qu'une attaque DDoS contre le troisième plus grand fournisseur d'accès Internet de Nouvelle-Zélande a provoqué des pannes informatiques chez un certain nombre de prêteurs, dont Commonwealth Bank et Anz Bank.

Lors d'une attaque DDoS, les pirates informatiques submergent un site en faisant en sorte qu'un grand nombre de robots s'y connectent tous en même temps, le rendant inaccessible. Les serveurs ne sont pas violés, les données ne sont pas volées, mais cela peut toujours causer de nombreuses perturbations.

24 millions de clients mécontents

La Nouvelle-Zélande n'est pas le seul pays à avoir subi des pannes majeures au sein de son système bancaire ces dernières semaines. Les autres pays incluent le Royaume-Uni, le Japon, l'Afrique du Sud, le Venezuela et le Mexique, bien qu'il y en ait sans aucun doute plus (si vous en connaissez, ce serait formidable si vous pouviez fournir des détails dans la section commentaires).

Le 12 septembre, des défaillances de fonctionnement de la plus grande banque du Mexique, BBVA Mexico, ont empêché 24 millions de titulaires de compte d'utiliser les 13 000 guichets automatiques de la banque, son application mobile ou les paiements en magasin pendant près de 20 heures. Comme c'était un dimanche, les clients ne pouvaient même pas profiter des services de trésorerie en succursale du prêteur. La banque a imputé la panne à un échec de la mise à jour du système et a proposé de compenser les clients avec des bonus en espèces sur les achats lors de l'utilisation de leurs cartes de crédit ou de débit. La banque s'est également efforcée de leur assurer que leurs données financières n'étaient pas compromises.
« Cela n'avait rien à voir avec le monde extérieur », a déclaré Jorge Terrazas, directeur de la communication et de l'identité d'entreprise de la banque. « La banque et les informations de ses clients sont sécurisées. Ce que nous avons fait, c'est annuler les modifications apportées au système et tout remettre tel qu'il était. »
Moins d'une semaine après la panne de BBVA, Santander Mexico, une autre banque mexicaine appartenant à des intérêts espagnols, a subi une panne qui a empêché les clients de tout le pays d'utiliser leurs cartes de débit au guichet automatique ou dans les magasins. Encore une fois, il a été imputé à des problèmes internes.

Ces dernières années, le Mexique est devenu un marché important pour les données volées - suffisamment pour lui valoir la huitième place mondiale en termes de vol d'identité, selon la banque centrale du pays, Banco de Mexico (Banxico en abrégé). Ceci est en partie le résultat de l'impunité généralisée dont jouissent les cybercriminels dans le pays, en raison du manque d'application des lois existantes et de l'absence d'outils juridiques adéquats. Le cyber vol au Mexique n'est pas seulement l'apanage de pirates informatiques isolés vivant dans des sous-sols, mais également d'organisations criminelles hautement professionnelles.

Même le système de virement interbancaire SPEI de Banxico, une itération du système de paiement mondial SWIFT, a été la cible de braquages ​​numériques, comme le rapporte WIRED :
En janvier 2018, un groupe de pirates informatiques, qui travaillerait désormais pour le groupe d'État nord-coréen Lazarus, a tenté de voler 110 millions de dollars à la banque commerciale mexicaine Bancomext. Cet effort a échoué. Mais quelques mois plus tard, une série d'attaques plus petites mais toujours élaborées a permis aux pirates de siphonner 300 à 400 millions de pesos, soit environ 15 à 20 millions de dollars des banques mexicaines. [Cliquez ici pour lire comment ils l'ont fait].
Depuis lors, les banques mexicaines ont subi des pannes répétées, dont l'une des plus importantes a eu lieu lors du « Buen Fin » de l'année dernière, un événement commercial annuel à l'échelle nationale inspiré du Black Friday. Les sites Web bancaires en ligne et les applications mobiles de nombreuses grandes banques du pays, dont BBVA et Citi Banamex, se sont effondrés le même jour, laissant de nombreux clients dans l'impossibilité de finaliser leurs achats.


« Une tendance croissante »

Au Royaume-Uni, la Financial Conduct Authority est « profondément préoccupée » par le nombre croissant de pannes technologiques depuis plusieurs années. Lors de la réunion publique annuelle de la FCA en 2019, la directrice exécutive de la supervision du régulateur, Megan Butler, a déclaré que le nombre d'incidents de « ruptures de résilience opérationnelle » signalés en termes de défaillances informatiques avait augmenté de 300 % d'une année sur l'autre. Et cela, a-t-elle dit, serait probablement « une tendance croissante », bien que cela soit en partie dû à l'augmentation des rapports sur les événements.

Le 22 juillet de cette année, les sites Web de six grandes banques et sociétés de crédit immobilier — Lloyds, HSBC, TESCO Bank, Bank of Scotland, Halifax et Barclays — ont été fermés par une panne Internet mondiale prétendument causée par une mise à jour logicielle bâclée du service d'hébergement Akamai. Moins d'un mois plus tard, les applications de cinq prêteurs et sociétés de crédit immobilier — Natwest, TESCO Bank, TSB, Santander UK et Halifax — ont toutes été fermées en quelques jours seulement. La panne, apparemment déclenchée par un problème avec la société de paiement américaine TSYS, a empêché les consommateurs d'accéder aux services de leur carte de crédit et aux informations de leur compte. Depuis lors, HSBC, Barclays Bank et la Cooperative Bank ont toutes subi de brèves pannes.

Certaines pannes peuvent durer beaucoup plus longtemps et perturber beaucoup plus la vie des gens. En 2018, la migration informatique bâclée de Banco Sabadell de sa filiale britannique TSB — qualifiée de « plus grande catastrophe informatique de l'histoire bancaire britannique » — a empêché des centaines de milliers de clients d'accéder à leurs comptes en ligne pendant des semaines. Certains clients ont perdu financièrement. Beaucoup ont vu leur cote de crédit se détériorer en conséquence directe. Les entreprises clientes n'étaient pas en mesure de payer leurs factures ou d'effectuer leurs paies et les paiements hypothécaires n'ont pas été effectués. Plus de 1 300 clients ont été victimes d'attaques frauduleuses. La crise a coûté à Sabadell des centaines de millions de livres, 80 000 clients et un PDG. C'était probablement un facteur clé dans l'échec du rachat de Sabadell par BBVA à la fin de l'année dernière.

« Une cyberattaque intense et agressive »

À près de 5 000 milles du Royaume-Uni, de l'autre côté de l'Atlantique, 16 millions de clients de la plus grande banque vénézuélienne, Banco de Venezuela, ont récemment dû endurer cinq jours sans la plate-forme en ligne de la banque. Comme cela a tendance à se produire dans ces cas, la panne est devenue apparente lorsque les clients des banques ont commencé à exprimer leur colère sur les réseaux sociaux. Lorsque la plate-forme a finalement été restaurée, le 20 septembre, la vice-présidente du Venezuela, Delcy Rodríguez, a blâmé le gouvernement américain, qu'elle a accusé d'avoir lancé une cyberattaque « intense et agressive » contre le système informatique de la banque.

L'attaque était apparemment une tentative de faire dérailler les plans de Caracas de lancer une nouvelle monnaie, qui a été mise en ligne le 1er octobre avec six zéros de moins. Que les allégations de Rodríguez soient vraies ou non, c'est impossible à dire, mais Washington en a certainement la capacité et la forme. De plus, il est engagé dans une guerre économique sans merci contre le Venezuela.

Parfois, c'est la fréquence plutôt que la durée des pannes qui est le plus gros problème pour les clients des banques. Le 30 septembre, Mizuho Bank, l'une des trois méga banques du Japon, a connu la huitième défaillance de son système informatique depuis le début de l'année, soit près d'une par mois. Dans le dernier épisode, un problème système a retardé certaines transactions de change. Les pannes du système à Mizuho remontent à près de deux décennies et ont été largement imputées à son échec à intégrer les cultures et les systèmes de la fusion à trois voies de Dai-ichi Kangyo Bank, Fuji Bank et IBJ qui a donné naissance à la banque, tous il y a 21 ans. La banque a déjà dépensé 3,6 milliards de dollars pour essayer de résoudre les problèmes, mais sans grand succès apparent.

Les fusions de grandes banques ont tendance à laisser derrière elles de graves problèmes de système informatique, comme il été souligné dans un article de "Naked Capitalism" publié en décembre de l'année dernière. Cela est particulièrement vrai dans le cas des fusions transfrontalières. L'une des principales raisons à cela est que de nombreuses banques fonctionnent encore en grande partie sur des systèmes hérités grinçants construits dans les années 1970, ce qui rend pratiquement impossible la fusion de systèmes informatiques sans stocker de gros problèmes plus tard. Dans une enquête du comité restreint du Trésor en 2019 sur ce qui n'a pas fonctionné chez Banco Sabadell, Alison Barker, directrice de la supervision spécialisée à la Financial Conduct Authority, a été interrogée sur la mesure dans laquelle les systèmes existants sont toujours utilisés dans le secteur bancaire de détail du Royaume-Uni. Voici ce qu'elle a dit :
« C'est encore assez répandu, j'en ai peur... certains systèmes assez importants fonctionnent toujours sur des systèmes hérités. Ils utilisent encore du code des années 1970 sur certains de ces systèmes, et ils viennent juste de construire dessus.
Pourtant, bon nombre de ces mêmes banques tentent toujours de rivaliser avec une flotte de challengers plus jeunes et plus petits dont les systèmes informatiques sont beaucoup plus modernes et flexibles. Et cela pose de sérieux problèmes.


Fragilité inhérente des systèmes hérités

« Si vous êtes une grande banque de détail au Royaume-Uni, vous avez probablement affaire à des systèmes hérités », a déclaré le directeur général adjoint de la Prudential Regulation Authority, Lyndon Nelson, à l'enquête. Mais à mesure que les entreprises fintech ajoutent de nouvelles fonctionnalités à leurs applications, elles souhaitent faire de même « pour des raisons de concurrence ».

Nelson a ajouté que bien que certaines banques envisagent de supprimer progressivement leurs systèmes hérités, il faut un courageux directeur de la technologie pour envisager cela, en raison du risque inhérent à la modification des systèmes. La tentative désastreuse de Sabadell de mettre à niveau le système du TSB n'aura guère encouragé les autres à faire de même. Comme l'a récemment noté S&P Global, les changements informatiques ratés sont l'un des principaux responsables des pannes et des perturbations dans les institutions financières britanniques. Une dépendance excessive à l'externalisation pourrait aggraver les problèmes.

Un autre problème mis en évidence par Nelson est qu'il ne reste que peu de programmeurs capables d'utiliser COBOL, le principal langage de programmation utilisé dans les systèmes hérités des banques. Cela, dit Nelson, a poussé les responsables informatiques de nombreuses banques à se poser la question : « Combien de fois par semaine pouvons-nous changer une application sans qu'elle ne tombe ? »

Lorsqu'une application bancaire « s'effondre » ou qu'un système informatique tombe en panne, cela peut laisser le chaos dans son sillage. Il y a dix ans, Mizuho Bank a subi une panne qui a retardé les transferts d'argent à la suite du tremblement de terre et du tsunami du Grand Est du Japon. Sa septième panne cette année, début septembre, a apparemment été la goutte d'eau pour les régulateurs financiers japonais, qui ont demandé à Mizuho de soumettre un plan de travail pour la maintenance et la mise à jour du système, « dans un geste rare pour superviser efficacement le système d'une méga banque », a rapporté Nouvelles de Kyodo.

Une autre banque qui a été en proie à des problèmes répétés de système informatique est le plus grand prêteur d'Afrique du Sud, Standard Bank. Fin avril, la banque a subi des « problèmes matériels » qui ont interrompu ses canaux Internet, mobiles et guichets automatiques pendant plus d'une semaine, empêchant les clients de payer leurs factures ou d'accéder à des espèces. Début septembre, l'application mobile de la banque était à nouveau en panne, causant aux clients des tracas sans fin. Mardi cette semaine, l'application mobile d'une autre banque sud-africaine, Capitec, est également tombée en panne.

Toutes ces pannes bancaires se produisent pour diverses raisons, allant de problèmes internes au sein du système informatique d'une banque (Mizuho, ​​Sabadell) à une mise à jour bâclée (BBVA), à une cyberattaque (Kiwibank), à la panne d'un service d'hébergement (l'effondrement des sites bancaires dans le monde le 22 juillet). Mais une chose qu'ils soulignent tous est la fragilité inhérente des systèmes informatiques des banques, à une époque où de nombreuses personnes utilisent de moins en moins d'argent liquide et deviennent de plus en plus dépendantes des services bancaires numériques.

SOURCE — Nick Corbishley : « Banks Around World Are Suffering Big Outages, Leaving Millions of Customers in Lurch At Worst Possible Time ». Naked Capitalism, October 1, 2021.