Le projet de règles de cybersécurité de la Chine présente des risques pour les entreprises financières, avertit un groupe de pression.

Le 02 juin 2022 à 11:58

Les règles de cybersécurité proposées par la Chine pour les entreprises financières pourraient présenter des risques pour les opérations des entreprises occidentales en rendant leurs données vulnérables au piratage, entre autres, a déclaré un groupe de pression important dans une lettre vue par Reuters.

La dernière proposition réglementaire intervient à un moment où une série de banques d'investissement et de gestionnaires d'actifs occidentaux étendent leur présence en Chine, soit en créant des unités en propriété exclusive, soit en prenant une part plus importante dans des coentreprises existantes.

La China Securities Regulatory Commission (CSRC) a publié le 29 avril le projet de mesures administratives pour la gestion de la sécurité des réseaux dans l'industrie des valeurs mobilières et des contrats à terme, et a proposé une consultation publique d'un mois sur ces propositions.

Le projet de règles vise à obliger les banques d'investissement, les gestionnaires d'actifs et les sociétés de contrats à terme ayant des activités en Chine à partager leurs données avec la CSRC, à permettre des tests dirigés par le régulateur et à aider à mettre en place un centre de sauvegarde des données centralisé.

Morgan Stanley et HSBC sont parmi ceux qui ont bénéficié ces derniers mois de l'ouverture du secteur financier chinois aux étrangers, après Goldman Sachs et JPMorgan, qui ont obtenu l'an dernier l'autorisation de gérer des unités locales.

Le groupe de pression, l'Asia Securities Industry and Financial Markets Association (ASIFMA), dans une lettre adressée à la CSRC et datée du 27 mai, a exprimé les préoccupations de ses membres concernant le projet de règles, car ils anticipent les risques liés au partage de données sensibles.

Le contenu de la lettre, qui a été examiné par Reuters, n'a pas été rapporté auparavant.

L'ASIFMA, qui compte plus de 160 membres comprenant des institutions financières de premier plan du côté de l'achat et de la vente, des banques, des cabinets d'avocats et des fournisseurs de services d'infrastructure de marché, n'a pas confirmé la lettre et a refusé de commenter son contenu.

En réponse à la demande de commentaire de Reuters, la CSRC a déclaré que l'ASIFMA a soumis son opinion le 31 mai, deux jours après la fin de la période de consultation.

"Cependant, nous continuons à accorder une grande importance aux commentaires transmis par les associations concernées", a-t-elle déclaré, ajoutant que le régulateur "étudiait attentivement les opinions et les suggestions" et continuerait à communiquer avec elles.

La proposition de nouvelles règles en matière de données pour les entreprises financières intervient également dans le contexte d'une surveillance plus stricte par Pékin de la sécurité des données, principalement dans le secteur des technologies, dans le cadre d'une répression réglementaire plus large, qui a ébranlé les marchés boursiers du pays et bloqué les inscriptions de sociétés offshore.

D'ÉNORMES RISQUES

Le projet de règles exige le partage des données par les entreprises financières à diverses fins, mais le groupe de pression craint que la transmission de données sensibles ne rende les entreprises du secteur vulnérables aux "pirates et autres mauvais acteurs".

Les banques mondiales et les gestionnaires d'actifs repoussent également l'exigence d'introduire un centre de sauvegarde des données à l'échelle du secteur.

"Cela pose non seulement des risques énormes pour toutes les institutions principales et les institutions opérationnelles sur une base individuelle, mais entraîne également des risques systémiques importants pour le secteur en Chine et dans le monde entier étant donné l'interconnexion du secteur financier mondial, si les données sont compromises ou font l'objet d'une fuite", indique la lettre de l'ASIFMA.

Le projet de règles stipule également que la CSRC pourrait effectuer des tests de pénétration - une cyberattaque simulée contre le système opérationnel - et un balayage du système sur les sociétés de valeurs mobilières, de contrats à terme et de fonds.

Toutefois, l'ASIFMA a fait part des préoccupations des banques mondiales selon lesquelles les tests de pénétration menés ou commandés par les régulateurs présentent "des risques réels pour les entreprises en raison de la nature potentiellement disruptive des tests de pénétration et de la sensibilité des résultats des tests".

"Tester les systèmes et les applications sans contexte opérationnel pourrait créer une perturbation significative des opérations de la firme", a ajouté le groupe de pression.

Le régulateur n'a pas fixé de calendrier pour la publication des règles finales ou pour leur mise en œuvre.

Accéder à l'article original.
Avertissement légal