Les plans de sauvegarde étaient sans objet : une approche bancaire uniquement numérique est-elle dangereuse ?
Dans le contexte: Située à environ un degré de latitude (137 km) au nord de l’équateur, la cité-État de Singapour n’a pas de saisons distinctes, une température et une pression uniformes et une humidité élevée tout au long de l’année. Si quelque chose se passe mal lors d’une mise à niveau du système, le climat tropical peut constituer un défi pour les centres de données opérant sur l’île.
Le 14 octobre, DBS et Citibank ont subi une panne informatique qui a affecté des millions de transactions de paiement à Singapour. Les applications bancaires étaient en panne, les serveurs étaient inaccessibles et les clients des deux banques se retrouvaient avec très peu de moyens pour régler leurs achats ou recevoir des paiements. La cité-État s’appuie fortement sur les systèmes bancaires numériques, une approche que les autorités gouvernementales envisagent désormais d’un point de vue différent et plus prudent.
La panne d’octobre a entraîné une indisponibilité totale ou partielle des services bancaires en ligne fournis par DBS et Citibank, a confirmé le ministre Alvin Tan lors d’une séance de questions-réponses parlementaire. La cause première du problème a ensuite été identifiée dans un système de refroidissement qui ne fonctionnait pas dans le centre de données Equinix utilisé par les deux banques, ce qui faisait monter la température des serveurs au-dessus des conditions de fonctionnement optimales.
La panne a entraîné 810 000 tentatives d’accès infructueuses, a déclaré Tan ce lundi, avec 2,5 millions de transactions de paiement et de distributeurs automatiques infructueuses. Selon Equinix, le problème de surchauffe a été causé par un entrepreneur qui a envoyé un signal incorrect pour « fermer les vannes des réservoirs tampons d’eau réfrigérée » lors d’une mise à niveau prévue du système.
DBS et Citibank avaient préparé des plans de secours pour ce genre de situation, mais ceux-ci se sont révélés absolument inutiles. DBS n’a pas pu accéder à son centre de données de sauvegarde en raison d’une « mauvaise configuration du réseau », a déclaré le gouvernement de Singapour, tandis que Citibank a rencontré des problèmes de connectivité non précisés.
Les deux institutions financières n’ont pas respecté les exigences de l’Autorité monétaire de Singapour (MAS) liées à la résilience des systèmes informatiques critiques. Le MAS stipule que les temps d’arrêt imprévus des systèmes bancaires critiques ne doivent pas dépasser quatre heures sur une période de 12 mois, et le problème d’octobre a clairement dépassé cette limite.
Selon Kevin Reed, responsable de la sécurité des informations chez Acronis, société de sauvegarde basée à Singapour, Equinix aurait dû disposer d’un système de refroidissement redondant pour ses serveurs. Comme c’est souvent le cas, a fait remarquer Reed, un incident n’est pas un problème unique, mais « une chaîne d’événements interconnectés », comme le démontre clairement le cas de DBS et de Citibank.
Le ministre Tan a également fait quelques remarques sur l’approche « numérique d’abord » au sein du marché financier de Singapour, qui ne devrait de toute façon pas être une affaire « numérique uniquement ». Les consommateurs et les entreprises doivent être conscients des risques liés à l’argent sans papier, et les entreprises doivent bien entendu proposer des options de paiement alternatives lorsque les serveurs et les applications ne sont pas disponibles.