« La cybercriminalité est un sujet stratégique chez Société Générale »

Les banques sont-elles particuli&egrave;rement concern&eacute;es par la cybercriminalit&eacute; ? Le m&eacute;tier de banquier repose sur la confiance entre le client et la banque. Un des fondamentaux de cette confiance est le niveau de s&eacute;curit&eacute; du capital et des donn&eacute;es confi&eacute;s &agrave; la banque, qui doit &ecirc;tre au-dessus de la moyenne. C&rsquo;est donc un secteur tr&egrave;s impact&eacute; par la cybercriminalit&eacute;, &agrave; plusieurs niveaux. Une banque est un coffre-fort de donn&eacute;es et donc une cible privil&eacute;gi&eacute;e. Les clients sont &eacute;galement une cible privil&eacute;gi&eacute;e, et les banques sont aussi attaqu&eacute;es au travers de leurs clients. La cybercriminalit&eacute; est donc un risque strat&eacute;gique pour une banque, et pas seulement un risque op&eacute;rationnel, comme pour les autres entreprises, puisque la base du m&eacute;tier de banquier est la confiance, qui est absolument vitale. Quelles sont les tendances actuelles en mati&egrave;re d&rsquo;attaques cybercriminelles qui visent les banques ? Le mot &laquo; tendance &raquo; convient bien, car il y a un effet de mode, avec des &eacute;volutions dans le temps. Il y a aussi un effet cyclique et saisonnier. Les vacances scolaires sont un moment o&ugrave; les attaques se multiplient. Des p&eacute;riodes comme No&euml;l, ou les soldes, sont propices au phishing , avec la multiplication des commandes de particuliers sur internet. Or, nos clients &eacute;tant des particuliers et des entreprises, la banque est concern&eacute;e par ces attaques. Il existe une typologie globale des attaques envers les banques. Certains cybercriminels, les hackers isol&eacute;s, agissent &laquo; pour le sport &raquo; et pour se faire un book de comp&eacute;tences. Il y a des cybercriminels plus organis&eacute;s, associ&eacute;s &agrave; des entreprises mafieuses, qui visent les gains financiers. Enfin, il y a la probl&eacute;matique de l&rsquo;espionnage d&rsquo;&Eacute;tat. Le contexte g&eacute;opolitique a des effets sur l&rsquo;ensemble des tentatives d&rsquo;intrusion des syst&egrave;mes informatiques, y compris sur les banques. Aujourd&rsquo;hui, la cybercriminalit&eacute; est de plus en plus industrialis&eacute;e et sophistiqu&eacute;e. Elle r&eacute;pond &agrave; des lois de march&eacute; et est organis&eacute;e comme un march&eacute;, avec des fabricants, des achats et des utilisateurs. Et il y a du vol et de la r&eacute;utilisation de donn&eacute;es. Depuis quelques mois, la tendance est cependant &agrave; la simplification, au retour &agrave; des attaques assez basiques, comme le ramassage de petites sommes sur de gros volumes. La tendance g&eacute;n&eacute;rale est globalement &agrave; une croissance de la cybercriminalit&eacute;. Le gain des activit&eacute;s cybercriminelles est d&eacute;sormais sup&eacute;rieur &agrave; celui du trafic de drogue dans le monde. Les banques subissent des modes d&rsquo;attaques tr&egrave;s sophistiqu&eacute;s comme les APT [1] , des malwares cr&eacute;&eacute;s tr&egrave;s sp&eacute;cifiquement pour une cible privil&eacute;gi&eacute;e. Aujourd&rsquo;hui, toutes les grandes banques sont attaqu&eacute;es de cette mani&egrave;re-l&agrave;. Elles sont aussi vis&eacute;es par le phishing , les mails pi&eacute;g&eacute;s et les attaques par d&eacute;ni de service. Ce sont des m&eacute;thodes d&eacute;sormais tr&egrave;s industrialis&eacute;es, devenues tr&egrave;s abordables. Il y a m&ecirc;me des publicit&eacute;s sur Youtube, tout un marketing autour de cela. Des sites Internet proposent ces services &agrave; des prix tr&egrave;s abordables et sans besoin d&rsquo;aller sur le Dark Web . Quid des attaques qui visent le groupe Soci&eacute;t&eacute; G&eacute;n&eacute;rale ? L&rsquo;effet saisonnier est assez symptomatique. La cybercriminalit&eacute; est une activit&eacute; qui n&rsquo;est pas du tout r&eacute;guli&egrave;re, qui fonctionne par pics, ce qui la rend compliqu&eacute;e &agrave; g&eacute;rer. Le volume des attaques peut &ecirc;tre multipli&eacute; par 100 ou par 1 000, selon les p&eacute;riodes. Globalement, depuis quelques ann&eacute;es, la volum&eacute;trie des attaques qui visent le groupe est multipli&eacute;e chaque ann&eacute;e par deux &agrave; dix fois le volume de l&rsquo;ann&eacute;e pr&eacute;c&eacute;dente, ce qui est dramatique. Dans le m&ecirc;me temps, ces attaques sont de plus en plus sophistiqu&eacute;es. Nous avons chez Soci&eacute;t&eacute; G&eacute;n&eacute;rale une position tr&egrave;s humble par rapport &agrave; la cybercriminalit&eacute;, qui est un sujet en &eacute;volution constante, avec lequel l&rsquo;incident est toujours possible. C&rsquo;est une des raisons qui nous pousse &agrave; l&rsquo;innovation. Comment est appr&eacute;hend&eacute;e la cybers&eacute;curit&eacute; dans le groupe ? &Agrave; quel niveau de gouvernance ? Avec quelle organisation ? Ce qui est important, c&rsquo;est la proximit&eacute; des dirigeants, leur int&eacute;r&ecirc;t pour le sujet. La cybercriminalit&eacute; est un sujet strat&eacute;gique chez Soci&eacute;t&eacute; G&eacute;n&eacute;rale, et elle est trait&eacute;e comme tel. Le sujet est g&eacute;r&eacute; comme les autres risques strat&eacute;giques, au plus haut, et r&eacute;guli&egrave;rement abord&eacute; au Comex. La cybers&eacute;curit&eacute; a un bon niveau de repr&eacute;sentation dans l&rsquo;organigramme. Nous avons une fili&egrave;re de collaborateurs d&eacute;di&eacute;s &agrave; la s&eacute;curit&eacute; informatique, plusieurs centaines de personnes dans le monde, r&eacute;partis dans toutes les entit&eacute;s. L&rsquo;id&eacute;e est qu&rsquo;ils soient proches des m&eacute;tiers. Cette &eacute;quipe cro&icirc;t au fil du temps, et Soci&eacute;t&eacute; G&eacute;n&eacute;rale est recruteur net sur ces m&eacute;tiers. La s&eacute;curit&eacute; concerne l&rsquo;ensemble des collaborateurs du groupe, et chacun a un r&ocirc;le &agrave; jouer en la mati&egrave;re. Au regard du volume des attaques, il y en a tr&egrave;s peu qui r&eacute;ussissent, gr&acirc;ce &agrave; la vigilance de nos collaborateurs. Ils sont tous sensibilis&eacute;s et form&eacute;s r&eacute;guli&egrave;rement partout dans le monde. Et l&rsquo;ensemble des &eacute;quipements et des syst&egrave;mes sont mis en place pour pallier les attaques. Le CERT [2] de Soci&eacute;t&eacute; G&eacute;n&eacute;rale est reconnu sur la Place. C&rsquo;est le premier CERT priv&eacute; fran&ccedil;ais &agrave; avoir &eacute;t&eacute; labellis&eacute; dans les ann&eacute;es 2010. Il se compose d&rsquo;une &eacute;quipe d&rsquo;experts, une Blue Team , qui œuvre 24 heures sur 24, avec un tr&egrave;s haut niveau d&rsquo;expertise. Poss&eacute;dez-vous &eacute;galement une Red Team , qui teste la vuln&eacute;rabilit&eacute; du syst&egrave;me ? Nous n&rsquo;avons pas de Red Team en interne, car nous ne voulons pas &ecirc;tre &agrave; la fois juge et partie. Nous pr&eacute;f&eacute;rerons faire faire les tests de s&eacute;curit&eacute; par des prestataires externes, que l&rsquo;on diversifie. Quid de l&rsquo;innovation, dont vous parliez, en mati&egrave;re de cybers&eacute;curit&eacute; ? L&rsquo;ouverture induite par la digitalisation n&rsquo;est-elle pas source de difficult&eacute;s ? Les attaques innovent, et la d&eacute;fense &eacute;galement. Soci&eacute;t&eacute; G&eacute;n&eacute;rale est tr&egrave;s investie dans l&rsquo;innovation en mati&egrave;re de s&eacute;curit&eacute;, au travers de tout un &eacute;cosyst&egrave;me, en interne et en externe, qui fait notamment intervenir des start-up . Le digital est une ouverture suppl&eacute;mentaire de l&rsquo;entreprise, et donc une expansion de la surface d&rsquo;attaque. Mais c&rsquo;est aussi une formidable opportunit&eacute; de relever le niveau de la cybers&eacute;curit&eacute; en utilisant les technologies du digital, le Big Data par exemple. Quand on digitalise un process, c&rsquo;est l&rsquo;occasion de lui porter un niveau de s&eacute;curit&eacute; plus &eacute;lev&eacute; qu&rsquo;auparavant. Je prends souvent l&rsquo;exemple des archives : les archives papier sont soumises au risque d&rsquo;incendie, d&rsquo;inondation, de d&eacute;t&eacute;rioration. En digitalisant les contrats, nous pouvons les stocker dans diff&eacute;rents endroits de fa&ccedil;on s&eacute;curis&eacute;e. Le cloud , qui peut repr&eacute;senter une menace, est aussi une s&eacute;curit&eacute; suppl&eacute;mentaire. Dans le cadre de la transformation digitale, Soci&eacute;t&eacute; G&eacute;n&eacute;rale a par exemple lanc&eacute; un grand programme pour distribuer des tablettes &agrave; ses collaborateurs. Il a &eacute;t&eacute; con&ccedil;u d&egrave;s le d&eacute;part en partenariat avec les &eacute;quipes de s&eacute;curit&eacute;. Le budget s&eacute;curit&eacute; augmente-t-il au fil du temps, du fait de la croissance des attaques, et de l&rsquo;adaptation &agrave; la digitalisation ? Oui, le budget s&eacute;curit&eacute; augmente, car il est li&eacute; &agrave; la place de l&rsquo;informatique dans une banque, qui &eacute;volue. &Agrave; propos d&rsquo;ouverture, est-ce que la DSP2 augmente les risques de cyberattaques ? La DSP2 induit la digitalisation, mais aussi de relever le niveau de s&eacute;curisation. Je ne dirais pas que la directive augmente les risques, de m&ecirc;me que le Sepa n&rsquo;a pas augment&eacute; les risques, au contraire. En digitalisant le syst&egrave;me, on le fait &eacute;voluer, mais avec des niveaux de s&eacute;curit&eacute; sup&eacute;rieurs. Le digital nous permet de mettre &agrave; jour nos niveaux de s&eacute;curit&eacute;. La s&eacute;curit&eacute; est parfois vue comme une source de contraintes, or c&rsquo;est aussi une source d&rsquo;innovation. Nous faisons en sorte que les solutions retenues soient efficaces, simples, ergonomiques et naturelles. La cybers&eacute;curit&eacute; &eacute;volue-t-elle aussi avec la r&eacute;glementation ? L&rsquo;arr&ecirc;t&eacute; OIV qui doit sortir en 2016 n&eacute;cessite-t-il un programme d&rsquo;adaptation important ? Nous ne faisons pas de la s&eacute;curit&eacute; pour r&eacute;pondre aux r&eacute;gulateurs, mais aux clients de la banque. Nous n&rsquo;attendons pas ce que la loi nous demande pour nous conformer aux exigences de s&eacute;curit&eacute;. Cela dit, nous avons des obligations r&eacute;glementaires, et nous y r&eacute;pondons. Il y a trois gros impacts de la r&eacute;gulation sur la banque : la loi de programmation militaire a un impact sur nos activit&eacute;s en France. Ce qu&rsquo;elle nous impose est d&eacute;j&agrave; tr&egrave;s largement engag&eacute; du c&ocirc;t&eacute; de Soci&eacute;t&eacute; G&eacute;n&eacute;rale. Nous sommes plut&ocirc;t &agrave; la marge de ce qui est demand&eacute; en compl&eacute;ment. Soci&eacute;t&eacute; G&eacute;n&eacute;rale a &eacute;t&eacute; force de proposition, avec les autres grandes banques fran&ccedil;aises, pour faire des propositions &agrave; l&rsquo; ANSSI [3] au sujet des OIV [4] . Les banques sont particuli&egrave;rement concern&eacute;es par l&rsquo;informatique, la protection des donn&eacute;es et la s&eacute;curit&eacute;, et ont donc &eacute;t&eacute; particuli&egrave;rement impliqu&eacute;es lors des consultations ; nous sommes &eacute;galement concern&eacute;es par la r&eacute;glementation mise en place par la BCE et par l&rsquo;ensemble des r&eacute;glementations bancaires, car nous sommes un groupe international. La cybers&eacute;curit&eacute; est un sujet important de r&eacute;glementation bancaire, avec des obligations de plus en plus nombreuses ; enfin, la r&eacute;glementation concernant les donn&eacute;es personnelles, que l&rsquo;on conna&icirc;t bien en France, avec la CNIL, etc., induit &eacute;galement des obligations compl&eacute;mentaires. Il y a donc plusieurs chantiers qui induisent des adaptations, mais nous sommes d&eacute;j&agrave; tr&egrave;s largement adapt&eacute;s. C&rsquo;est plut&ocirc;t le fait que de nouvelles r&eacute;glementations s&rsquo;ajoutent fr&eacute;quemment qui rend complexe notre adaptation, il faut se tenir tr&egrave;s au courant pour &ecirc;tre garanti d&rsquo;&ecirc;tre toujours conformes. Travaillez-vous en relation avec d&rsquo;autres acteurs sur le sujet ? Nous sommes, comme les autres grandes banques, en relation avec l&rsquo;ANSSI. Par ailleurs, les CERT travaillent en relation les uns avec les autres. Cela n&rsquo;aurait aucun sens de travailler sur la s&eacute;curit&eacute; chacun dans son coin. Nous avons int&eacute;r&ecirc;t &agrave; &eacute;changer nos informations sur le sujet, et nous le faisons de mani&egrave;re active. Propos recueillis par L. B. 1 Advanced Persistent Threats. 2 Computer Emergency Response Team. 3 Agence nationale de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information. 4 Op&eacute;rateurs d&rsquo;importance vitale.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Groupe bancaire

« La cybercriminalité est un sujet stratégique chez Société Générale »

Le groupe Société Générale, cible de menaces cybercriminelles comme toutes les grandes banques, organise sa cybersécurité pour répondre à l’évolution des attaques, mais aussi s’adapter à la digitalisation croissante et aux exigences règlementaires.

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Groupe bancaire

« La cybercriminalité est un sujet stratégique chez Société Générale »

Le groupe Société Générale, cible de menaces cybercriminelles comme toutes les grandes banques, organise sa cybersécurité pour répondre à l’évolution des attaques, mais aussi s’adapter à la digitalisation croissante et aux exigences règlementaires.

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »