« La cybercriminalité est un sujet stratégique chez Société Générale »

Les banques sont-elles particulièrement concernées par la cybercriminalité ?

Le métier de banquier repose sur la confiance entre le client et la banque. Un des fondamentaux de cette confiance est le niveau de sécurité du capital et des données confiés à la banque, qui doit être au-dessus de la moyenne. C’est donc un secteur très impacté par la cybercriminalité, à plusieurs niveaux. Une banque est un coffre-fort de données et donc une cible privilégiée. Les clients sont également une cible privilégiée, et les banques sont aussi attaquées au travers de leurs clients.

La cybercriminalité est donc un risque stratégique pour une banque, et pas seulement un risque opérationnel, comme pour les autres entreprises, puisque la base du métier de banquier est la confiance, qui est absolument vitale.

Quelles sont les tendances actuelles en matière d’attaques cybercriminelles qui visent les banques ?

Le mot « tendance » convient bien, car il y a un effet de mode, avec des évolutions dans le temps.

Il y a aussi un effet cyclique et saisonnier. Les vacances scolaires sont un moment où les attaques se multiplient. Des périodes comme Noël, ou les soldes, sont propices au phishing, avec la multiplication des commandes de particuliers sur internet. Or, nos clients étant des particuliers et des entreprises, la banque est concernée par ces attaques.

Il existe une typologie globale des attaques envers les banques. Certains cybercriminels, les hackers isolés, agissent « pour le sport » et pour se faire un book de compétences. Il y a des cybercriminels plus organisés, associés à des entreprises mafieuses, qui visent les gains financiers. Enfin, il y a la problématique de l’espionnage d’État. Le contexte géopolitique a des effets sur l’ensemble des tentatives d’intrusion des systèmes informatiques, y compris sur les banques.

Aujourd’hui, la cybercriminalité est de plus en plus industrialisée et sophistiquée. Elle répond à des lois de marché et est organisée comme un marché, avec des fabricants, des achats et des utilisateurs. Et il y a du vol et de la réutilisation de données.

Depuis quelques mois, la tendance est cependant à la simplification, au retour à des attaques assez basiques, comme le ramassage de petites sommes sur de gros volumes.

La tendance générale est globalement à une croissance de la cybercriminalité. Le gain des activités cybercriminelles est désormais supérieur à celui du trafic de drogue dans le monde.

Les banques subissent des modes d’attaques très sophistiqués comme les APT [1] , des malwares créés très spécifiquement pour une cible privilégiée. Aujourd’hui, toutes les grandes banques sont attaquées de cette manière-là. Elles sont aussi visées par le phishing, les mails piégés et les attaques par déni de service. Ce sont des méthodes désormais très industrialisées, devenues très abordables. Il y a même des publicités sur Youtube, tout un marketing autour de cela. Des sites Internet proposent ces services à des prix très abordables et sans besoin d’aller sur le Dark Web.

Quid des attaques qui visent le groupe Société Générale ?

L’effet saisonnier est assez symptomatique. La cybercriminalité est une activité qui n’est pas du tout régulière, qui fonctionne par pics, ce qui la rend compliquée à gérer. Le volume des attaques peut être multiplié par 100 ou par 1 000, selon les périodes. Globalement, depuis quelques années, la volumétrie des attaques qui visent le groupe est multipliée chaque année par deux à dix fois le volume de l’année précédente, ce qui est dramatique. Dans le même temps, ces attaques sont de plus en plus sophistiquées. Nous avons chez Société Générale une position très humble par rapport à la cybercriminalité, qui est un sujet en évolution constante, avec lequel l’incident est toujours possible. C’est une des raisons qui nous pousse à l’innovation.

Comment est appréhendée la cybersécurité dans le groupe ? À quel niveau de gouvernance ? Avec quelle organisation ?

Ce qui est important, c’est la proximité des dirigeants, leur intérêt pour le sujet. La cybercriminalité est un sujet stratégique chez Société Générale, et elle est traitée comme tel. Le sujet est géré comme les autres risques stratégiques, au plus haut, et régulièrement abordé au Comex. La cybersécurité a un bon niveau de représentation dans l’organigramme. Nous avons une filière de collaborateurs dédiés à la sécurité informatique, plusieurs centaines de personnes dans le monde, répartis dans toutes les entités. L’idée est qu’ils soient proches des métiers. Cette équipe croît au fil du temps, et Société Générale est recruteur net sur ces métiers.

La sécurité concerne l’ensemble des collaborateurs du groupe, et chacun a un rôle à jouer en la matière. Au regard du volume des attaques, il y en a très peu qui réussissent, grâce à la vigilance de nos collaborateurs. Ils sont tous sensibilisés et formés régulièrement partout dans le monde. Et l’ensemble des équipements et des systèmes sont mis en place pour pallier les attaques.

Le CERT [2] de Société Générale est reconnu sur la Place. C’est le premier CERT privé français à avoir été labellisé dans les années 2010. Il se compose d’une équipe d’experts, une Blue Team, qui œuvre 24 heures sur 24, avec un très haut niveau d’expertise.

Possédez-vous également une Red Team, qui teste la vulnérabilité du système ?

Nous n’avons pas de Red Team en interne, car nous ne voulons pas être à la fois juge et partie. Nous préférerons faire faire les tests de sécurité par des prestataires externes, que l’on diversifie.

Quid de l’innovation, dont vous parliez, en matière de cybersécurité ? L’ouverture induite par la digitalisation n’est-elle pas source de difficultés ?

Les attaques innovent, et la défense également. Société Générale est très investie dans l’innovation en matière de sécurité, au travers de tout un écosystème, en interne et en externe, qui fait notamment intervenir des start-up.

Le digital est une ouverture supplémentaire de l’entreprise, et donc une expansion de la surface d’attaque. Mais c’est aussi une formidable opportunité de relever le niveau de la cybersécurité en utilisant les technologies du digital, le Big Data par exemple. Quand on digitalise un process, c’est l’occasion de lui porter un niveau de sécurité plus élevé qu’auparavant.

Je prends souvent l’exemple des archives : les archives papier sont soumises au risque d’incendie, d’inondation, de détérioration. En digitalisant les contrats, nous pouvons les stocker dans différents endroits de façon sécurisée. Le cloud, qui peut représenter une menace, est aussi une sécurité supplémentaire.

Dans le cadre de la transformation digitale, Société Générale a par exemple lancé un grand programme pour distribuer des tablettes à ses collaborateurs. Il a été conçu dès le départ en partenariat avec les équipes de sécurité.

Le budget sécurité augmente-t-il au fil du temps, du fait de la croissance des attaques, et de l’adaptation à la digitalisation ?

Oui, le budget sécurité augmente, car il est lié à la place de l’informatique dans une banque, qui évolue.

À propos d’ouverture, est-ce que la DSP2 augmente les risques de cyberattaques ?

La DSP2 induit la digitalisation, mais aussi de relever le niveau de sécurisation. Je ne dirais pas que la directive augmente les risques, de même que le Sepa n’a pas augmenté les risques, au contraire. En digitalisant le système, on le fait évoluer, mais avec des niveaux de sécurité supérieurs. Le digital nous permet de mettre à jour nos niveaux de sécurité. La sécurité est parfois vue comme une source de contraintes, or c’est aussi une source d’innovation. Nous faisons en sorte que les solutions retenues soient efficaces, simples, ergonomiques et naturelles.

La cybersécurité évolue-t-elle aussi avec la réglementation ? L’arrêté OIV qui doit sortir en 2016 nécessite-t-il un programme d’adaptation important ?

Nous ne faisons pas de la sécurité pour répondre aux régulateurs, mais aux clients de la banque. Nous n’attendons pas ce que la loi nous demande pour nous conformer aux exigences de sécurité. Cela dit, nous avons des obligations réglementaires, et nous y répondons.

Il y a trois gros impacts de la régulation sur la banque :

• la loi de programmation militaire a un impact sur nos activités en France. Ce qu’elle nous impose est déjà très largement engagé du côté de Société Générale. Nous sommes plutôt à la marge de ce qui est demandé en complément. Société Générale a été force de proposition, avec les autres grandes banques françaises, pour faire des propositions à l’ ANSSI [3] au sujet des OIV [4] . Les banques sont particulièrement concernées par l’informatique, la protection des données et la sécurité, et ont donc été particulièrement impliquées lors des consultations ;
• nous sommes également concernées par la réglementation mise en place par la BCE et par l’ensemble des réglementations bancaires, car nous sommes un groupe international. La cybersécurité est un sujet important de réglementation bancaire, avec des obligations de plus en plus nombreuses ;
• enfin, la réglementation concernant les données personnelles, que l’on connaît bien en France, avec la CNIL, etc., induit également des obligations complémentaires.

Il y a donc plusieurs chantiers qui induisent des adaptations, mais nous sommes déjà très largement adaptés. C’est plutôt le fait que de nouvelles réglementations s’ajoutent fréquemment qui rend complexe notre adaptation, il faut se tenir très au courant pour être garanti d’être toujours conformes.

Travaillez-vous en relation avec d’autres acteurs sur le sujet ?

Nous sommes, comme les autres grandes banques, en relation avec l’ANSSI. Par ailleurs, les CERT travaillent en relation les uns avec les autres. Cela n’aurait aucun sens de travailler sur la sécurité chacun dans son coin. Nous avons intérêt à échanger nos informations sur le sujet, et nous le faisons de manière active.

Propos recueillis par L. B.

 

3 Agence nationale de la sécurité des systèmes d’information. 4 Opérateurs d’importance vitale.