Cet article appartient au dossier : Universwiftnet, Les relations banques-entreprises.

Gestion des risques

« L'écosystème de la cybersécurité doit se renforcer entre les acteurs de Place »

Jan De Blauwe fait un état des lieux de la menace cyber et des réponses qui peuvent être apportées : la plus efficace passe par la mise en commun d’informations sur les incidents auxquels sont exposés les organismes, quels que soient leurs secteurs d’activité.

L'auteur

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°366

Universwiftnet: les relations banques-entreprises

Quel bilan faites-vous en matière de cyberattaques ?

Les attaques sont de nature très diverse et, pour la plupart, ne sont pas spécifiques au secteur bancaire. Mais le point le plus marquant est l’augmentation de leur ampleur et de leur impact potentiel.

L’année 2017 a été marquée par les « ransomwares », où un pirate s’introduit dans un système d’information pour en chiffrer les données et exige une rançon en échange de la clé de déchiffrement. Ce type d’attaque cible aussi bien les entreprises que les particuliers. Mais 2017 a aussi montré des évolutions inquiétantes, avec l’arrivée de malwares qui n’avaient visiblement pas pour but de générer des revenus, mais de faire des dégâts, de rendre les systèmes indisponibles, avec un impact potentiellement très important en termes de continuité d’activités. Ainsi nous avons vu débarquer WannaCry, puis NotPetya, en mai et juin 2017. En Angleterre, des hôpitaux se sont ainsi retrouvés hors-service pendant plusieurs heures, tandis que le système informatique de grandes entreprises a été paralysé des jours durant. C’est le cas de l’entreprise de fret Maersk, avec comme conséquence des quantités considérables de containers bloqués dans les ports, forçant Maersk à revenir à des processus manuels.

Dans le cas de NotPetya, la source se situait en Ukraine, et l’attaque a ciblé au départ un fournisseur de logiciels comptables en infectant son système de développement : les clients ont à leur tour été touchés en téléchargeant les mises à jour du software. Cela veut dire qu’aujourd’hui une entreprise doit également faire des contrôles auprès de ses fournisseurs, même ceux avec lesquels elle travaille depuis longtemps. Alors même que les grands groupes bancaires ou industriels font de plus en plus appel à des prestataires de services, souvent très intégrés dans leurs activités quotidiennes. Il faut désormais avoir conscience que cette organisation décentralisée, qui apportait de la valeur, devient un vecteur d’attaques.

Comment réagir à cette mutation des attaques ?

Ni l’industrie ni le régulateur ne va accepter le statu quo. Cela a déjà commencé en Belgique, avec un contrôle de cette chaîne de valeur beaucoup plus important que par le passé. Nous nous attendons à ce que la surveillance de la « supply chain » soit encore resserrée, avec des mesures sans doute pas aussi intrusives mais tout de même comparables à celles prises dans l’industrie alimentaire – où tous les acteurs, du producteur aux consommateurs, en passant par les packagers, distributeurs, transporteurs, doivent respecter des règles de contrôles et sont en supervision permanente parce qu’il existe un enjeu de santé publique. Ce sont des précautions également bien connues dans le contexte militaire dont les fournisseurs doivent respecter un cadre de contrôle très strict, qui va certainement aussi inspirer le monde civil.

Parallèlement, certaines entreprises de services réinternalisent les tâches : Google, par exemple, a décidé pour plusieurs raisons, de performance mais aussi de sécurité, de fabriquer son propre hardware comme certaines puces informatiques de son système d’information, pour éviter une éventuelle contamination via les fournisseurs.

Comment peut évoluer, selon vous, la supervision de ce risque cyber ?

La forme que peut prendre cette supervision reste à définir. Les banques européennes sont ancrées dans un cadre de supervision déjà robuste, décliné aujourd’hui au niveau européen. L’EBA est un des acteurs en charge de la supervision du risque lié aux technologies de l'information et communication, afin de s'assurer que ce domaine – y compris la partie cyber – ne pose pas de risques opérationnels trop importants. Il peut s’appuyer pour cela sur deux leviers : le premier est le respect d'une série de règles, le second des missions d'inspection sur site.

Au-delà de la seule supervision et du respect du cadre réglementaire, quelles sont les solutions efficaces pour faire face à cette menace cyber ?

Aujourd'hui, beaucoup d'entreprises essaient encore de répondre de façon assez isolée à cette menace. Mais compte tenu de la capacité de contagion des cybervirus, nous risquons de rater une opportunité collective de mettre en place un système de riposte adapté, parce qu'il y a insuffisamment d'échanges et de collaboration entre les acteurs. L'écosystème de la cybersécurité doit se renforcer entre les acteurs de Place et impliquer tous les secteurs d’activité. La forte culture de la confidentialité de certains acteurs ne doit pas les freiner pour partager l'information autour des cyberattaques. Car il est important que tout le monde puisse comprendre comment est survenue l’attaque, quel type d'actions a pu la stopper, où sont les vulnérabilités, quelles mesures correctrices ont permis de restaurer le SI rapidement, afin de renforcer le dispositif de protection de façon structurelle.

Ainsi, début 2018, Intel, société américaine productrice de processeurs, a fait état d’une vulnérabilité détectée dans son matériel : c'est un acte de courage qui permettra d’éviter des attaques futures. A contrario, aux États-Unis, la National Security Agency avait identifié une vulnérabilité dans un protocole utilisé par Windows, mais elle n’a pas diffusé l’information préférant s’en servir pour mener des missions de renseignement… sauf que l’agence a elle-même été victime d’une fuite de données qui a permis à des pirates de récupérer cette faille et de s’en servir pour le lancement de WannaCry. Il faut faire la part des choses entre préserver un intérêt sectoriel ou national et prendre avantage d'une information, ou servir un intérêt plus important encore, en partageant cette information pour améliorer la cyberprotection.

Existe-t-il des organismes en Belgique pour organiser cet échange d'informations trans-sectoriel ?

En effet, la Cyber Security Coalition, dont je suis actuellement le président, réunit des acteurs venant des secteurs public et privé, ainsi que du monde académique. Nous essayons de créer un environnement dans lequel les spécialistes peuvent établir des relations de confiance avec comme objectif de permettre une fluidité dans leurs échanges d'informations. Cette coalition travaille sur cinq grands axes :

  • 1. le partage d'information : nous organisons des événements et conférences pour que nos membres puissent physiquement se rencontrer ;
  • 2. la sensibilisation des entreprises, grâce à des campagnes de communication, notamment orientées vers les PME pour leur donner les pratiques de base essentielles en matière de protection de leur SI ;
  • 3. un partage d'informations dans un réseau spécifique, équivalent d'un CERT. Nous réunissons toutes les 6 semaines des responsables d'équipes de gestion d'incidents. C’est une démarche très opérationnelle, qui traite le plus souvent non pas des incidents réels, mais des situations à haut risque, où ces responsables ont détecté l’existence d’une certaine vulnérabilité et face à laquelle il leur faut agir ;
  • 4. l’interaction avec le gouvernement, auprès duquel nous essayons de faire des propositions constructives. Par exemple en matière de fraude bancaire, nous sommes limités dans nos actions par les lois de protection de la vie privée, qui nous empêchent de partager de façon aussi simple que nous pourrions le souhaiter des informations liées à un compte bancaire utilisé dans un schéma de fraude : l’idée est de faire en sorte que le fraudeur repéré par un établissement ne tente pas une approche dans une autre banque. D’autres actions portent sur l’éducation et la sensibilisation du grand public, dans lequel l’État a un rôle important à jouer. De façon inverse, nous relayons aussi des campagnes menées par l’État via les canaux de nos membres, par exemple en poussant les messages sur les écrans des distributeurs de billets. Nous avons par exemple relayé l’adresse e-mail mise en place par le Centre for Cyber Security belge vers laquelle les citoyens belges peuvent faire suivre les e-mails suspects. Une équipe spécialisée analyse dans des délais très courts leur contenu et si les suspicions sont confirmées, des actions sont lancées en quelques heures pour bloquer le malware ou l'accès au site frauduleux. C'est un mécanisme réactif dont l’impact est important car il suffit qu’une seule personne réagisse pour que la diffusion de l’e-mail infecté soit interrompue ;
  • 5. la protection des données privées, qui est un axe que nous venons d'ajouter dans le cadre de la mise en œuvre prochaine du RGPD.

Est-ce que le développement de la banque mobile accroît la vulnérabilité des entités ?

En effet, la surface d’attaque ne fait que grandir. Mais cette tendance existe depuis 20 ans et ne va pas s’arrêter ! Nous avons aussi des moyens devenus beaucoup plus puissants pour gérer ce parc très vaste. La complexité de cette gestion vient moins des volumes en jeu sur les plates-formes et outils que de leur diversité. Avec des processus hautement standardisés, que nous devions mettre à jour 100 ou 1 000 machines identiques ne change guère la charge. Il est également important d’anticiper, en amont, les actions de protection nécessaires, selon un principe de security by design, et d’intégrer plus largement le réflexe sécurité dans la gestion des risques.

Les banques sont aujourd’hui très conscientes de leurs responsabilités dans ce domaine et elles prennent le sujet très au sérieux. Mais c’est aussi une responsabilité partagée : les citoyens particuliers, les clients corporate doivent aussi en assumer leur part. Ce n’est que si chacun se rend compte des précautions à prendre que nous parviendrons ensemble à construire une réponse robuste face à cette menace. D’autant qu’elle est évolutive et qu’il nous faut rester vigilants et réactifs.

Quelles sont les actions particulières mises en place pour favoriser cette prise de conscience ?

Vis-à-vis des clients de détail, les réglementations autour de la protection du consommateur rendent cette prise de conscience plus facile. Pour les corporates, cette responsabilisation peut prendre des formes très diverses, notamment sous l’angle de la pérennité du business. Dans le « cash management », par exemple, cette question revient de manière récurrente chez les trésoriers et tous ceux qui gèrent les moyens de paiement. La communication, l’échange d’information, les conseils que nous pouvons leur apporter dans ce domaine sont particulièrement valorisés. Des initiatives sont également prises pour les PME avec la mise en œuvre d’ateliers digitaux au niveau local, organisés par la banque pour créer une prise de conscience de la responsabilité personnelle de chacun. Car bien souvent, c’est le maillon humain qui est le plus faible dans la chaîne !

 

Sommaire du dossier

Les relations banques-entreprises

Sur le même sujet