Les acteurs financiers face au risque cyber

Si les attaques cyber les plus visibles actuellement prennent la forme de sabotage, l&rsquo;espionnage est le risque qui p&egrave;se le plus sur les organisations. En 2018, il a &eacute;t&eacute; une pr&eacute;occupation majeure pour l&rsquo;Agence nationale de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information (ANSSI). Discrets, patients et b&eacute;n&eacute;ficiant d&rsquo;un financement important, les attaquants s&rsquo;int&eacute;ressent de plus en plus aux secteurs d&rsquo;activit&eacute; d&rsquo;importance vitale, dont font partie les banques, et aux infrastructures critiques sp&eacute;cifiques. Une diversification de la cybermenace L&rsquo;ANSSI a &eacute;galement observ&eacute; une augmentation des attaques indirectes en 2018. Les attaquants exploitent de plus en plus les relations de confiance &eacute;tablies entre partenaires pour acc&eacute;der aux informations qu&rsquo;ils convoitent. En ciblant un ou plusieurs interm&eacute;diaires (fournisseur, prestataire, etc.), les attaquants parviennent &agrave; contourner les mesures de s&eacute;curit&eacute; de grandes entreprises, qui ont souvent beaucoup investi, ces derni&egrave;res ann&eacute;es, sur la cybers&eacute;curit&eacute;. Depuis le d&eacute;but de l&rsquo;ann&eacute;e 2019, l&rsquo;ANSSI a observ&eacute; une forte augmentation des campagnes de &laquo; ran&ccedil;ongiciels &raquo; opportunistes, tous les secteurs d&rsquo;activit&eacute; &eacute;tant concern&eacute;s par ces attaques &agrave; l&rsquo;aveugle. Avec l&rsquo;industrialisation du secteur cybercriminel, les outils permettant de mener des cyberattaques se sont d&eacute;mocratis&eacute;s et il est d&eacute;sormais de plus en plus facile de mener une campagne, sans comp&eacute;tences ni moyens &eacute;lev&eacute;s. Parmi les secteurs critiques, le secteur financier reste une cible privil&eacute;gi&eacute;e, en raison notamment de la sensibilit&eacute; des donn&eacute;es qu&rsquo;il d&eacute;tient (num&eacute;ros de carte bancaire, dossiers clients). L&rsquo;acc&egrave;s au r&eacute;seau SWIFT de messagerie financi&egrave;re est &eacute;galement tr&egrave;s cibl&eacute; par les attaquants et appara&icirc;t comme un d&eacute;nominateur commun de beaucoup d'attaques recens&eacute;es en 2018 &agrave; l&rsquo;international. Des impacts trans-sectoriels Le risque cyber se mat&eacute;rialise d&rsquo;abord par des menaces et des vuln&eacute;rabilit&eacute;s de nature cyber, mais a des impacts m&eacute;tiers, dont l&rsquo;&eacute;valuation est &agrave; r&eacute;aliser par les &eacute;tablissements financiers eux-m&ecirc;mes. La dimension financi&egrave;re de l&rsquo;&eacute;valuation devra d&rsquo;ailleurs prendre en compte plus que la simple perte imm&eacute;diate de chiffre d&rsquo;affaires. En effet, il faudra y rajouter le co&ucirc;t de la reconstruction informatique et &eacute;ventuellement les provisions en anticipation des cons&eacute;quences judiciaires. La port&eacute;e des incidents cyber ne doit pas &ecirc;tre envisag&eacute;e au sein du seul secteur financier. En effet, les secteurs d&rsquo;activit&eacute; sont tr&egrave;s interd&eacute;pendants fonctionnellement, mais aussi tr&egrave;s interconnect&eacute;s. La propagation tr&egrave;s rapide des attaques WannaCry et NotPetya du printemps 2017 &agrave; des acteurs de tous secteurs &eacute;conomiques ou administratifs, partout dans le monde, a d&eacute;clench&eacute; une prise de conscience : nous sommes tous concern&eacute;s par le risque cyber. Les &eacute;tablissements financiers, avec leur couverture internationale &eacute;tendue, le sont d&rsquo;autant plus. Quant &agrave; l&rsquo;interd&eacute;pendance, il suffit d&rsquo;imaginer les cons&eacute;quences d&rsquo;un arr&ecirc;t de la fourniture d&rsquo;acc&egrave;s &agrave; internet sur le fonctionnement des &eacute;tablissements financiers, pour en comprendre la port&eacute;e. Une surface d&rsquo;attaque croissante dans le secteur financier Avec la poursuite de la num&eacute;risation des parcours client, la surface d&rsquo;attaque risque de cro&icirc;tre, m&eacute;caniquement. En effet, les clients ont d&eacute;sormais &agrave; leur disposition les applications des banques historiques et celles des FinTechs, dont l&rsquo;arriv&eacute;e sur le march&eacute; est favoris&eacute;e par la deuxi&egrave;me directive sur les services de paiement (DSP2). La mise en service de nouveaux syst&egrave;mes ouverts sur internet augmente la surface d&rsquo;attaque potentielle des banques. La s&eacute;curit&eacute; du stockage des donn&eacute;es client &eacute;tait auparavant conditionn&eacute;e par l&rsquo;&eacute;tablissement teneur de compte. Elle est dor&eacute;navant &eacute;galement tributaire des tiers s&rsquo;interm&eacute;diant entre la banque et les clients finaux. Dans un contexte pr&eacute;occupant de cas fr&eacute;quents de fuites massives de donn&eacute;es, cette &eacute;volution du p&eacute;rim&egrave;tre &agrave; s&eacute;curiser repr&eacute;sente un nouveau d&eacute;fi pour le secteur financier. Une r&eacute;elle prise de conscience des enjeux cyber par les acteurs financiers Aujourd&rsquo;hui, la m&eacute;diatisation des cyberattaques et de leurs impacts &agrave; long terme augmente la prise en compte du risque cyber par les &eacute;quipes dirigeantes. Celles-ci sont d&eacute;sormais la plupart du temps conscientes que leurs &eacute;tablissements peuvent &ecirc;tre victimes d&rsquo;un ran&ccedil;ongiciel, de virements frauduleux, d&rsquo;exfiltration massive de donn&eacute;es, voire de sabotage. &Agrave; ce titre, l&rsquo;attaque par faux ordres de virements SWIFT dont la Banque Centrale du Bangladesh a &eacute;t&eacute; victime en 2016 a jou&eacute; le r&ocirc;le de d&eacute;tonateur dans l&rsquo;&eacute;cosyst&egrave;me financier. Elle a oblig&eacute; l&rsquo;ensemble des acteurs de la Place &agrave; s&rsquo;imaginer un instant en tant que victime d&rsquo;une telle attaque. Les &eacute;tablissements cot&eacute;s en Bourse doivent d&eacute;sormais &eacute;galement apprendre &agrave; anticiper les cons&eacute;quences des incidents cyber sur leur notation financi&egrave;re. La d&eacute;gradation de la note d&rsquo;Equifax par l&rsquo;agence Moody&rsquo;s en mars dernier, juste apr&egrave;s la publication de r&eacute;sultats financiers r&eacute;&eacute;valuant &agrave; la hausse le co&ucirc;t de l&rsquo;incident cyber survenu en 2017, en est la parfaite illustration. Les premi&egrave;res amendes inflig&eacute;es, dans le cadre du RGPD, suite &agrave; des vols de donn&eacute;es, participent &eacute;galement &agrave; la prise de conscience du risque cyber. On peut citer le cas de British Airways, victime d&rsquo;un vol des donn&eacute;es bancaires de plus de 200 000 de ses clients fin 2018. L&rsquo;enjeu est d&rsquo;autant plus important que l&rsquo;amende n&rsquo;est pas forfaitaire, mais index&eacute;e sur le chiffre d&rsquo;affaires de la soci&eacute;t&eacute;. Une certaine maturit&eacute; du secteur financier face au risque cyber En France, le risque cyber pour les &eacute;tablissements critiques est encadr&eacute; par plusieurs r&eacute;glementations, dont la loi de programmation militaire (LPM) et la directive europ&eacute;enne Network and Information System Security (NIS). Apr&egrave;s bient&ocirc;t trois ans d&rsquo;&eacute;changes &eacute;troits li&eacute;s &agrave; la mise en œuvre des exigences cyber de la LPM, l&rsquo;ANSSI note la bonne maturit&eacute; des op&eacute;rateurs critiques du secteur financier en mati&egrave;re de cybers&eacute;curit&eacute;. Une maturit&eacute; qui s&rsquo;explique probablement par la n&eacute;cessit&eacute; historique des banques de se prot&eacute;ger contre les attaques &agrave; but lucratif. Auparavant physiques, les attaques sont devenues majoritairement informatiques, pour cibler en priorit&eacute; les syst&egrave;mes de paiement. Les &eacute;tablissements financiers ont ainsi souvent devanc&eacute; la r&eacute;glementation pour lancer des programmes internes d&rsquo;&eacute;l&eacute;vation du niveau de cybers&eacute;curit&eacute;. Plusieurs &eacute;l&eacute;ments concrets t&eacute;moignent de la maturit&eacute; des dirigeants du secteur financier sur les probl&eacute;matiques cyber. La part du budget pour la s&eacute;curit&eacute; des syst&egrave;mes d'information rapport&eacute; au budget informatique global est g&eacute;n&eacute;ralement situ&eacute;e dans la fourchette haute. Le responsable de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information (RSSI) est positionn&eacute; suffisamment proche du comit&eacute; ex&eacute;cutif, ce qui permet de sortir le risque cyber d&rsquo;une sph&egrave;re de traitement trop souvent exclusivement technique. Des audits de s&eacute;curit&eacute; sont r&eacute;guli&egrave;rement r&eacute;alis&eacute;s par les lignes m&eacute;tiers audit-inspection, permettant une &eacute;valuation ind&eacute;pendante du niveau de s&eacute;curit&eacute; et le suivi de son &eacute;volution sur la dur&eacute;e. Des &eacute;quipes internes d&rsquo;experts en r&eacute;ponse aux incidents de s&eacute;curit&eacute; ont &eacute;t&eacute; constitu&eacute;es, comme les computer emergency response team (CERT). Ils sont d&eacute;sormais incontournables et souvent des interlocuteurs privil&eacute;gi&eacute;s des dirigeants eux-m&ecirc;mes, en cas de crise. Beaucoup de banques investissent &eacute;galement sur des services de red et blue team, permettant de simuler respectivement les r&ocirc;les de l&rsquo;attaque cyber et de la d&eacute;fense. Enfin, les &eacute;tablissements financiers lancent r&eacute;guli&egrave;rement de projets de s&eacute;curisation dans le domaine de la gestion des comptes et des paiements, encourag&eacute;s par la concurrence r&eacute;cente et massive des FinTechs. Face &agrave; un risque cyber ind&eacute;niablement syst&eacute;mique, les acteurs de la Place s&rsquo;entra&icirc;nent r&eacute;guli&egrave;rement &agrave; g&eacute;rer ensemble une crise d&rsquo;origine cyber. C&rsquo;est ce qu&rsquo;ils ont fait d&eacute;but juin lors du dernier exercice organis&eacute; avec les pays du G7 par la Banque de France. Le sc&eacute;nario se basait sur la compromission d&rsquo;un composant technique largement r&eacute;pandu dans les syst&egrave;mes de paiement internationaux et illustrait ainsi le risque de contagion inh&eacute;rent &agrave; une cyberattaque. Pour aller plus loin, dans un contexte d&rsquo;interconnexion et d&rsquo;interd&eacute;pendance, de nombreux acteurs appellent de leurs vœux la r&eacute;alisation d&rsquo;exercices de crise trans-sectoriels. Des efforts &agrave; poursuivre Les efforts r&eacute;alis&eacute;s sont &agrave; poursuivre, et pas seulement pour pr&eacute;venir l&rsquo;&eacute;rosion du niveau de s&eacute;curit&eacute; atteint. On observe parfois une baisse de la vigilance des utilisateurs, insuffisamment sensibilis&eacute;s ou rendus trop confiants par l&rsquo;accumulation des mesures de s&eacute;curit&eacute; dans leur environnement professionnel. La gestion de crise appara&icirc;t &eacute;galement comme un axe &agrave; d&eacute;velopper, face &agrave; une cyberattaque dont l&rsquo;occurrence est malheureusement in&eacute;luctable. C&rsquo;est l&rsquo;occasion pour les &eacute;tablissements financiers de tester non seulement leurs dispositifs existants de continuit&eacute; d&rsquo;activit&eacute;, mais &eacute;galement d&rsquo;y int&eacute;grer la communication en cas de crise d&rsquo;origine cyber. Un exercice indispensable pour des acteurs positionn&eacute;s en tant que tiers de confiance.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

ANSSI

Les acteurs financiers face au risque cyber

L’Agence nationale de la sécurité des systèmes d’information analyse les risques cyber auxquels peut être confronté le secteur financier. Les banques ont pris conscience du danger et font preuve d’une certaine maturité pour s’y préparer.

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

ANSSI

Les acteurs financiers face au risque cyber

L’Agence nationale de la sécurité des systèmes d’information analyse les risques cyber auxquels peut être confronté le secteur financier. Les banques ont pris conscience du danger et font preuve d’une certaine maturité pour s’y préparer.

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »