En février, l’éditeur de logiciels de sécurité Kaspersky dévoilait la fraude cybercriminelle dite Carbanak, ayant visé une centaine de banques du monde entier à partir de 2013 et détourné une somme totale de l’ordre du milliard de dollars. Les cyberattaques, désormais parfois d’ampleur et de complexité inédites, évoluent dans leurs modes opératoires, alors que banques et entreprises gèrent de plus en plus de données (Big Data) et recourent au cloud. Des bandes organisées remplacent les hackers isolés et mènent des attaques directes de systèmes d’information, sur de nombreux mois, avec des méthodes aux noms un peu barbares de ramsonwares (demande de rançon après avoir « chiffré » les données d’une entreprise), cyberextorsion, etc. « L’humain est l’un des premiers facteurs de vulnérabilité », rappelle toutefois Laure Zicry, de Gras Savoye, avec la persistance de la « fraude au président » ou d’autres modes d’« ingénierie sociale » souvent fondés sur de faux e-mails (phishing, en français « hameçonnage »). En ligne de mire : l’appât du gain surtout, et parfois des motifs idéologiques, voire terroristes.
La gestion des risques et la cybersécurité en particulier doivent s’adapter à ces évolutions rapides, alors que la jeune réglementation en la matière fixe des obligations pour se protéger des attaques et les notifier. La législation sera peaufinée en 2016 (voir Encadré), avec la publication de l’arrêté concernant le secteur bancaire comme opérateur d’intensité vitale (OIV) en France, ou le Règlement européen relatif à la protection des données à caractère personnel à Bruxelles.
De plus, l’adoption le 8 octobre 2015 par le Parlement européen de la Directive sur les services de paiement (DSP2) donne accès aux informations des comptes bancaires des clients à de nouveaux acteurs, agrégateurs de données et initiateurs de paiement, les PSP tiers. DSP2 induit de nouveaux risques sans être à la hauteur des enjeux de sécurité, selon la Fédération bancaire française (FBF). L’autorité bancaire européenne (ABE) va émettre des normes techniques pour assurer la sécurité des nouveaux services de paiement.
Enfin, l’année dernière, l’arrêté de la Cour de justice de l’Union européenne (CJUE du 6 octobre 2015) a invalidé l’accord Safe Harbour entre les États-Unis et l’Europe, relevant que les États-Unis n’offraient pas un niveau de protection adéquat permettant le transfert de ses données au départ de l’Union européenne. Un autre élément qui impacte la nécessaire adaptation permanente de la cybersécurité.
Ils ont dit
La cybercriminalité augmente
"Les cyber-risques, qui comprennent à la fois les conséquences des atteintes aux données et/ou des atteintes aux systèmes d’information, existent depuis des années. Mais le nombre et l’ampleur des attaques informatiques augmentent, depuis que la grande criminalité, initialement centrée sur les trafics de drogue ou d’armes, s’est déplacée sur cette activité beaucoup plus « rentable » : un seul hacker peut faire tomber un SI, alors que les autres trafics nécessitent de nombreux intermédiaires. Et les services d’un hacker peuvent se louer sur le darkweb, réseau internet caché, accessible via un logiciel, appelé TOR, qui assure l’anonymat des personnes qui y naviguent. C’est aussi là que se revendent les données volées, il existe même des enchères dont le prix dépendra du nombre de données et de leur qualité : adresses email, numéros de sécurité sociale, coordonnées bancaires, avec ou sans cryptogramme, avec ou sans pin code, cartes d’identité, cartes de mutuelle… C’est une Place de marché très organisée !"
Laure Zicry, responsable technique Institutions financières et Cyber Risks Practice Leader, Gras Savoye, Revue Banque n° 789, novembre 2015, p. 55.
Vaste opération Carbanak contre les banques
"Carbanak, dévoilé fin février par l’éditeur Kaspersky Labs (voir Revue Banque n° 781), a fait beaucoup de bruit dans le petit monde de la sécurité informatique. En effet, c’était la première fois qu’une opération aussi complexe était menée avec pour cible privilégiée les banques et leur système d’information en direct, et non les banques en relation avec leurs clients (particuliers ou vol de données via des commerçants) ou dans l’une de leurs composantes seulement (attaques ciblant les DAB ou manipulation frauduleuse d’opération de Bourse). Pour Dominique Meurisse, directeur des opérations de Wallix, « il est clair qu’aujourd’hui, attaquer l’utilisateur, c’est attaquer sa crédibilité bancaire, et c’est donc compliqué. Vendre des credentials n’est plus assez rentable ; mieux vaut attaquer directement à la source."
Stéphanie Chaptal, journaliste, Revue Banque n° 784, mai 2015, p. 46.
La cybersécurité doit innover
"Fondés sur l’atteinte de quatre objectifs – disponibilité, intégrité, confidentialité et preuve –, les modèles traditionnels de sécurité sont mis à l’épreuve de nouvelles menaces qui modifient profondément la nature et l’évaluation des risques, notamment en lien avec la cybercriminalité, aux motivations très diverses (« hacktivisme », financière, politique…). Premier exemple : la confidentialité des données. Toutes les études démontrent la croissance rapide des vols de données, passés du vol unitaire aux fuites d’informations massives. En parallèle, le régulateur renforce progressivement les exigences en matière de protection des données. L’intégrité des données, peu mentionnée dans les enquêtes ou publications récentes, est un second exemple. […] Le traitement conventionnel ne permet donc plus de faire face à ces nouvelles menaces et répondre à l’habilité et l’innovation croissante des cybercriminels. Le défi réclame une approche innovante par son dynamisme et son agilité, reposant sur trois piliers désormais indissociables : prévention, détection et réaction."
Philippe Deniau et Nicolas Vetriak, associés, Novaminds, Revue Banque n° 781, février 2015, p. 80.
Services de paiement et DSP2 : de nouveaux enjeux
"D’un côté, se tient le PSP « naturel » (hier banque seulement et aujourd’hui établissement de paiement ou de monnaie électronique aussi), que la DSP 2 nomme le « prestataire de services de paiement gestionnaire du compte », celui donc qui « fournit et gère le compte de paiement au départ duquel le payeur souhaite que l’opération de paiement soit effectuée » (art. 4, 10). Voici, de l’autre, les intermédiaires de paiement, qui se proposent d’asseoir de nouveaux services sur les comptes détenus par les premiers ; nouveaux services que sont les services d’initiation de paiement (service consistant à initier un ordre de paiement à la demande de l'utilisateur de services de paiement concernant un compte de paiement détenu auprès d'un autre prestataire de services de paiement) et d’information sur les comptes (service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l'utilisateur de services de paiement auprès d'un ou de plusieurs autres prestataires de services de paiement). La future DSP 2 fera donc obligation aux gestionnaires de comptes d’y donner (plus ou moins) libre accès aux initiateurs et agrégateurs. Se poseront naturellement des questions sensibles de protection des données ou de sécurité."
Pierre Storrer, Avocat au Barreau de Paris, Kramer Levin Naftalis & Frankel LLP, Revue Banque n° 788, octobre 2015, p. 89.
![[Web Only] Tarifs bancaires : les banques amortissent l’inflation](http://www.revue-banque.fr/binrepository/480x320/0c0/0d0/none/9739565/MEBW/gettyimages-968963256-frais-bancaires_221-3514277_20240417171729.jpg "[Web Only] Tarifs bancaires : les banques amortissent l’inflation")
