Constatez-vous une augmentation des menaces sur les systèmes d’information bancaire ?
La menace n’est pas récente, les sources de danger existent depuis un certain temps. Nous passons d’une menace théorique à une menace réelle qui se met en place. Pour moi, il y a quatre grandes menaces, avec certes des éléments nouveaux, mais qui sont connues depuis plusieurs années et se réalisent maintenant. Nous sommes passés de techniciens qui s’amusaient à pénétrer dans les SI à des criminels qui veulent en faire du profit.
Quelles sont ces quatre grandes menaces ?
Il y a d’abord celle capable de bloquer nos infrastructures par des attaques
DDoS
[1]
. Nous connaissons ces attaques depuis 2001, mais elles sont désormais beaucoup plus fréquentes depuis lors, comme le prouvent les exemples de
Rabobank
[2]
et des banques espagnoles (ou la fameuse
Opération Payback
[3]
des Anonymous, en riposte à la disparition de Wikileaks en décembre 2010, NDLR). Cette menace croît en taille et en fréquence. Or, de plus en plus les activités bancaires se font en ligne. Le phénomène nouveau ici, c'est l’activisme citoyen. Avant, un cyber-criminel compromettait des ordinateurs de particuliers pour leur faire attaquer telle ou telle banque à leur insu. Désormais, certains citoyens ont laissé volontairement l’accès à leurs PC pour attaquer les banques. La deuxième menace est l’introduction d’un virus actif, comme Comflicker. Elle a évolué, car désormais les virus sont faits par des professionnels et sont difficiles à éradiquer. Le troisième danger provient de la fuite d’information au sein de l’entreprise, au travers de malwares dédiés. C’est l’exemple connu de l’attaque contre le ministère des Finances lors du dernier G20. Les pirates prennent des kits datant de 2003 ou 2004 et les reconfigurent suivant leurs besoins. À la différence du virus actif, le malware est discret. La quatrième menace est la fraude en ligne. Là, c’est le client qui est attaqué, par le biais d’un
[4]
masqué dans son navigateur, ou d’un
phising
[5]
.
Quelles sont alors les solutions ?
Pour la première, il faut mettre en place un mélange de solutions internes de surveillance du réseau et de mécanisme de management des flux de la part de l’opérateur de télécommunication. Le but est de déplacer le point d’entrée de la banque en ligne pour le laisser accessible aux vrais clients. En Espagne, les banques ont pu arrêter les plus petites attaques, mais n’ont pas résisté aux plus grosses. En France, nous mettons en place les solutions adaptées. Pour les virus actifs, il faut utiliser des dispositifs de blocage (bloquer les ports USB, mettre à jour les postes de travail et les serveurs, utiliser des antivirus à jour). Mais les banques se dotent aussi de
SOC
[6]
, des équipes dédiées à la surveillance et l’éradication de ces virus. Pour la troisième menace, c’est plus difficile. Nous savons que ce qui réduit la surface d’attaque est de faire de la sensibilisation auprès des utilisateurs, pour que ceux-ci détectent les comportements anormaux du système et les remontent. Il faut également patcher les applications et les outils bureautiques. Nous collectons également les loges pour les étudier, à la recherche de comportement bizarre. Sur la fraude en ligne, nous éduquons progressivement nos clients et nous mettons des dispositifs d’analyses comportementales pour détecter les choses anormales chez le client.
Face à ces menaces, où en sont les banques françaises ?
Pour les virus actifs et la fraude, l’ensemble des acteurs est prêt. Pour les DDoS, nous savons ce qu’il faut faire. Les fuites d’information et les malwares sont plus difficiles à prévenir. Dans le secteur financier, la réussite passe beaucoup par la coopération entre les banques sur ces sujets, via des
CERT
[7]
ou des cellules équivalentes. Au niveau managérial, les responsables de la sécurité des systèmes d’information se rencontrent au forum des compétences.
1
Distributed Denial of Service – attaque par déni de service, par laquelle on surcharge un site Web de demandes pour le faire tomber et empêcher les utilisateurs normaux de s’en servir, NDLR.
2
http://www.dutchdailynews.com/rabobank-ddos-attack/
3
http://en.wikipedia.org/wiki/Operation_Payback
4
http://en.wikipedia.org/wiki/Man_in_the_Browser
5
http://en.wikipedia.org/wiki/Phising
6
Security Operational Center.
7
Computer Emergency Response Team.
