Le risque d’une cyberattaque majeure est dans tous les esprits. Les banques, les infrastructures de marché et plus globalement les acteurs de Place sont-ils préparés face à l’augmentation exponentielle du nombre d’incidents ? L’Eurosystème a commencé ses premières réflexions assez tôt, permettant la définition de référentiels de conformité applicables d’abord aux infrastructures de marché. Le bilan du déploiement est plutôt positif, et les retours d’expériences permettent d’alimenter les réflexions pour renforcer le dispositif au niveau de la Place.
Genèse
Dès 2016, des réflexions menées au niveau de l’Eurosystème ont abouti à la définition d’une stratégie pour « protéger le cœur et sécuriser l’écosystème
– la résilience des infrastructures de marché, particulièrement exposées à une cyberattaque en raison de leur activité systémique. Dans ce cadre, la BCE a défini deux référentiels : les Cyber Resilience Oversight Expectations (CROE) et les Threat Intelligence-Based Ethical Red teaming (TIBER - EU) ;
– la résilience de la Place : il s’agit de prévenir un effet de contagion en cas de cyberattaque. En juin 2017, sous l’égide de la BCE, des représentants de haut niveau des infrastructures de marché et des autorités de surveillance se sont réunis : leurs échanges ont donné lieu à la création de l’Euro Cyber Resilience Board (ECRB). Les objectifs
– le dialogue avec et entre les acteurs de l’écosystème : « We are all victims et we have to address the cyber challenge together » a indiqué un participant de l’ECRB
Deux référentiels avant-gardistes
Sur la base de préconisations CPMI IOSCO
Les CROE (cyber résilience)…
Les CROE ont pour ambition de fournir :
– les recommandations à mettre en œuvre par les infrastructures de marché ;
– les préconisations à l’encontre des autorités de surveillance ;
– la définition d’un socle de discussion entre les acteurs de l'écosystème.
Ils s’appuient sur cinq piliers : la gouvernance, l’identification des actifs à protéger (informations, processus, activités), la protection (moyens mis en œuvre pour détecter les menaces et les incidents), la détection, et la réponse à incident (dont le retour à la normale). Les infrastructures de marché doivent se conformer au niveau de maturité intermédiaire, sur une échelle qui en compte trois :
– evolving : l’organisation est en place. Elle permet de traiter les risques et incidents cyber, sous l’impulsion du Conseil d’administration ;
– advancing : l’entité a recours à des outils avancés (comme l’intelligence artificielle) ;
– innovating : l’entité mène des actions innovantes au niveau de la gestion des ressources humaines, des technologies et des processus, en lien avec son écosystème.
…et TIBER (simulation de cyberattaques sophistiquées)
Le référentiel TIBER définit le cadre pour la réalisation d’une simulation de cyberattaque sophistiquée affectant la résilience d’une infrastructure de marché. Il répond à plusieurs objectifs
– améliorer la cyber-résilience des entités, en particulier dans le secteur financier ;
– homogénéiser et standardiser les modalités de collecte d’information (CTI
– fournir un cadre aux autorités de surveillance pour déployer et gérer ces types de tests au niveau local ou paneuropéen ;
– favoriser la réalisation de ces tests pour des entreprises exposées à un contexte international (transfrontalier, multi-juridictionnel) ;
– optimiser les relations entre autorités européennes sur la base d’évaluations réalisées selon le même référentiel normatif ;
– initier les modalités de partage d’information entre autorités, et plus globalement, entre acteurs de Place.
Une approche TIBER comprend trois étapes étalées sur plusieurs mois : la préparation, la collecte d’informations et la définition de scénarios d’attaques, et la phase d’attaque impliquant des techniques d’intrusion physique, d’intrusion logique et d’ingénierie sociale.
Elle implique plusieurs équipes :
– l’entité attaquée, et en particulier, l’équipe en charge de la détection et de la défense (blue team) ;
– le prestataire en charge de la collecte d’informations (CTI) ;
– l’équipe d’attaquants (red team), salariés ou le plus souvent prestataires spécialisés ;
– le sponsor de l’attaque (white team) qui, au sein de l’entité attaquée, est informé du déroulement de l’attaque. Il est garant du respect du cadre TIBER et de la minimisation des impacts des attaques. Il est généralement d’usage qu’un représentant d’une autorité de surveillance soit présent au sein de cette équipe.
Bilan du déploiement : retours d’expérience…
Le déploiement des CROE et l’adoption du cadre TIBER sont des opportunités pour améliorer le dispositif de protection et de contrôle en place. Nous présentons ci-dessous quelques illustrations.
En amont, le maître-mot est l’anticipation.
– gérer les risques : la cartographie des risques prend toute sa place dans le dispositif, puisqu’elle irradie dans toutes les lignes de défense. Elle concourt pleinement à l’anticipation. A titre d’exemple, la prise en compte d’une dimension futorologie permet l’identification de risques non cotés, mais à intégrer potentiellement dans les prochains mois (cas du risque de destruction massive identifié très tôt par certaines entités, sans pour autant avoir été coté) ;
– identifier des scénarios de désastre et les tester : en lien avec la cartographie des risques, la définition de scénarios faisant l’objet de tests réguliers constitue une modalité de renforcement de la maturité du dispositif, avec comme objectif de se prémunir contre les effets de contagion et les phénomènes en cascade ;
– limiter les risques de confusion entre exercice TIBER et attaque réelle : un test TIBER est réalisé le plus souvent sans que le management opérationnel ne soit informé, pour éprouver en conditions réelles le dispositif. Toutefois, il est plus prudent d’éviter une telle démarche en période de recrudescence de cyberattaques ;
– dialoguer avec l’écosystème : c’est l’exigence des CROE la plus délicate à mettre en œuvre, car elle nécessite un dialogue expert (sur les incidents, les menaces, les tendances) avec le Surveillant, mais aussi avec des clients, des fournisseurs… et des concurrents. La grande valeur des CROE est de permettre d’adopter une approche commune et donc d’éviter toute difficulté d’incompréhension ou d’interprétation entre acteurs
La phase de bilan de TIBER s’inscrit également dans une démarche de partage d’information et d’amélioration continue. La capitalisation entre acteurs est en effet primordiale. L’exercice de retour d’expérience permet ainsi d’associer attaquants, défenseurs et observateurs, pour un bénéfice commun.
…et identification des risques
Dans ce cadre, certains risques prennent un nouvel éclairage :
– le détournement de finalité des réseaux sociaux : lors de la phase préparatoire de TIBER, la collecte d’informations est critique pour l’équipe d’attaquants. Les réseaux sociaux mettent à disposition toutes les informations utiles aux attaquants : organigrammes, cercles de connaissances (utiles pour des scénarios ayant recours à l’usurpation d’identité ou à du phishing), logiciels utilisés et leurs versions en production, adresses des locaux (dont les data centers), budgets d’entité… Il devient donc nécessaire de sensibiliser les collaborateurs à l’usage qu’ils peuvent faire des données professionnelles postées sur ces plateformes à des fins d’évolution professionnelle ou de promotion commerciale. Le juste milieu n’est pas facile à définir ;
– la prise de décision sur la base d’information insuffisante : l’information relative aux menaces prend une autre dimension dans un cadre systémique. Elle conditionne la prise de décision en situation de précrise et de crise (concepts d’anti-information
– la gestion décorrélée de la sécurité logique et de la sécurité physique : historiquement très éloignés, ces deux risques connaissent une nouvelle ampleur, à l’occasion d’incidents récents combinant intrusion physique et intrusion logique. Ces types d’attaques sont couramment utilisés dans le cadre des exercices TIBER. Ils requièrent cependant la définition en amont d’un cadre particulier pour les équipes en charge de ces tests.
Et demain ?
Définir les modalités de partage de l’information et développer une culture commune entre acteurs de la Place restent les principaux axes d’amélioration. À ce titre, plusieurs initiatives ont déjà été lancées :
– lancement d’un CTI paneuropéen
– tests de cyberattaques multisectoriels : certaines infrastructures de marché ont déjà réalisé des tests impliquant des red teams du secteur de l’énergie par exemple. Cette approche est complémentaire des tests de Place (comme le test G7 de juin 2019) ;
– renforcement de la notion d’« opérateurs supercritiques »
– le recours à l’intelligence artificielle (déjà adoptée par les cybercriminels) : plusieurs solutions logicielles sont déjà disponibles. Citons la détection d’intrusion réseau, de malware, de virus (notamment via les EDR
– la volonté de réduire le nombre de référentiels relatifs à la cybersécurité : les zones de recouvrement se multiplient entre référentiels, avec des impacts humains, organisationnels et financiers non négligeables (en termes de maintien et de veille). À titre d’exemple, les référentiels suivants disposent tous d’un volet commun avec les CROE : PCI DSS (gouvernance, gestion des actifs, réponse à incident hors forensic…), ISO 22301 (continuité d’activité), ISO 27001 (sécurité de l’information), directive NIS (gouvernance, gestion des fournisseurs critiques)
L’enjeu de la souveraineté numérique
En conclusion, les référentiels CROE et TIBER ont permis de poser des fondations pour les infrastructures de marché et la Place, répondant aux enjeux initiaux de cybersécurité et de résilience. Les pistes de progrès sont connues, mais restent à affermir, notamment en termes d’interactions au sein de l’écosystème, soumis par ailleurs à des aspects de concurrence commerciale entre acteurs. Les efforts doivent également porter sur les trois composantes de la cybersécurité : des processus communs (catégorisation unique des menaces), des ressources formées (management et collaborateurs) et des technologies éprouvées (intelligence artificielle). Ceci, afin de contribuer à la souveraineté numérique, enjeu de taille dans le contexte géopolitique actuel.
