Cybrecriminalité : « les dispositifs habituels ne suffisent pas, le sabotage peut être préparé à l’avance »

Durant la conférence plénière d’ouverture des Assises, Patrick Pailloux [1] a mis en avant les risques posés par les systèmes SCADA [2] et la volonté de son organisme de labelliser désormais des prestataires de services. Nous avons voulu savoir en quoi cela concernait plus spécifiquement les banques.

En quoi les banques sont concernées par les risques SCADA que vous décrivez ?

Les risques pour les banques sont les mêmes qu’ailleurs. Ils couvrent la cybercriminalité classique que les banques ont l’habitude de gérer et connaissent mieux que moi, ainsi que l’espionnage, soit de la banque elle-même, soit de ses clients, les dégâts pouvant alors être considérables en termes d’image. Un deuxième groupe de risques réels comprend l’attaque contre les banques à des fins de rétorsion, car on en veut aux intérêts de la France. Nous l’avons vu il y a quelques semaines avec une vague d’attaques par déni de service assez violentes contre des banques américaines, provenant du Moyen-Orient. Ces risques réels portent aussi sur le sabotage, avec un virus informatique qui détruit ou modifie les données. Des actions de ce type ont eu lieu en Corée du Sud. C’est un risque lourd pour les banques qui paralyse l’activité. Les dispositifs habituels de sauvegarde et de continuité d’activité ne suffisent pas, car le sabotage peut être préparé à l’avance.

Comment pouvez-vous aider les banques à se protéger ?

Nous travaillons beaucoup avec les banques historiquement. Les conseils sont les mêmes pour tous. Le premier conseil est de bien prendre en compte les menaces et les analyses de risques associées. Les banques ont un avantage : elles savent mesurer la fraude. Mais il reste des menaces sous-évaluées. Le secteur bancaire est plutôt éduqué aux questions de sécurité. Il nous arrive de les alerter, soit directement soit via les autorités régulatrices comme la Banque de France ou l’ACPR. Nous aidons aussi les banques pour les campagnes de phishing par exemple.

Vous avez annoncé une politique de labellisation des prestataires de services. Pourriez-vous nous en dire plus ?

L’ANSSI a toujours eu une politique de labellisation. Historiquement, sur les produits, mais nous avons commencé à labelliser des prestataires. L’idée est la même, nous vérifions les règles et les compétences dans ces sociétés. Nous avons commencé par les prestataires d’audit et de test de pénétration. Ce label sera valable trois ans. Nous avons mis en place une procédure expérimentale et trois sociétés ont déjà passé les tests de vérifications techniques. Il leur reste à passer la partie administrative. Vingt autres sociétés sont sur les rangs. Ce ne sont pas forcément des sociétés françaises et nous avons des accords de reconnaissance mutuelle avec nos homologues.

1 Le discours d’ouverture de M.Pailloux est accessible en ligne à l'adresse : http://www.ssi.gouv.fr/fr/anssi/evenements/discours-de-patrick-pailloux-directeur-general-de-l-anssi-lors-des-assises-de.html. 2 Supervisory Control And Data Acquisition.