+
-

ANSSI

Les acteurs financiers face au risque cyber

L’Agence nationale de la sécurité des systèmes d’information analyse les risques cyber auxquels peut être confronté le secteur financier. Les banques ont pris conscience du danger et font preuve d’une certaine maturité pour s’y préparer.

Le 03/09/2019
Grégoire Lundi

Si les attaques cyber les plus visibles actuellement prennent la forme de sabotage, l’espionnage est le risque qui pèse le plus sur les organisations. En 2018, il a été une préoccupation majeure pour l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Discrets, patients et bénéficiant d’un financement important, les attaquants s’intéressent de plus en plus aux secteurs d’activité d’importance vitale, dont font partie les banques, et aux infrastructures critiques spécifiques.

Une diversification de la cybermenace

L’ANSSI a également observé une augmentation des attaques indirectes en 2018. Les attaquants exploitent de plus en plus les relations de confiance établies entre partenaires pour accéder aux informations qu’ils convoitent. En ciblant un ou plusieurs intermédiaires (fournisseur, prestataire, etc.), les attaquants parviennent à contourner les mesures de sécurité de grandes entreprises, qui ont souvent beaucoup investi, ces dernières années, sur la cybersécurité.

Depuis le début de l’année 2019, l’ANSSI a observé une forte augmentation des campagnes de « rançongiciels » opportunistes, tous les secteurs d’activité étant concernés par ces attaques à l’aveugle. Avec l’industrialisation du secteur cybercriminel, les outils permettant de mener des cyberattaques se sont démocratisés et il est désormais de plus en plus facile de mener une campagne, sans compétences ni moyens élevés.

Parmi les secteurs critiques, le secteur financier reste une cible privilégiée, en raison notamment de la sensibilité des données qu’il détient (numéros de carte bancaire, dossiers clients). L’accès au réseau SWIFT de messagerie financière est également très ciblé par les attaquants et apparaît comme un dénominateur commun de beaucoup d'attaques recensées en 2018 à l’international.

Des impacts trans-sectoriels

Le risque cyber se matérialise d’abord par des menaces et des vulnérabilités de nature cyber, mais a des impacts métiers, dont l’évaluation est à réaliser par les établissements financiers eux-mêmes. La dimension financière de l’évaluation devra d’ailleurs prendre en compte plus que la simple perte immédiate de chiffre d’affaires. En effet, il faudra y rajouter le coût de la reconstruction informatique et éventuellement les provisions en anticipation des conséquences judiciaires.

La portée des incidents cyber ne doit pas être envisagée au sein du seul secteur financier. En effet, les secteurs d’activité sont très interdépendants fonctionnellement, mais aussi très interconnectés. La propagation très rapide des attaques WannaCry et NotPetya du printemps 2017 à des acteurs de tous secteurs économiques ou administratifs, partout dans le monde, a déclenché une prise de conscience : nous sommes tous concernés par le risque cyber. Les établissements financiers, avec leur couverture internationale étendue, le sont d’autant plus. Quant à l’interdépendance, il suffit d’imaginer les conséquences d’un arrêt de la fourniture d’accès à internet sur le fonctionnement des établissements financiers, pour en comprendre la portée.

Une surface d’attaque croissante dans le secteur financier

Avec la poursuite de la numérisation des parcours client, la surface d’attaque risque de croître, mécaniquement. En effet, les clients ont désormais à leur disposition les applications des banques historiques et celles des FinTechs, dont l’arrivée sur le marché est favorisée par la deuxième directive sur les services de paiement (DSP2). La mise en service de nouveaux systèmes ouverts sur internet augmente la surface d’attaque potentielle des banques. La sécurité du stockage des données client était auparavant conditionnée par l’établissement teneur de compte. Elle est dorénavant également tributaire des tiers s’intermédiant entre la banque et les clients finaux. Dans un contexte préoccupant de cas fréquents de fuites massives de données, cette évolution du périmètre à sécuriser représente un nouveau défi pour le secteur financier.

Une réelle prise de conscience des enjeux cyber par les acteurs financiers

Aujourd’hui, la médiatisation des cyberattaques et de leurs impacts à long terme augmente la prise en compte du risque cyber par les équipes dirigeantes. Celles-ci sont désormais la plupart du temps conscientes que leurs établissements peuvent être victimes d’un rançongiciel, de virements frauduleux, d’exfiltration massive de données, voire de sabotage. À ce titre, l’attaque par faux ordres de virements SWIFT dont la Banque Centrale du Bangladesh a été victime en 2016 a joué le rôle de détonateur dans l’écosystème financier. Elle a obligé l’ensemble des acteurs de la Place à s’imaginer un instant en tant que victime d’une telle attaque. Les établissements cotés en Bourse doivent désormais également apprendre à anticiper les conséquences des incidents cyber sur leur notation financière. La dégradation de la note d’Equifax par l’agence Moody’s en mars dernier, juste après la publication de résultats financiers réévaluant à la hausse le coût de l’incident cyber survenu en 2017, en est la parfaite illustration. Les premières amendes infligées, dans le cadre du RGPD, suite à des vols de données, participent également à la prise de conscience du risque cyber. On peut citer le cas de British Airways, victime d’un vol des données bancaires de plus de 200 000 de ses clients fin 2018. L’enjeu est d’autant plus important que l’amende n’est pas forfaitaire, mais indexée sur le chiffre d’affaires de la société.

Une certaine maturité du secteur financier face au risque cyber

En France, le risque cyber pour les établissements critiques est encadré par plusieurs réglementations, dont la loi de programmation militaire (LPM) et la directive européenne Network and Information System Security (NIS).

Après bientôt trois ans d’échanges étroits liés à la mise en œuvre des exigences cyber de la LPM, l’ANSSI note la bonne maturité des opérateurs critiques du secteur financier en matière de cybersécurité. Une maturité qui s’explique probablement par la nécessité historique des banques de se protéger contre les attaques à but lucratif. Auparavant physiques, les attaques sont devenues majoritairement informatiques, pour cibler en priorité les systèmes de paiement. Les établissements financiers ont ainsi souvent devancé la réglementation pour lancer des programmes internes d’élévation du niveau de cybersécurité.

Plusieurs éléments concrets témoignent de la maturité des dirigeants du secteur financier sur les problématiques cyber. La part du budget pour la sécurité des systèmes d'information rapporté au budget informatique global est généralement située dans la fourchette haute. Le responsable de la sécurité des systèmes d’information (RSSI) est positionné suffisamment proche du comité exécutif, ce qui permet de sortir le risque cyber d’une sphère de traitement trop souvent exclusivement technique. Des audits de sécurité sont régulièrement réalisés par les lignes métiers audit-inspection, permettant une évaluation indépendante du niveau de sécurité et le suivi de son évolution sur la durée. Des équipes internes d’experts en réponse aux incidents de sécurité ont été constituées, comme les computer emergency response team (CERT). Ils sont désormais incontournables et souvent des interlocuteurs privilégiés des dirigeants eux-mêmes, en cas de crise. Beaucoup de banques investissent également sur des services de red et blue team, permettant de simuler respectivement les rôles de l’attaque cyber et de la défense. Enfin, les établissements financiers lancent régulièrement de projets de sécurisation dans le domaine de la gestion des comptes et des paiements, encouragés par la concurrence récente et massive des FinTechs.

Face à un risque cyber indéniablement systémique, les acteurs de la Place s’entraînent régulièrement à gérer ensemble une crise d’origine cyber. C’est ce qu’ils ont fait début juin lors du dernier exercice organisé avec les pays du G7 par la Banque de France. Le scénario se basait sur la compromission d’un composant technique largement répandu dans les systèmes de paiement internationaux et illustrait ainsi le risque de contagion inhérent à une cyberattaque. Pour aller plus loin, dans un contexte d’interconnexion et d’interdépendance, de nombreux acteurs appellent de leurs vœux la réalisation d’exercices de crise trans-sectoriels.

Des efforts à poursuivre

Les efforts réalisés sont à poursuivre, et pas seulement pour prévenir l’érosion du niveau de sécurité atteint. On observe parfois une baisse de la vigilance des utilisateurs, insuffisamment sensibilisés ou rendus trop confiants par l’accumulation des mesures de sécurité dans leur environnement professionnel. La gestion de crise apparaît également comme un axe à développer, face à une cyberattaque dont l’occurrence est malheureusement inéluctable. C’est l’occasion pour les établissements financiers de tester non seulement leurs dispositifs existants de continuité d’activité, mais également d’y intégrer la communication en cas de crise d’origine cyber. Un exercice indispensable pour des acteurs positionnés en tant que tiers de confiance.

 

L'auteur

Séminaires

Sommaire du dossier

Sur le même sujet