Pourquoi le secteur bancaire et financier prend-il la menace cyber très au sérieux ?

Auteur : Arnaud Dufournet, Chief Marketing Officer

Les établissements bancaires et financiers sont aujourd’hui clairement des cibles privilégiées par les hackers. Le secteur bancaire et financier figure en effet dans le Top 5 des secteurs d’activité les plus ciblés. La raison en est simple : il concentre à lui seul une quantité énorme d’informations sensibles aussi bien sur les personnes physiques que sur les entreprises ou encore sur les gouvernements et les états. Une formidable mine d’or pour les cyber attaquants ! C’est la raison pour laquelle dès 2006, la loi de programmation militaire a mis le secteur financier dans la liste des douze activités d’importante vitale et identifié une quinzaine d’OIV (opérateurs d’importance vitale) dans ce secteur.

Une accélération des attaques

Comme sur bien d’autres sujets, la crise sanitaire a amplifié la tendance. Entre février et avril 2020, en pleine crise du Covid, les cyberattaques contre le secteur financier ont augmenté de 238 % selon VMware Carbon Black Data. Sur la même période les attaques par ransomware ont été multipliés par neuf selon la même source. Les deux attaques subies par la Nouvelle Zélande qui ont visé ses marchés et sa Banque centrale nous ont donné un aperçu des risques qui planent sur le secteur.

Tout d’abord, la bourse de Nouvelle-Zélande s’est retrouvée paralysée pendant quatre jours en août 2020 suite à une attaque par déni de service. Les échanges avaient alors dû être suspendus en raison de craintes concernant l’intégrité du marché. En janvier dernier, c’était au tour de la Banque Centrale de subir une intrusion sur un service de partage de fichiers fourni par la société Accellion et utilisé pour partager et stocker certaines informations sensibles.

Autre exemple récent illustrant bien les menaces : en mai dernier une filiale du groupe Axa, la société AXA Partners, a été victime d’une cyberattaque par ransomware en Asie. L’attaque a notamment touché les opérations informatiques de la société Asia Assistance en Thaïlande, aux Philippines, en Malaisie et à Hong Kong. Les assaillants ont déclaré avoir dérobé des informations sensibles comme des informations sur l’identité de certains clients (passeports, cartes d’identité), des données financières, des factures d’hôpital, des bilans médicaux ou encore des informations sur des personnels hospitaliers.

La gestion du risque cyber devient donc un enjeu majeur pour le secteur. L’agence de notation Fitch le prend déjà en compte depuis quelques années pour évaluer la note de crédit des banques. Dans son rapport sur l’évaluation des risques du système financier français publié le 28 juin, la Banque de France place désormais la transformation numérique et les menaces cyber parmi les risques majeurs pouvant déstabiliser ce système au même titre que l’endettement ou la faible rentabilité des banques. Ce risque étant par ailleurs qualifié d’élevé et devant se renforcer dans les six prochains moins.

Concrètement, quels sont les risques ?

La Banque de France explique dans ce rapport que « la transformation numérique qui permet aux intermédiaires financiers de rendre leurs processus internes et leurs systèmes d’information plus efficients, avec un objectif de réduction des coûts, augmente également la « sensibilité aux attaques cyber ».. Elle note également que « la crise sanitaire a accéléré l’exposition importante du secteur financier au risque cyber à travers un basculement massif et rapide des activités financières vers le télétravail et la prestation de services à distance ». En d’autres termes, le télétravail généralisé et l’augmentation des prestations de service ont contribué à développer les surfaces d’attaque.

La Banque de France rappelle que les motivations des hackers ne sont pas seulement financières. Les tentatives de déstabilisation sont également possibles. Ce qu’elle redoute particulièrement, ce sont des attaques qui affecteraient la stabilité du système en engendrant une réaction en chaine. Par exemple, une attaque qui entrainerait « une perturbation majeure d’infrastructures ou de fonctions économiques critiques, telles que les chambres de compensation à contrepartie centrale ou les systèmes de paiement ». Ce que pointe ici la Banque de France, c’est le haut niveau d’interconnexions de notre système financier qui favoriserait la propagation rapide d’une cyberattaque de type DDoS (déni de service).

Elle met également en garde contre quatre autres types d’incident :

• La perte d’intégrité des données et notamment le risque de compromission des données de marché à l’image de ce qu’il s’est produit pour la bourse de Nouvelle-Zélande.
• La perte de confidentialité et le vol de données. Ce type d’incident engendre inévitablement de la perte de confiance entre les acteurs du système.
• La vulnérabilité d’une technologie d’un prestataire de service important tel qu’un éditeur de logiciel (par exemple la messagerie Microsoft Exchange, le logiciel de gestion et de surveillance informatiques de SolarWinds, …).
• La défaillance d’un fournisseur essentiel comme le fournisseur d’électricité ou de services télécom.

Les deux derniers points résonnent singulièrement avec l’actualité de ce début juillet. Les prestataires de conseil et d’intégration IT ont été particulièrement visés ces derniers temps et après Sopra-Steria et Altran, c’est au tour de Keyrus d’être attaqué avec pour conséquence le chiffrement d’une partie de ses ressources informatiques. Quant à l’affaire Kaseya, elle illustre bien le cas d’une attaque par rebond. Ce logiciel de surveillance IT à distance a en effet servi à infecter des milliers de machines en cascade.

Comment se protéger ?

La coopération et le partage d’information entre les institutions, tout comme la conformité aux régulations en vigueur (LPM ou directive européenne NIS), sont évidemment incontournables. Selon la Banque de France, la résilience passe aussi par des initiatives de type « exercices de crise et travaux réglementaires pour renforcer le système financier face aux attaques cyber ».

Dans les mesures de protections recommandées par l’ANSSI, figure par exemple un cloisonnement et des mesures de filtrage réseau adaptés au sein du SI d’administration. C’est dans ce cadre qu’intervient TheGreenBow pour protéger les flux d’administration grâce à un tunnel VPN IPsec. Depuis plusieurs mois, nous sommes sollicités sur les périmètres les plus sensibles au sein de groupes bancaires comme les CERT (Computer Emergency Response Team) et les SOC (Security Operations Center). Qu’il s’agisse des banques françaises internationales ou des banques centrales, les clients VPN TheGreenBow leur permettent de sécuriser les connexions de leurs postes les plus confidentiels. Ce sont généralement des postes de travail d’administrateurs ou de membres du COMEX. Puis une fois la solution éprouvée, ils envisagent alors des déploiements plus massifs auprès d’autres populations au sein de leurs différentes entités et filiales.

Peut être avez vous des projets de sécurisation de votre SI notamment en raison de la pérennisation du télétravail dans votre organisation ? Ou bien si la sécurisation des accès à votre SI par vos prestataires fait partie de vos priorités pour la rentrée de septembre, je vous incite à découvrir notre gamme de client VPN mais aussi l’offre dédiée à la sécurisation et remédiation des solutions de télétravail que nous avons construite avec Sogeti.