La cybercriminalité, un risque majeur pour le système bancaire

                                                     Cartographie des risques, 2020
                                                             Sources : BCE

Comme le montre le schéma de la BCE, ci-dessus, la cybercriminalité et les incidents informatiques font partie des risques majeurs pour le système bancaire[2].

Ces risques sont notamment amplifiés par :

• la poursuite de la numérisation des services financiers[3];
• la vétusté de certains systèmes d’information (SI) bancaires ;
• l’interconnexion avec des SI tiers et, par extension, la migration vers le cloud.

Le secteur bancaire présente des spécificités qui rendent les cyberattaques très sérieuses, à la fois en termes de probabilité d’occurrence et de sévérité potentielle des impacts. L’enjeu de sécurisation des données est majeur pour le secteur financier, qui joue un rôle clé dans le fonctionnement de l’économie. L’atteinte à un établissement bancaire peut en effet avoir des conséquences néfastes sur les opérations courantes d’un pays entier[4], voire même d’une région du monde.

Les établissements bancaires reposent aujourd’hui entièrement sur des systèmes informatiques. C’est ainsi qu’ils ont démarré très tôt l’informatisation de leurs métiers. Pourtant, encore aujourd’hui, nous sommes surpris de constater que certains systèmes d’information (SI) demeurent anciens et mal adaptés pour faire face aux menaces qui touchent les banques, et notamment les APT (Advanced Persistent Threat) auxquelles nous consacrons un paragraphe plus loin.

Dans une récente note, la BCE remarque que la plupart des problèmes de sécurité relèvent d’un défaut dans l’application des règles de détection des risques[5]. Dans certains cas, les patchs logiciels, qui permettent de mettre à jour le système de défense contre de nouvelles vulnérabilités, ne sont tout simplement pas installés. Dans cette même perspective, ImmuniWeb[6] a étudié les applications web externes, les API et les applications mobiles de la liste S&P Global (qui mentionne les plus grandes organisations financières mondiales, provenant de 22 pays). ImmuniWeb constate notamment que 92 % des applications de services bancaires mobiles contiennent au moins une vulnérabilité de sécurité de risque moyen. Plus préoccupant encore, 100 % des banques présentent des vulnérabilités de sécurité ou des problèmes liés à des sous-domaines oubliés.

Les SI du secteur financier reposent également très souvent sur des systèmes multiples, décentralisés, au sein de grands groupes largement interconnectés, qui échangent de nombreuses informations avec l’extérieur, notamment pour la réalisation des paiements en ligne.

Ces caractéristiques ne permettent pas de se limiter à des protections classiques, comme une protection centrée sur le SI interne. Le contexte bancaire oblige à développer intensivement des mécanismes plus sophistiqués de protection et de détection des attaques. Car les cyberattaques sont légion…

Cyberattaques contre les banques : le phishing et les DDoS en tête

Selon le Security Navigator, notre rapport annuel, le secteur de la finance continue de présenter de plus forts taux d’incidents confirmés liés à l’ingénierie sociale que la majorité des autres secteurs, en particulier le  phishing.

En 2020, nos experts ont aussi détecté un fait marquant : aucun autre secteur n’a présenté autant d’attaques DDoS. Ainsi, la fraude par vol ou manipulation des données bancaires n’est plus le seul but des attaquants. La nuisance à l’établissement bancaire par l’atteinte à sa réputation en est un autre but. Les motivations des attaquants ne se limitent plus au seul appât du gain.

A noter que l’espionnage, qui peut être pratiqué par un concurrent ou une puissance économique étrangère prend également de l’ampleur.

Le secteur bancaire particulièrement touché par les APT

Les techniques d’attaques précédemment mentionnées ne sont pas les seules à être utilisées par les cybercriminels. Les banques sont notamment ciblées par les Advanced Persistent Threat (APT). Ces menaces sophistiquées et furtives combinent des techniques avancées d’intrusion et d’usurpation de droits dans le but de permettre aux pirates d’accéder aux applications liées à la tenue des comptes par exemple, à la gestion des espèces dans les circuits de distribution ou aux flux de paiements de masse.

A titre d’illustration, la cyberattaque de type APT qui a certainement fait le plus coulé d’encre, au regard du montant dérobé (entre 800 millions et 1 milliard de dollars selon l’Agence économique et financière) est celle de l’affaire Carbanak, ayant eu lieu en février 2015. « Carbanak » est le nom donné au malware utilisé par un groupe de pirates pour espionner les infrastructures et les données des employés d’une centaine de banques russes, japonaises, américaines et européennes. Découverte par Kapersky Lab[7], la technique d’intrusion reposait sur du phishing et de l’ingénierie sociale. L’envoi d’e-mails frauduleux intégrant une pièce jointe infectée par le malware ouvrait l’accès au réseau interne des banques, aux autorisations nécessaires pour les transferts d’argent, et installait en toute discrétion un outil d’administration à distance pour l’accès aux captures d’écrans et aux mots de passe des employés.

Comme l’explique cet article du quotidien Les Echos, entre février et avril 2020, un « triplement des cyberattaques (+238 %) contre les institutions financières dans le monde » a été constaté par le bureau d’études spécialisé VMware Carbon Black. Un chiffre conséquent qui montre l’urgence pour les établissements bancaires de se prémunir contre des attaques toujours plus nombreuses et sophistiquées.

Pour traiter efficacement les risques auxquels le secteur de la finance fait face, il est recommandé d’adopter une approche globale, incluant notamment les tiers, car se protéger soi-même n’est pas suffisant. La mise en conformité aux régulations en vigueur constitue également le premier pas – et sûrement le plus important – vers une protection efficace. Ce sujet sera l’objet d’une seconde analyse, publiée très prochainement.

Merci à Ibrahima Sene, consultant en cybersécurité au sein d’Orange Cyberdefense France pour son analyse.

Pour découvrir les prestations d’accompagnement de notre équipe Conseil & Audit, cliquez ici.

Notes

[1]Cartographie des risques réalisés par le mécanisme de surveillance unique (MSU) de la BCE en 2020

[2]Ce facteur de risque vient après les défis d’ordre économique et politique et en matière de soutenabilité de la dette ; la soutenabilité des modèles d’activités.

[3]Les banques proposent de plus en plus aux clients de réaliser leurs opérations en ligne ou sur leurs smartphones

[4]Source : https://www.aef.asso.fr/publications/revue-d-economie-financiere/120-innovation-technologie-et-finance/3353-institutions-financieres-et-cybercriminalite

[5]Source : https://www.lesechos.fr/finance-marches/banque-assurances/securite-informatique-le-gendarme-bancaire-europeen-tire-la-sonnette-dalarme-1139226

[6]Entreprise mondiale spécialisée sur la sécurité des applications

[7]Source : https://www.kaspersky.fr/blog/carbanak-braquage-du-siecle-un-milliard-de-dollars/4285/