Comment les banques s’arment face aux cyber attaques

cyber-attackLes banques sont soumises à de nombreuses lois, régulations et standards ayant des impacts sur la sécurité de leurs systèmes d’information. En France, certaines banques doivent par exemple se mettre en conformité avec les règles imposées aux Opérateurs d’Importance Vitales (OIV) en termes de prévention, de détection et de réaction des attaques mais aussi d’audits et d’évaluation.

Les experts de la commission sécurité d’Eurocloud ont choisi de traiter ce sujet sensible sous 3 volets :

Dans un premier volet, nous analyserons l’état des lieux de  la cyber menace, le marché et  les investissements consentis par les banques pour mieux se protéger.

Dans un second volet, nous identifierons les menaces les plus fréquentes, la typologie des préjudices liés à ces attaques, tant pour les banques que pour leurs clients et nous expliquerons comment les lois existantes peuvent permettre d’éviter la propagation des attaques.

Dans un troisième volet, nous vous présenterons les solutions techniques existantes et à venir permettant aux banques de mieux s’armer contre ces cyber attaques et quels sont les apports du Cloud Computing dans cette optique. (Suite…)

Etat des lieux de la Cyber menace et des Investissements (Volet 1)

Banques, services financiers, réseaux de paiement interbancaires : sont autant d’acteurs régulièrement visés par des cyber attaques parfois très ciblées et sophistiquées. Selon le groupe de cyber sécurité ForcePoint, le secteur financier reste la cible la plus fréquente, avec 300 % d’attaques de plus que tout autre secteur. La cyber attaque qui a certainement fait le plus de bruit, au regard du montant dérobé (estimé entre 800 millions et 1 milliard de $, selon l’Agefi) est celle de l’affaire Carbanak en février 2015. Kapersky Lab a découvert qu’un groupe de hackers avaient utilisé un malware très sophistiqué nommé Carbanak pour espionner les infrastructures et les données des employés d’une centaine de banques russes, japonaises, américaines et européennes. La technique d’intrusion reposait sur du phishing et de l’ingénierie sociale : envoi d’emails frauduleux intégrant une PJ infectée par le malware, ouvrant  l’accès au réseau interne des banques, aux autorisations nécessaires pour les transferts d’argent, et installant en toute discrétion un RAT- Remote Access Tool- pour l’accès aux captures d’écrans et aux mots de passe des employés. Les montants les plus importants ont été dérobés en manipulant les balances des comptes bancaires qui étaient infectés. Les bases de données (Oracle) ont été manipulées pour transmettre des fonds entre différents comptes en utilisant le réseau bancaire interne des banques Swift.

Autre cyber attaque d’envergure, en février 2016, que celle de la banque centrale du Bangladesh (81 millions de dollars), a priori via la compromission d’un logiciel de la banque connecté au  système de réseau interbancaire Swift (Society for Worldwide Interbank Financial Telecommunication). Longtemps considéré comme le réseau de transaction financière le plus fiable au monde, Swift permet d’assurer la non-répudiation des échanges : aucun tiers n’est censé pouvoir renier une transaction. Comme pour Carbanak, un puissant malware est à l’origine du délit (supervision des exécutions de transactions Swift, effacement des traces de transactions frauduleuses sur les terminaux bancaires, accès aux BDD …). Nous ne reviendrons pas sur l’affaire JP Morgan et ses 76 millions de données clients piratés en 2014.

Mise en conformité nécessaire avec les nouvelles règlementations.

Avec la transformation digitale des banques (et notamment des canaux de contacts clients), les risques de vulnérabilité des systèmes informatiques, de vol de données et d’intrusion n’ont jamais été aussi importants. A la Société générale, 86% des contacts entrants, client-banque passent désormais par les canaux digitaux. A côté des banques traditionnelles, des banques en lignes, des fintech mais aussi des GAFA, le nombre de fournisseurs de services financiers ne fait qu’exploser… et les risques de cyber attaques avec. Pour preuve, le système de paiement électronique sans contact Apple Pay en a fait les frais l’année passée. Et si ce n’est pas la sécurité de l’Iphone qui a été remis en question, c’est bien celui du processus d’enrôlement (validation et contrôle des transactions)  des banques partenaires qui a été défaillant.

Cette amplification des cyber attaques bancaires, sur des modus operandi, de plus en plus sophistiqués en termes de spear phishing, d’intrusion des systèmes et d’espionnage,  nous amènent à une autre question : Comment les banques investissent-elles pour mieux se prémunir des cyber attaques ? Selon une étude réalisée par Xerfi « «Le marché de la cyber sécurité dans la banque et l’assurance », l’ampleur de la menace est telle que les acteurs bancaires dépensent sans compter. Sur la seule année 2015, le marché français de la cyber sécurité dans la banque et l’assurance s’est établi à 335 millions d’euros (+9,8%) et de plus de 14%  en 2016. En cause, notamment,  la règlementation sur les OIV et l’application de la LPM-Loi de Programmation Militaire- supervisées par l’Anssi. Car pour se mettre en conformité avec ces mesures, les banques devront probablement  tripler leur budget de sécurité IT, embaucher du personnel supplémentaire et augmenter de 30% les coûts d’exploitation de leurs systèmes informatiques critiques.

Sur les 1,5 milliard d’euros que la Société Générale va investir dans le digital d’ici à 2020, près de 5% sera consacré à la sécurité, alors que celle-ci ne pesait jusqu’à présent 2% à  du budget informatique annuel de la banque, en France. Outre atlantique, JP Morgan compte dédier plus de 500 millions d’euros à la cyber sécurité en 2016. Si les banques investissent massivement, elles le font non seulement pour dissuader les hackers, mais aussi pour rassurer les clients et soigner leur réputation.

Par Christophe Jolivet et Catherine Nohra China

Haut