Les banques et les gestionnaires de fonds ont toujours été des cibles privilégiées d’attaques brutales et d’escroqueries en tous genres. La révolution numérique n’a fait que prolonger cette réalité vers ce qu’on appelle la cybercriminalité.
Auparavant, la relation client se déroulait avec des conseillers en direct et les documents en format papier étaient stockés dans le sous-sol des agences. Avec l’avènement des données digitales d’identification client et l’insertion des plateformes SaaS dans la chaîne de valeurs, les banques ont augmenté leur surface de vulnérabilités.
L’occasion de faire un état des lieux sur l’envergure de ce phénomène, les types d’attaques subies, les conséquences en matière de coûts directs et indirects et les solutions de protection mises en œuvre par les établissements.
Cybercriminalité et incidences informatiques : risque n° 1 désigné par les banques
Systèmes d’information, protection des données, continuité d’activité, la cybercriminalité est un véritable défi pour les banques. Les pirates profitent du big data (explosion des données), du déploiement de l’open banking pour s’infiltrer dans les failles des dispositifs. L’intégration des API (Application Programming Interface) fait partie des portes d’entrée potentielles, tout comme l’utilisation galopante du 100 % mobile.
En 2020, le Mécanisme de surveillance unique (MSU) cartographiait les risques pour les banques dans l’ordre suivant :
- « Cybercriminalité et incidences informatiques » ;
- « Défis d’ordre économique et politique » ;
- « Soutenabilité de la dette dans la zone euro » ;
- « Soutenabilité des modèles d’activité ».
Cartographie des risques pour les banques (MSU, 2020)[1]
Dans son rapport 2020 sur l’impact de la cybercriminalité, l’éditeur de logiciels MacAfee avance le chiffre de 1000 milliards de dollars pour estimer les pertes pour les entreprises dans le monde (+50 % depuis 2018). Le secteur financier fait office de tête de gondole, gestionnaire d’argent et de données client oblige !
Évolution du coût du cybercrime sur les entreprises (Mc Affee, 2020)[2]
Une étude IBM précise que 22 % des cyberattaques et incidents aperçus en 2021 ont été concentrés sur le secteur financier. Alors qu’il ne représente que 8 % du PIB, ce secteur arrive en deuxième place derrière le domaine manufacturier. Les acteurs financiers subissent un plus grand volume de cyberattaques, mais la moyenne de leurs pertes reste moindre grâce aux efforts investis dans la sécurité des systèmes d’information.
La pandémie a créé une autre fenêtre d’opportunités avec la mise en place dans de nombreux établissements le télétravail. Ce recours massif à ce mode de fonctionnement a été largement exploité par les cybercriminels, le Boston Consulting Group indiquant que les entreprises financières seraient 300 fois plus susceptibles d’être visées.
C’est le constat fait par la Banque de France dans son rapport de juin 2022 « Évaluation des risques du système financier » qui ajoute en plus la guerre russo-ukrainienne comme facteur de risque aggravant :
« La crise sanitaire a renforcé le recours aux outils de travail à distance, accroissant la surface d’exposition à des attaques informatiques, tandis que la guerre russo-ukrainienne donne une nouvelle actualité à la menace. »[3]
Quelles sont les cyberattaques contre les banques ?
Les attaques contre les banques peuvent provenir d’acteurs internes qui ont accès aux données clients ou d’acteurs extérieurs adeptes des logiciels malveillants (malware) et autres virus informatiques (spyware). La source peut également jaillir de groupes responsables de l’exploitation et la distribution des services, voire d’hébergeurs peu scrupuleux.
Les principales cyberattaques portées contre les établissements bancaires peuvent être réparties selon plusieurs catégories.
- Dans l’environnement externe.
- Le déni de service soit le refus temporaire d’accès à des informations suite à une malveillance.
- Le déni de service distribué (DDoS) qui consiste à abreuver de fausses requêtes un système pour le bloquer. Ici, le coût n’est pas le piratage de la donnée, mais l’interruption de service qui va nécessiter de le restaurer.
- Les attaques sur les terminaux (DAB physiques, espaces client en ligne, paiements dématérialisés, applications mobiles, etc.) pour implanter des malwares ou des spywares.
- Les attaques par chaînes d’approvisionnement qui sont un moyen de contourner les mesures de sécurité instaurées par les banques. Les pirates infiltrent des tiers de confiance ou abusent du service informatique d’un sous-traitant auquel les banques s’interconnectent.
- Sur le piratage de données sensibles.
- Le phishing (ou hameçonnage) qui consiste à utiliser un faux message en apparence authentique pour cliquer sur un lien entraînant vers un faux serveur sur lequel sont récupérées les données de la personne ou de l’entreprise. Celles-ci peuvent alors être exploitées directement ou revendues.
- Le ransomware (ou logiciel rançonneur type cheval de Troie) venant chiffrer les données personnelles pour verrouiller l’ordinateur. Le pirate propose alors de donner une clé cryptographique pour résoudre le problème en contrepartie d’une somme d’argent versé sous forme de crypto actif intraçable. On parle de cyberextorsion.
- Les déplacements latéraux font suite à l’introduction dans un système (hôtes de script, stockage de fichiers, etc.). Ils décrivent la manière de procéder d’un attaquant qui exploite ses droits d’accès initiaux pour explorer un environnement. Son but est de procéder à une escalade des privilèges, c’est-à-dire l’obtention d’autorisation d’accès encore plus élargis.
« Les déplacements latéraux représentent 25 % de l’ensemble des attaques. Des hôtes de script (49 %) aux systèmes de stockage de fichiers (46 %) en passant par PowerShell (45 %), les plateformes de communication professionnelle (41 %) et .NET (39 %), les cybercriminels exploitent tout ce qu’ils ont sous la main pour sonder les réseaux des entreprises en profondeur »
(VMware, 2022)[4].
Cybercriminalité : les coûts et les solutions pour les banques
Le coût moyen direct de la cybercriminalité pour les banques, les assurances et les marchés de capitaux atteindrait 18,5 millions de dollars selon un rapport d’Accenture Security. Ce chiffre est supérieur de 40 % par rapport au coût annuel moyen tous secteurs d’activités confondus. Si la Banque de France est plus prudente devant la difficulté de chiffrer le montant, les coûts indirects sont tout aussi impactant.
L’image d’un établissement victime est forcément écornée aux yeux de la clientèle. L’effet négatif sur la réputation de la marque, du produit ou du service est un frein immédiat et durable de la croissance. En effet, le lien de confiance est primordial. La crainte d’une menace pour la stabilité financière est également en jeu, au même niveau que le niveau d’endettement des états et des entreprises ou qu’un retournement boursier.
Les autres coûts cachés comprennent :
- les coûts d’opportunité :
- perte de productivité ;
- réduction des dépenses dans la recherche et développement ;
- comportement d’aversion risque ;
- hausse des dépenses de cyberdéfense.
- le temps d’arrêt du système qui provoque une efficacité réduite avec des heures de travail perdues pour les collaborateurs.
Pour lutter contre ce danger, les banques n’ont pas toutes le même niveau de protection. Néanmoins, les dépenses de cybersécurité augmentent notamment en incluant la gestion des vulnérabilités et des risques dans leur stratégie. Les campagnes de sensibilisation permettent d’informer les utilisateurs. La mise en place de plan de prévention et d’équipes dédiées est sans conteste une autre clé.
Part des organisations ayant un pan de prévention et de réponse face aux incidents de sécurité[5]
La vigilance de tous les instants doit prédominer pour répondre à l’évolution de la cybercriminalité. Dans un monde concurrentiel, la protection des données clients est un facteur différenciant pour les banques privées et un axe de compétitivité à valoriser.
« Notre solution s’appuie sur des standards élevés en matière de protection des données et de cybersécurité avec un Data Protection Officer » The Hokus Plateform
[1] https://www.bankingsupervision.europa.eu/ecb/pub/ra/html/ssm.ra2020~a9164196cc.fr.html
[2] https://www.mcafee.com/enterprise/en-us/assets/reports/rp-hidden-costs-of-cybercrime.pdf
[3] https://publications.banque-france.fr/sites/default/files/medias/documents/2022_s1_ersvf.pdf#page=37
[4] https://www.vmware.com/content/microsites/learn/en/1553238_REG.html
[5] https://www.mcafee.com/enterprise/en-us/assets/reports/rp-hidden-costs-of-cybercrime.pdf