Cybersécurité

La menace liée au risque de cybersécurité dans le domaine IT est au cœur des préoccupations du top management tandis que de nombreux cas de grande ampleur se sont multipliés ces dernières années avec des impacts financiers significatifs et des risques d’image croissants. Les exemples représentatifs font la une des sites d’information : la ville de La Nouvelle-Orléans perturbée par une cyberattaque, 700 millions de dollars d’impact chez la société d’évaluation de la cote de crédit Equifax, EdenRed la maison mère de Ticket Restaurant victime d’une cyberattaque avec pour conséquence un recul immédiat du titre en bourse, un vol de données sur 106 millions de clients chez la banque Capital One. La question est désormais de savoir comment se prémunir contre le risque de cybercriminalité et quelles actions mener pour améliorer la protection des données et des systèmes d’information.

La définition la plus usuelle du risque cyber s’entend comme un risque découlant de toute atteinte malveillante potentielle, interne ou externe, à l’une des caractéristiques clés du système d’information d’un établissement financier que sont sa disponibilité, son intégrité, la confidentialité des données qu’il traite et la traçabilité des actions qui y sont menées.

La question qui se pose a trait aux mesures à mettre en place, immédiatement pour une protection sur la durée la plus efficace possible.

Des cas variés de cyberattaque

Selon l’AMF dans son étude publiée le 10 octobre 2019, la cybersécurité est toujours une menace majeure et ce depuis plusieurs années. Les risques s’articulent autour de trois principaux manquements identifiés : le cybermanquement d’initié, la cyberdiffusion de fausses informations et la cybermanipulation de cours. L’étude de l’AMF montre l’étendue de la cybercriminalité boursière et ses conséquences importantes, dans un contexte où, malgré la prise de conscience généralisée du risque cyber et des nouvelles lois relatives à la cybersécurité et à la protection des données personnelles, la coopération internationale des régulateurs reste difficile et le cadre juridique international encore peu adapté.

Le procédé le plus connu et le plus souvent utilisé reste le phishing ou hameçonnage (obtention de renseignements personnels dans le but de perpétrer une usurpation d’identité), premier type de cyberattaque à l’encontre des établissements financiers et l’humain, maillon le plus indispensable mais pourtant le plus faible des organisations, est trop souvent à l’origine d’une proportion importante des incidents de cybersécurité générés, malgré eux, par des collaborateurs. Le manque de sensibilisation et l’assiduité des hackers expliquent ce phénomène avec l’ouverture fréquente de mails douteux et des mots de passe trop souvent faciles à découvrir.  S’il y a moins d’attaques cyber, les attaques sont toujours plus sophistiquées et les entreprises sont de plus en plus la cible de tentatives avérées de fraude cyber. Les hackers choisissent souvent de se concentrer sur quelques cibles dont ils ont précisément identifié les failles, avec un mode opératoire toujours plus structuré.

Les process et taxonomies les plus souvent utilisés par les établissements financiers se focalisent également sur des risques opérationnels génériques tels que :

• Problèmes d’infrastructure, catastrophes et autres évènements (indisponibilité à long terme d’un bâtiment critique, destruction accidentelle d’archives)
• Cybersécurité (utilisation malveillante du système d’information)
• Fuite de données intrusion par un tiers

Les experts considèrent que le principal vecteur d’attaque sont les méthodes psychologiques, à savoir le Social Engineering. Seulement 3% des attaques exploitent les failles techniques et les techniques sont variées en plus du phishing :

• La plupart des attaques utilisent en plus les différents formats d’hameçonnage comme le vhishing (voice-over-internet) ou le smishing (SMS),
• La technique du Man-in-the-middle (interception d’une communication entre deux parties) doit également être évitée,
• Les attaques de rançongiciels sont aussi de plus en plus agressives et fréquentes.

Le nombre important d’incidents avérés amène au constat que les établissements financiers ne sont pas toujours suffisamment préparés pour empêcher les hackers de s’introduire dans leurs systèmes et de perturber leur activité à l’heure où une transformation numérique générale continue de se mettre en place. La menace est prise très au sérieux. Pourtant, différentes études montrent qu’une proportion importante (plus de 50%) des entreprises n’intègre pas de volet de cyberprotection dans leurs stratégies. En effet, ces entreprises déclarent qu’elles ne réussiraient pas à détecter une cyberattaque sophistiquée si elle devait se produire. Ces mêmes entreprises indiquent que la personne responsable de la cybersécurité ne siège pas toujours au conseil d’administration. Il est alors urgent pour les établissements bancaires de mettre en place les mesures appropriées pour être en conformité avec les exigences réglementaires (ECB SSM, GDPR, NIS Directive, e-IDAS, SOX, ISO 2700N, etc.) en vue de se protéger des impacts financiers potentiellement importants liés à des cyberattaques.

Une démarche d’analyse des risques à mettre en place dans les établissements financiers

À l’heure actuelle, la priorité est de plus en plus donnée au renforcement de la cybersécurité selon 3 axes : une gouvernance adaptée, une démarche d’analyse des risques et un focus sur les menaces selon les types d’établissements et d’activités. L’insuffisance récurrente dans la détection des attaques entraîne une nécessité d’organiser les réponses avec des temps de réaction toujours plus rapides. La compréhension du risque Cyber ne concerne pas seulement tous les acteurs dans le périmètre de l’établissement mais également tout l’environnement externe et l’écosytème digital : fournisseurs, prestataires de services, partenaires, services cloud, collaborateurs et clients. Cette compréhension est essentielle pour s’assurer que l’entreprise a la capacité d’apporter une réponse adaptée aux risques de cybersécurité. L’organisation interne de suivi doit permettre aux comités de direction d’avoir une bonne connaissance de la capacité de la fonction de Sécurité Informatique à répondre à la menace globale que représente la cybersécurité.

Vers une harmonisation de la taxonomie des incidents et une mesure d’impact commune

Il est dans l’intérêt des acteurs financiers de mieux connaître les tentatives d’attaques en catégorisant :

• Les attaques stoppées par la défense passive des établissements (anti-virus, pare-feu)
• Les tentatives bloquées suite à intervention
• Les attaques réussies.

Une taxonomie et une mesure d’impact harmonisée peuvent aider à :

• Comparer les situations (entre institutions, secteurs, pays, etc.).
• Évaluer l’importance des incidents
• comprendre la mesure de la gravité et de l’impact des incidents
• faciliter le diagnostic de la situation et prendre les mesures adéquates pour répondre plus rapidement aux risques.

En plus de la mise en place d’une taxonomie harmonisée des incidents Cyber et d’une évaluation des impacts potentiels, l’activation précoce d’une gestion de crise est un élément clé pour minimiser les impacts financiers.

Mise en place de principes d’action adéquats

L’élaboration d’un plan d’action à destination des équipes SOC (Security Operations Center) doit être réalisée pour améliorer la sécurité des systèmes et permettre de s’assurer de leur robustesse contre des attaques cyber. Des actions opérationnelles doivent être réalisées par le SOC, avec un management approprié pour s’assurer de la qualité des résultats :

• Vérifier les vulnérabilités, par exemple à l’aide d’un système de type Qualys (services de sécurité et de conformité dans le cloud) en vue de mettre une place un plan de remédiation,
• Identifier les attaques avec un SIEM (Security Incident and Event Management, Gestion de l’information et des évènements de sécurité) pour gérer les informations de sécurité et gérer les évènements, les produits et services logiciels concernés
• Identifier les mots de passes “faibles” grâce à des attaques par force brute (méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé)
• Cartographier les applications sensibles pour réfléchir à leurs évolutions
• Sensibiliser les utilisateurs par acculturation au sujet des menaces prioritaires type phishing, mails douteux, fraude au president ou fraude aux ordres de virement (FOVI)
• Partitionner les réseaux avec access list. 

La croissance des enjeux de sécurité informatique oblige les Directions des Risques Opérationnels à se positionner en tant que véritable seconde ligne de défense du dispositif de protection des actifs logiques. Une des difficultés principales que doivent gérer les institutions financières tient à la gouvernance et à la définition des niveaux de contrôle, les fameux LOD1 (première ligne de défense constituée des départements opérationnels) et LOD2 (activités de gestion du risque opérationnel de manière indépendante en qualité de seconde ligne de défense) que les Directions des Risques Opérationnels doivent intégrer avec des degrés de technicité adéquats.