Cybersécurité : les faiblesses du secteur financier feront-elles sauter la banque ?

La sécurité du système bancaire et financier est de plus en plus mise à l’épreuve avec la multiplication et la sophistication des cyberattaques. Entre solutions de protection et nouvelles législations, le secteur est-il prêt à lutter sur tous les fronts ?

En février dernier, plusieurs organismes financiers néerlandais annonçaient avoir été la cible d’une attaque massive par déni de service (Distributed Denial of Service ou DDoS) ayant paralysé la majeure partie de leurs services bancaires. Au même moment, un rapport publié par la banque centrale de Russie révélait que, depuis 2016, des hackers avaient détourné près de 5 millions d'euros en utilisant le réseau de communication interbancaire Swift.

Plus impressionnant encore : en 2016, des cybercriminels réussissaient à dérober la somme record de 81 millions de dollars à la banque centrale du Bangladesh. Et la liste des « cyberbraquages » est encore longue…

Les banques, une cible de choix à protéger en plus hauts lieux

Ces dernières années, le secteur bancaire est donc devenu une cible de choix pour la cybercriminalité. Rien d’étonnant, à en croire le responsable de la sécurité des systèmes d'information (RSSI) d’une grande banque française, qui préfère garder l’anonymat : « Le fait d’utiliser Internet comme ‘réseau de transport de fonds’ expose naturellement davantage le secteur bancaire. Et aiguise l’appétit des braqueurs 2.0. »

Une situation à très haut risque qui a entrainé, en 2013, la classification des principales banques françaises en Organismes d’Importance Vitale (OIV) dans le cadre du vote de la Loi de Programmation Militaire (lire plus bas).

Humaines, informatiques ou matérielles : les hackers sur toutes les failles

Suivant l’adage selon lequel La plupart des problèmes informatiques se trouvent entre le clavier et la chaise, les cybercriminels visent notamment les employés des banques, comme l’avait illustré l’affaire Carbanak en 2015. Un groupe criminel avait réussi à s’introduire sur les postes de travail d’employés d’une centaine de banques dans plus de 30 pays, y compris la France, par l’intermédiaire d’e-mails personnalisés (spear phishing ou hameçonnage ciblé). Ces e-mails avaient permis aux hackers d’infiltrer le système informatique des établissements bancaires en y installant des backdoors. Ces « portes dérobées », fonctionnalités inconnues de l'utilisateur, donnent un accès secret au poste de travail ou aux logiciels de la victime et permettent d’en surveiller les activités ou d’en prendre le contrôle.

L’imagination des hackers semble sans limite et les procédés sont variés. Le jackpotting, par exemple, consiste à vider les distributeurs automatiques à l’aide d’une simple clé USB et d’un ordinateur. En 2017, huit machines de deux banques russes ont ainsi été vidées de leur contenu en une seule nuit, pour un butin estimé à 800 000 dollars. Et l’histoire a bien failli se répéter en France, début 2018, quand un hacker a été pris en fragrant délit de piratage d’un distributeur automatique de billets de la Caisse d’Épargne. Il avait réussi à voler plus de 21 000 euros.

Les distributeurs de billets peuvent aussi être la cible de malwares (logiciels malveillants). Parmi les plus célèbres, Alice et Ripper peuvent être installés en passant par le réseau auquel est connectée la machine, ou directement sur son système d’exploitation à l’aide d’un port USB. Le célèbre groupe de cybercriminels Cobalt a ainsi sévi depuis 2013 dans une douzaine de pays européens pour un montant inconnu.

Autre méthode utilisée : les skimmers. Ces dispositifs physiques permettent de récupérer l’empreinte de la carte bancaire des utilisateurs (les uns reproduisant la façade de la machine, les autres s’installant dans le lecteur de carte du distributeur).

Ce sont les backdoors que les banques redoutent le plus

Annick Baudet, Senior Account Manager chez Stormshield

« Parmi tous ces procédés, ce sont indéniablement les backdoors installées par les cybercriminels qui inquiètent le plus les banques », explique Annick Baudet, Senior Account Manager chez Stormshield, « car ce genre de procédé ouvre potentiellement en grand et de manière persistante la porte de leurs systèmes informatiques. » D’où la nécessité pour les établissements bancaires de s’équiper de protections sophistiquées. Comme des pare-feux en double barrière : en utilisant des technologies différentes, on augmente ainsi considérablement les chances de détecter des flux malicieux. Ces solutions permettent en effet d’isoler le système informatique de la banque, en intercalant entre lui et Internet des mécanismes contrôlant la conformité des flux de données.

Des réglementations en série pour protéger le secteur bancaire

Face à cette menace, les institutions se mobilisent. L'Autorité des marchés financiers (AMF) et I'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont annoncé en février une coopération renforcée dans le domaine de la protection des systèmes d'information. L'ANSSI et l'Autorité de contrôle prudentiel et de résolution dans les secteurs de la banque et de l'assurance (ACPR) ont signé un accord similaire. Ces deux accords prévoient un échange régulier d’informations concernant les incidents affectant la sécurité des systèmes d’information, ainsi qu’une collaboration dans la gestion des crises éventuelles et en matière de sécurité informatique.

La réglementation, elle aussi, s’intensifie. Trois grands textes sont désormais incontournables :

  • la deuxième directive sur les services de paiement (DSP2) entrée en vigueur en janvier 2018,
  • le règlement européen sur la protection des données personnelles (RGPD), qui relève les exigences sécuritaires pour les entreprises à partir de mai 2018,
  • la directive Network and Information Security (NIS) de l’Union européenne, qui va imposer aux États membres de se doter d’autorités nationales compétentes en matière de cybersécurité et de renforcer la sécurité de leurs opérateurs de services essentiels. Après son entrée en vigueur le 9 mai prochain, les États membres auront 6 mois pour affiner leur sélection d’opérateurs.

À ces nombreuses réglementations s’ajoutent des textes déjà en vigueur comme la norme PCI DSS (Payment Card Industry Data Security Standard) pour la protection des données de carte bancaire, ou d’autres à venir comme le Customer Security Programme (CSP) porté par Swift.

Sans compter les initiatives plus « opportunistes » comme FIDO (Fast Identity Online), un protocole d’authentification forte pour les paiements en ligne soutenu par de grandes entreprises (Google, Microsoft, Amazon, Samsung, Lenovo, Gemalto…) qui souhaitent en faire le standard du marché en vue de l’arrivée de la DSP2 en Europe.

La LPM a défriché le terrain

La Loi de Programmation Militaire (LPM), votée en 2013, a été l’occasion pour la France de prendre une longueur d’avance sur certains autres pays en renforçant la sécurité informatique des « Opérateurs d’Importance Vitale » (OIV), organisations ayant des activités indispensables pour la population. Douze secteurs d’activité ont été ainsi identifiés, dont le secteur bancaire. Une attention toute particulière doit être réservée à la sécurité des systèmes d’information de ces OIV. Entre double barrière et solution qualifiée, l’ANSSI a publié en début d’année 2018 un guide des bonnes pratiques à destination des OIV pour la mise en place de leur solution de protection.

Au sein des banques, lacunes sécuritaires et manque de moyens humains

C’est dans ce contexte ultra-règlementaire qu’une étude menée par Accenture Security en 2016 révélait que près de 10% du budget informatique des banques était consacré à la cyber-sécurité. Pourtant, d’après le géant du conseil, le sujet est encore loin d’être perçu comme une priorité. Ce qui se traduirait notamment par un déficit de compétences internes, tant pour gérer la sécurité des applications sensibles ou des données clients, que pour mener la sensibilisation et les formations en interne.

« Nous assistons à un véritable paradoxe : alors que les systèmes d’information sont de plus en plus complexes, avec des charges d’exploitation sans cesse croissantes, le secteur bancaire, comme beaucoup d’autres, tend pourtant à réduire ses effectifs en interne », observe Annick Baudet.

Délicat équilibre entre sécurisation maximale et expérience utilisateur

Mais l’entrée en vigueur de la DSP2, qui inaugure le développement de l’open banking (accès aux comptes ouvert à des tiers), nécessitera des mesures de sécurité renforcées. L’un des enjeux sera de garantir une authentification toujours plus forte pour les clients, mais suffisamment simple pour ne pas les rebuter, au travers d’interfaces ergonomiques et efficaces. « Pour les banques, c’est un défi de taille, qui vient s’ajouter à d’autres sujets majeurs, comme celui de la LPM. Il est donc indispensable pour elles, compte tenu des enjeux, qu’elles se fassent accompagner », conclut Annick Baudet.

Partager sur

Pour assurer la sécurité des postes de travail les plus sensibles ou celle des systèmes de distribution de billets, Stormshield Endpoint Security fortifie le système d’exploitation en y assurant la protection d’exécution et assure le contrôle de tous les accès physiques, logiques et réseaux des terminaux (périphériques USB, réseau sans fil…).
Pour détecter puis identifier les machines du réseau qui auraient été comprises, Stormshield Network Security s’appuie sur la fonction Dynamic Host Reputation, basée sur la corrélation de signaux faibles émanant de l'analyse de trafic.

À propos de l'auteur

mm
Victor Poitevin
Digital Manager, Stormshield

Victor est le Digital Manager de Stormshield. Rattaché à la Direction marketing, sa mission est d'améliorer la visibilité du Groupe sur le web. Sites internet, réseaux sociaux, blogs... c'est tout l'écosystème de Stormshield qui est mis à contribution. Et pour répondre aux hautes ambitions numériques du Groupe, il s'appuiera sur ses différentes expériences, au sein de plusieurs grands groupes français et internationaux, ainsi qu'en agence de communication.