Coordonner la cyberdéfense de façon multilatérale
La France préside le G7, qui réunira les plus grandes puissances économiques à Biarritz, du 23 au 26 août 2019. A cette occasion, une conférence sur le thème de la cybersécurité du secteur financier s’est déroulée le 10 mai dernier. Le ministre de l’Économie et des Finances, Bruno Lemaire, a plaidé pour une convergence des règles entre les pays afin de lutter plus efficacement contre ce fléau : « Beaucoup de pays ont mis en place leurs propres règles. Mais elles seront inutiles si elles ne sont pas basées sur une approche coordonnée ».
Alerte sur un risque systémique
Bruno Lemaire pointe un effet d’aubaine pervers que suscite cet écart réglementaire. Certains acteurs financiers pourraient être tentés de minimiser leur coût, en transférant leurs ressources informatiques vers des pays moins stricts en la matière. Conséquence pour le locataire de Bercy : les cybercriminels pourraient « cibler les régimes les plus faibles, mettant ainsi en péril l'ensemble du système financier mondial ». Et la menace est tangible : le secteur de la finance connaît une hausse des cyberattaques bien plus élevée que les autres secteurs d’activité (65 % de plus).
Simuler l’infection d’un composant technique
La stratégie consiste donc à faire converger les réglementations des états car la cybercriminalité est « un risque industriel pour chaque institution financière et aussi un risque systémique », dixit François Villeroy de Galhau, gouverneur de la Banque de France. Pour muscler cette prise de conscience, une simulation de cyberattaque transfrontalière dans la finance est programmée au début du mois de juin. L’exercice piloté par la Banque de France durera trois jours et impliquera vingt-quatre autorités financières de sept pays. La simulation portera sur l’infection d’un composant technique, Bruno Lemaire martelant que, si la cybersécurité semble être une problématique technique, elle est en réalité politique.
Quelles cyberattaques subit l’industrie financière mondiale ?
Dans un rapport sur les cybermenaces financières paru au début de l’année, Thales et SEKOIA note quatre types de cyberattaques : le piratage des distributeurs automatiques de billets, les menaces sur les banques mobiles, le vol de données de cartes de crédit et les ordres financiers frauduleux passés par le réseau SWIFT des transactions interbancaires. La somme des transactions annulées s’élève à 1112 milliards de dollars (pour 131 milliards de dollars de pertes réelles). Qui sont les cyberpirates ? Thales et SEKOIA recensent des groupes de cybercriminels organisés mais aussi des états, des hacktivistes et des pirates isolés.
La banque mobile massivement frappée
Si le smartphone est devenu l’outil principal pour consulter ses comptes bancaires ou faire des achats en ligne, il attire les convoitises des pirates informatiques qui surfent sur les évolutions des technologies et des comportements. Ils subtilisent les identifiants bancaires grâce à des maliciels, prenant le contrôle à distance du téléphone portable et contournant le système d’authentification par sms (d’où les mesures d’authentification forte imposées par la DSP2). Autres angles d’attaque : le vol de données bancaire sur les sites e-commerce et l'assaut sur les briques logicielles de la supply chain (chatbots, fonctionnalités de fidélité, etc.).
Les attaques d’ingénierie sociale en plein boom
Pour autant, les mesures de cybersécurité prises par les banques ont été bénéfiques, notamment pour protéger l’infrastructure bancaire et sécuriser les sites web et les applications mobiles. Mais les fraudeurs s’adaptent en délaissant leurs stratégies sophistiquées pour revenir à des stratégies d’escroquerie classiques. C’est le cas des attaques d’ingénierie sociale : les APP pour Authorised Pushed Payments (paiements poussés autorisés). Le procédé est simple : les fraudeurs échangent directement avec les usagers bancaires en se faisant passer pour un collaborateur de la banque afin de les inciter à réaliser un paiement. La transaction faite, l’argent disparait, le fraudeur aussi.
Sensibilisation des clients et grille de lecture commune des acteurs
Les solutions passent par une meilleure éducation des clients et le développement d’outils permettant de repérer des signaux d’alerte sur des agissements anormaux selon le profil du client concerné. Sabine Lautenschläger, membre du directoire de la Banque centrale européenne (BCE), évoque aussi le manque de ressources humaines dédiées et l’inconséquence en matière de prise en compte des cyberrisques des banques à lancer certains services sous la pression de la concurrence. François Villeroy de Galhau invite donc à travailler sur une « catégorisation commune » des cyber incidents, les rapports ne délivrant « que peu d’informations pour mesurer l’intensité et la sophistication des menaces et leur évolution ».