La parole à François Charbonnier, chef adjoint de la coordination sectorielle à l’Agence nationale de la sécurité des systèmes d’information (Anssi)

« La cybersécurité doit être traitée par les dirigeants »

le 05/10/2017 L'AGEFI Hebdo

 François Charbonnier, chef adjoint de la coordination sectorielle à l’Agence nationale de la sécurité des systèmes d’information (Anssi)

Quels sont les risques spécifiques pour la gestion d’actifs ?

Dans le secteur financier, la gestion d’actifs est, au même titre que l’assurance-vie, beaucoup moins préparée à ces sujets que la banque. Des attaques non ciblées peuvent détruire tout un réseau, et des attaques ciblées déstabiliser une société de gestion. Le fait que celle-ci ne détienne pas les avoirs ne réduit pas les risques, ils sont juste différents. Idem pour la nécessité d’avoir de bonnes connaissances financières – les pirates en avaient démontré dans le cas de la Bangladesh Bank, qui avait nécessité une modification des processus Swift en 2016, d’autant que l’attaque peut aussi venir d’un salarié. Les sociétés doivent être très attentives à l’attribution des droits.

Comment améliorer la prévention ?

Mener à une réflexion de place profiterait à tout le secteur d’activité, car c’est à ce niveau que se mesure la confiance des clients. Des attaques à craindre porteraient d’ailleurs sur la modification de données bancaires afin de détourner les versements à destination des clients. La sensibilisation des salariés reste un sujet majeur avec 10 % d’e-mails ouverts sans méfiance... De même pour la gouvernance : la cybersécurité doit être traitée par les dirigeants. Un exercice de simulation de crise peut leur ouvrir les yeux : avoir une liste des actions et communications à mener dans l’urgence, une idée des différentes responsabilités et des actions que d’autres mèneront... Il faut vérifier en amont ce que prévoient les contrats avec les prestataires, passer en revue les règles de réactivité et de réversibilité afin de garder la main si nécessaire. Anticiper peut aussi amener à avoir un système et des postes non connectés et indépendants, en plus des postes de secours. Enfin, il faut déculpabiliser les utilisateurs du système afin qu’ils signalent tout élément anormal sans se croire à l’origine des dysfonctionnements.

A lire aussi