Les banques en première ligne face aux cyberattaques

le 10/10/2013 L'AGEFI Hebdo

Victimes d’actes croissants de malveillance informatique, elles musclent leur défense sans pouvoir éviter tous les risques.

Dans leur deuxième rapport sur les risques et les vulnérabilités du système financier de l’Union européenne, les superviseurs européens de la banque (EBA), de l’assurance (Eiopa) et des marchés (Esma) mettent en exergue la montée en puissance du risque de cyberattaques contre les banques. « Ce risque n’est pas nouveau, souligne Philippe Humeau, directeur général de NBS System, société spécialisée dans la sécurité informatique. Pour les pirates, les banques ont toujours constitué une sorte de Graal ultime puisque ce sont elles qui détiennent les clés du coffre. » Lorsque l’on regarde dans le rétroviseur, des attaques célèbres ont déjà été menées. En 1994, le mathématicien russe Vladimir Levin, avec le soutien de complices, avait pénétré dans la base de données centrale de Citibank pour détourner 10 millions de dollars sur des comptes à l’étranger.

En décembre et février derniers, des pirates ont réalisé le « cybercasse » du siècle en dérobant 45 millions de dollars sur des comptes bancaires détournés de Rakabank et Bank of Muscat, deux établissements basés aux Emirats Arabes Unis et à Oman. Des banques néerlandaises ont été frappées en avril dernier par une attaque DDoS (distributed denial of service) qui avait rendu inaccessibles pendant quelques heures les services sur internet et mobiles des banques concernées. « Les attaques DDoS consistent à faire tomber le serveur d’un site internet en envoyant des dizaines de milliers de requêtes à la seconde à partir d’ordinateurs corrompus », expose Fabien Cozic, expert en cybercriminalité chez Lexsi. Confrontées depuis de nombreuses années à ce risque, les banques ont mis en place des parades efficaces en éclatant leur système d'information sur une multitude de serveurs capables de prendre le relais lorsqu’un maillon de la chaîne est attaqué. « La plupart des grandes banques ont également adopté des dispositifs anti-DDoS qui consistent à déployer des tuyaux et des serveurs capables d’absorber 50 ou 100 fois la capacité normale de trafic », indique Philippe Humeau.

Informer et sensibiliser

Les banques se retrouvent en revanche plus démunies face au phishing et aux malwares bancaires car ce sont leurs clients qui sont visés. Le phishing consiste à attirer un internaute sur un site web identique en tous points à celui de sa banque pour lui demander d’entrer le login et le mot de passe de son compte bancaire. Les malwares sont, eux, de petits programmes qui s’installent sur l’ordinateur lorsque l’on ouvre une pièce jointe dans un mail, en général un PDF. « Le virus va ensuite identifier le login et le mot de passe lorsque l’internaute se connectera sur son site de banque en ligne, explique Benoît Micaud, consultant senior chez Lexsi. Ces informations seront ensuite revendues par les pirates sur le marché noir de la cybercriminalité entre 1 et 30 euros pièce. » La seule parade contre le phishing et les malwares est l’information et la sensibilisation des clients, comme le suggère Philippe Humeau : « Les banques doivent notamment leur rappeler en permanence qu’elles ne leur demanderont jamais de communiquer des informations confidentielles par e-mail. »

Mais les attaques les plus problématiques sont celles qui visent le cœur des banques, en s’appuyant parfois sur des complicités internes. Les pirates s’en prennent en effet de plus en plus aux équipements qui embarquent à l’intérieur un système d’exploitation : les caméras de surveillance, les photocopieurs, les fax, les imprimantes... « Une fois qu’ils ont pris le contrôle du système d’exploitation de l’appareil, les 'hackers' s’en servent comme tête de pont pour compromettre le réseau local et récupérer les informations qui les intéressent », rapporte Philippe Humeau.

Face à ces nouvelles menaces, les banques doivent se doter « de véritables stratégies de cybersécurité, conseille Nicolas Arpagian, directeur de recherche à l’Institut national des hautes études de la sécurité et de la justice (INHESJ). Cela passe par des audits réguliers, des messageries sécurisées pour le personnel, un plan de continuité d’activité opérationnel et à jour, et une organisation informatique ad hoc qui limite le risque de perte de données. Elles doivent également initier une veille des nouveaux modes opératoires et former tous leurs collaborateurs au risque numérique. » Un travail que la plupart des grandes banques réalisent déjà au quotidien, d’après Benoît Micaud : « S’il est aujourd’hui impossible de parer à 100 % des attaques, les systèmes d'information des banques ont évolué pour prendre en compte la sécurité et réduire leurs risques. »

A lire aussi