La cybersécurité veut lever davantage de troupes

Une simulation de cyberattaque transfrontalière visant le secteur financier. Non pas le dernier jeu en ligne à la mode, mais l’exercice conjoint de gestion de crise du G7, qui doit se dérouler début juin sous la coordination de la Banque de France. Il faut dire que le risque « cyber » « demeure un problème de sécurité majeur pour toutes les institutions financières », lançait François Villeroy de Galhau, le 10 mai, en prélude à une conférence sur la coordination de la protection du secteur. Le gouverneur de la Banque de France qualifiant ce risque d’« industriel » et de « systémique », du fait de l’interconnexion des systèmes bancaires.

« Le système d’information est l’actif le plus critique du secteur financier, convient Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique (Cesin). La digitalisation a augmenté la surface d’attaque et, dans le même temps, les cyberattaquants, qui comptent des puissances étatiques, se sont organisés. » D’où des attaques de plus en plus sophistiquées... et dangereuses.

De fait, « les ‘hackers’ ont longtemps visé les clients via le ‘phishing’ ou la fraude à la carte bancaire, explique Marc Andries, inspecteur à la Banque de France et chef de mission contrôle sur place à l’Autorité de contrôle prudentiel et de résolution (ACPR). Aujourd’hui, ils ciblent directement les environnements des établissements avec des attaques dites DDoS (distributed denial-of-service), qui consiste à saturer un site pour empêcher aux clients d’y accéder. Il y a également des intrusions visant à dérober des données ou de l’argent (la banque centrale du Bangladesh a été délestée de 81 millions de dollars en 2016) ou encore les fraudes aux ordres de virements. »

Pas assez de jeunes formés

Pour contrer et anticiper ces menaces, des Cert (computer emergency response team) ont été mis en place dans les principales organisations. Au sein du Cert Banque de France, « Il y a les ‘rouges’ et les ‘bleus’, détaille Bertrand Peyret, secrétaire général adjoint de l’ACPR. Les premiers lancent des attaques et les second doivent les détecter. » Pour certains de ses contrôles sur place, l’APCR intègre d’ailleurs la réalisation de tests d’intrusion avec le concours de la « red team » de la Banque de France. « Il faut toujours s’entraîner pour être constamment en alerte, car le risque est protéiforme et peut être léthal », insiste-t-il.

Les fintech se mettent au diapason. Qonto, néobanque dont la cybersécurité est, pour l’heure, assurée par un responsable de la sécurité des systèmes d’information (RSSI) aguerri, avec l’aide de prestataires externes, entend se constituer une équipe interne dédiée. « Du fait de la réglementation et de nos enjeux business – nous ajoutons de nouvelles fonctionnalités et nous nous développons à l’étranger –, c’est un élément clé, confirme son cofondateur Alexandre Prot. Nous espérons intégrer cette année deux ou trois développeurs chargés de tester nos services pour en débusquer les failles éventuelles et identifier les moyens de renforcer la sécurité de manière continue. »

Menace grandissante – « Le risque ne diminuera pas et nous allons devoir vivre avec », insiste Marc Andries – et réglementation beaucoup plus contraignante (DSP2, RTS, RGPD, NIS, LPM) : autant dire que la filière cybersécurité a grand besoin de compétences. Or, « il n’y a pas assez de jeunes formés et préparés à ces métiers », souligne Bertrand Peyret. « Ce qui nous sauve, ce sont les reconversions d’informaticiens dans la sécurité », confirme Alain Bouillé. Pour le président du Cesin, ce sont plutôt les entreprises d’audit et de conseil qui font la sortie des écoles : « Elles ont besoin de ‘pentesters’, pour les tests d’intrusion. Ces ingénieurs peuvent rester dans la technique, évoluer vers des fonctions de supervision sécurité en SSII, puis devenir analystes dans le ‘security operations center’ (SOC) d’une banque. » L’autre grande voie d’évolution étant, dit-il, le management de la sécurité des systèmes d’information, qui mène au poste de RSSI.

Mais le risque cyber ne relève pas de la seule responsabilité de la DSI ou du RSSI. Les directions des risques doivent également s’impliquer. « Tout le monde est concerné, appuie Marc Andries. Depuis le dirigeant jusqu’au collaborateur qui, dans un mail, peut cliquer sur un mauvais lien. Il s’agit d’avoir une vision du risque de bout en bout. » Alexandre Prot ne dit pas autre chose : « Il faut développer une culture de la sécurité dans l’entreprise. »

Une problématique à laquelle entend justement répondre le nouveau MBA2 Cybersécurité proposé à la rentrée prochaine par Financia Business School. « Il ne s’agit pas d’une formation technique, expose Yves Veret, le directeur de programme, mais d’une spécialisation très opérationnelle qui doit permettre aux managers d’exercer leur métier au XXIe siècle. C’est-à-dire en comprenant le risque cyber, en sachant l’évaluer et s’en protéger. Une dimension aujourd’hui incontournable de la fonction managériale. »