Les banques françaises se préparent aux cyberattaques russes

Les tensions en Ukraine inquiètent les autorités bancaires européennes sur le volet cyber. Après avoir demandé des précisions aux banques concernant leur exposition à l’Europe de l’Est, la Banque centrale européenne (BCE) les a appelées à renforcer leurs contrôles des risques notamment face à de potentielles cyberattaques de la part de groupe affiliés à la Russie, ont confirmé à L’Agefi plusieurs sources bancaires. Une alerte qui a pris une autre dimension quand l’agence américaine de la cybersécurité et la sécurité des infrastructures (la CISA) a avisé à son tour les groupes européens de ce risque, rapporte une source à L’Agefi.

Déstabiliser nos sociétés

Si les banques françaises se disent conscientes de la menace, elles expliquent aussi ne pas constater, pour le moment, une augmentation des attaques. «Le conflit entre l’Ukraine et la Russie a déjà commencé à s’étendre au cyberespace et pourrait donc très bien toucher certaines banques européennes, et plus largement des infrastructures critiques», confirme toutefois Gérôme Billois, associé de Wavestone et expert en cybersécurité. Déjà, l’Ukraine a accusé la Russie d’être derrière les attaques qui ont touché plusieurs de ses sites gouvernementaux à la mi-janvier, «une manifestation de la guerre hybride que la Russie mène contre l’Ukraine depuis 2014», a résumé le ministère ukrainien de la Transition numérique. La Russie est, en effet, loin d’être une petite pointure dans le domaine. Interrogés, le ministère de l’Economie, des Finances et de la Relance et l’Agence nationale de la sécurité des systèmes d’information (Anssi) n’ont pas souhaité réagir.

C’est surtout la dimension internationale de ces tensions géopolitiques qui nourrit les craintes d’attaques en dehors de l’Ukraine. «L’alerte de la BCE est fondée. L’idée de la Russie dans ce conflit serait de déstabiliser nos sociétés et il est évident qu’attaquer les banques avec les conséquences potentielles que l’on connaît serait facteur de désordre public», explique Nicolas Arpagian, directeur stratégie cybersécurité de Trend Micro et ancien vice-président d’Orange Cyberdéfense. «D’autant que, parmi les sanctions discutées en cas d’invasion de l’Ukraine, on trouve la coupure de l’accès au réseau interbancaire Swift, qui effectue les transactions financières pour la majorité des groupes bancaires. Il pourrait s’agir d’une sorte de réponse numérique anticipée de la part de Moscou», abonde Gérôme Billois.

Les banques françaises accélèrent leurs vérifications

Ces alertes sont entendues par les responsables de la sécurité des systèmes d’information (RSSI) des banques. «L’alerte de la BCE va faire réagir et inciter les banques à vérifier, une nouvelle fois,que tout fonctionne correctement. Mais aussi à accélérer la réparation de failles considérées jusqu’ici comme moins importantes», juge Gérôme Billois. A l’occasion de la présentation des résultats du processus de contrôle et d’évaluation prudentiels (Supervisory Review and Evaluation Process, Srep) qu’elle a conduit en 2021, la BCE a mis l’accent sur le personnel disponible et sa compétence ainsi que sur la réalisation de tests d’intrusion. «On nous a dit de tester nos systèmes d’information de façon très claire», précise le RSSI d’une grande banque tricolore.

Mais l’alerte du régulateur américain change la donne. Les banques américaines ont remonté des menaces qui les amènent à corriger des lignes de code sur des failles considérées jusqu’ici faibles ou moyennes. «Pour les banques françaises, cela devrait se traduire par une obligation forte de corriger des niveaux de régularités considérés jusqu’ici plutôt faibles ou moyens, sur Windows par exemple. On comprend ainsi que des méthodes utilisées ou à venir vont être exploitées pour rendre inopérants ces systèmes», détaille à L’Agefi le RSSI d’une grande banque. Dans l’ensemble, les groupes bancaires jouent la prudence et accélèrent leurs vérifications ces derniers jours.

Un des secteurs les mieux protégés

«Ces alertes ne vont pas changer la manière dont nous traitons les menaces pour autant», tempère un banquier. «Le secteur bancaire français est l’un des mieux avancés en termes de protection. Si personne n’est à l’abri, le corpus juridique et les moyens mis sur la table par les banques assurent un niveau de protection avancé», détaille Nicolas Arpagian. Les banques sont en effet considérées comme des «opérateurs d’importance vitale» et sont ainsi obligées d’appliquer un certain nombre de règles de sécurité. «La France est le premier pays à être passé par la réglementation pour mettre en place un dispositif efficace et obligatoire de cybersécurité de ces infrastructures critiques», rappelle l’Anssi. En outre, elles consacrent en moyenne entre 8% et 10% de leur budget informatique, en hausse depuis plusieurs années, à cette question.

Dans ce contexte de danger croissant et de tensions géopolitiques, les différentes initiatives dans ce domaine prennent une dimension particulière. Au niveau européen, le projet de règlement de la Commission européenne, Dora (Digital Operational Resilience Act), qui vise à améliorer la résilience opérationnelle informatique des banques entre autres, est attendu courant 2022. Il prévoit notamment de renforcer la conduite de tests d’intrusion.

Mais les acteurs français croient plutôt aux bienfaits du Campus Cyber, que le président de la République et quatre ministres inaugurent ce mardi, et qui doit permettre de fédérer et de rassembler l’ensemble de l’écosystème de la cybersécurité dans l’Hexagone. Les banques ont joué un rôle particulier dans le projet : «C’est une initiative majeure, qui va permettre de traiter les sujets opérationnels nationaux», se réjouit un banquier.