Les banques françaises s’organisent face au risque cyber

Rassurant.Malgré quelques absences, la Place financière de Paris a mené mi-juin un exercice de cyberattaque contre les principaux groupes bancaires «dont les objectifs ont été atteints». Précisément, il s’agissait de simuler une attaque sur le système d’information de certaines banques avec des effets sur les virements, la liquidité, les paiements de gros montants entre acteurs financiers et les activités de marché. L’exercice a mobilisé 24 entités et 800 participants. «Les mécanismes internes visés et les mécanismes de Place ont pu être déclenchés, des réponses appropriées et rapides ont été apportées à la situation exceptionnelle que le scénario décrivait», explique la Banque de France, qui a piloté l’exercice.

Un exercice qui arrive à point nommé : «Nous avons vu dans nos statistiques de façon très massive à partir de fin mars, précisément deux semaines après la mise en place du télétravail, une hausse des attaques issues de pays non européens, très significative», illustre Julien Gueguen, responsable de la sécurité des systèmes d’informations du groupe Crédit Mutuel Arkéa. L’explication est toute trouvée pour Marc Andries, responsable du réseau d’experts sécurité informatique de l’Autorité de contrôle prudentiel et de résolution (ACPR), le superviseur français. «La pandémie Covid-19 a précipité une pratique massive de télétravail dans les entreprises, ce qui a fait apparaître de nouvelles vulnérabilités, explique-t-il. La surface d’attaque informatique des entreprises s’est ainsi accrue, car les modalités d’accès à distance des collaborateurs au système d’information des entreprises n’étaient pas toujours au meilleur niveau de protection, et aussi parce que ces accès ont parfois été rendus possibles depuis des équipements personnels.»

Le danger n’est pas nouveau. «Une attaque peut survenir à tout moment et les entreprises doivent avoir conscience qu’elles peuvent être plus particulièrement visées lors de certains temps forts, comme les assemblées générales. Extérieurs à leurs organisations, certains événements significatifs ou mouvements de protestation, comme les manifestations des Gilets jaunes, sont également susceptibles de déclencher des attaques», rapporte Bernard Gavgani, global chief information officer chez BNP Paribas.

«Le niveau d’aujourd’hui ne sera pas le niveau de demain»

«Nous considérons que les systèmes d’information bancaires sont bien plus matures que beaucoup d’industries. Premières victimes d’attaques, elles ont dû se renforcer assez rapidement», se rassure Michaël Bittan, responsable des activités cybersécurité d’Accenture en France. Globalement, elles consacrent entre 8% et 10% de leur budget informatique à la question. Les intéressés restent très prudents sur leur organisation, craignant de donner des indices aux pirates. «Nous mettons toutes les mesures en place afin d’éviter une propagation en cas d’attaque ; à titre d’exemple des sas sont créés spécifiquement à cet effet. Par ailleurs, nos systèmes intègrent la possibilité de recréer l’ensemble des données pour le cas où les back-up ne seraient pas suffisants. Enfin, nous sensibilisons nos collaborateurs en interne en partageant avec eux des mails de type frauduleux afin qu’ils puissent à l’avenir les identifier plus facilement», précise Bernard Gavgani. Un autre responsable de sécurité informatique explique à L’Agefi miser sur le hacking éthique, qui permet de simuler des attaques de pirates pour repérer les points faibles des systèmes de sécurité.

Michaël Bittan dresse néanmoins un tableau qui diffère selon les acteurs : «Les grandes banques sont bien protégées. Les banques régionales, qui appartiennent à un grand groupe avec un organe centralisé qui ne préconise que les solutions (sans une obligation de mise en œuvre) ont un niveau moins élevé mais en nette progression. Les petites banques privées ont un niveau très perfectible qui ne tiendrait pas longtemps face aux cyberattaques qu’on peut constater chez les banques systémiques.» Globalement toutefois, «la menace évolue trop rapidement du fait des ransomware qui nourrissent des alliances criminelles très puissantes avec beaucoup de fonds. Si les banques sont à un bon niveau, le niveau d’aujourd’hui ne sera pas celui de demain ».

La vraie crainte partagée discrètement par toutes est d’être la première banque qui verra sa défense percée par une attaque. Comme le résume Julien Gueguen, «personne ne comprendrait qu’une banque soit piratée».

La question réglementaire

En attendant, les contrôles sont fréquents. «Le mécanisme de supervision européen piloté par la BCE, auquel participe l’ACPR, est très attentif au risque informatique et cyber. En nombre, les inspections sur place consacrées à ce sujet viennent chaque année depuis 2017 en troisième place derrière le risque de crédit et les sujets de gouvernance ou de contrôle interne», détaille Marc Andries. Cela donne lieu à un rapport d’inspection puis à des recommandations selon l’écart avec les réglementations, et à un suivi jusqu’à la mise en place des corrections.

Depuis 2017, les banques ont dû intégrer trois grands textes : la deuxième directive sur les services de paiement (DSP2), le règlement européen sur la protection des données personnelles (GDPR), et la directive Network and Information Security (NIS), qui a élargi à de nombreuses entreprises l’obligation de renforcer leur cybersécurité dans la veine de la loi de programmation militaire (LPM). Mais des limites existent encore. «Les banques sont aussi composées d’activités jugées non vitales qui requièrent pourtant au moins autant d’intérêt», juge le responsable informatique d’un grand groupe français. «Une banque ne peut pas riposter à une attaque», déplore de son côté Bernard Gavgani, alors que Julien Gueguen estime que «la pression réglementaire grève la capacité d’innovation et d’agilité». Même si, selon les deux experts, cette réglementation permet au secteur d’être l’un des plus avancés dans le domaine.