Les banques s’arment contre les rançongiciels

Qualifiés par l’Agence nationale de la sécurité des systèmes d’information (Anssi) de « menace informatique la plus sérieuse », les ransomwares (ou rançongiciels) sont en pleine expansion. Les signalements d’attaques de ce type auraient en effet augmenté de 255 % en 2020, d’après un rapport de l’Anssi (192 signalements contre 54 en 2019). Et cette hausse semble se poursuivre en 2021 : pas une semaine ne passe sans que des attaques par ransomware aient lieu. Dans ce contexte, quel est le risque pour une banque d’être touchée ?

D’après une étude menée en septembre 2020 par Veritas Technologies dans 21 pays, le secteur financier figure à la troisième place des cibles plébiscitées par les hackers : 63 % des entreprises interrogées dans ce domaine ont déjà été la cible d’attaques par ransomware (contre une moyenne de 42 % tous secteurs confondus). « Les entreprises de la finance et les banques seront toujours des cibles privilégiées en raison de leur richesse présumée et de la valeur des données privées et financières dont elles disposent », soutient Jean-Pierre Boushira, VP Europe South chez Veritas Technologies.

Autre élément qui pourrait donner envie aux cyberattaquants de s’en prendre aux établissements bancaires : leur forte dépendance à leurs systèmes d’information. « Les conséquences d’une attaque seraient très importantes étant donné que les activités bancaires nécessitent une hyper-disponibilité des systèmes d’information : les conseillers ne pourraient plus répondre aux besoins des clients, les distributeurs automatiques de billets ne fonctionneraient plus, les ordres ne pourraient plus être passés dans le cadre des activités de gestion d’actifs… », décrit Ezechiel Symenouh, expert du cyber-risque chez Gras Savoye Willis Towers Watson. Autrement dit, une banque touchée par un ransomware serait encline à payer la rançon pour recouvrer son système d’information.

« Supply-chain attack »

Même s’il juge les ransomwares comme le risque cyber principal, Sylvain Thiry, responsable de la sécurité des systèmes informatiques du groupe Société Générale, estime que « les systèmes de protection des banques peuvent se montrer plus performants que ceux d’autres entreprises ». Un constat partagé par David Luponis, associé Mazars en charge des questions de cybersécurité : « Les banques sont sans doute mieux protégées, au moins en Europe occidentale. L’Autorité de contrôle prudentiel et de résolution et l’Autorité des marchés financiers imposent beaucoup de choses. Certaines banques sont soumises à la loi de programmation militaire, d’autres à la directive NIS (Network and Information Security). Et c’est, de manière historique, un secteur dans lequel on investit plus qu’ailleurs dans la sécurité informatique ».

Par ailleurs, les établissements bancaires mettent tout en œuvre pour se remettre rapidement de ces attaques et éviter ainsi d’avoir à payer les rançons. « Nos process IT possèdent une certaine maturité (process de sauvegarde, process externalisés, etc.) qui peuvent nous permettre de poursuivre notre activité et de ne pas payer la rançon exigée », avance Sylvain Thiry. Le groupe Société Générale a beaucoup investi dans la protection et la détection et travaille désormais davantage sur des scénarios d’interruption de l’activité, et notamment sur les actions immédiates à adopter en cas d’attaque. « Si la capacité de détection est importante, la capacité à gérer une crise est stratégique », résume Sylvain Thiry.

Les banques ne doivent pas se sentir invulnérables car la créativité des cyberattaquants est sans limite. David Luponis rapporte l’épisode SolarWinds de décembre dernier : en passant par l’intermédiaire de ce fournisseur de solutions, des cyber-attaquants ont réussi à atteindre le système d’information de grandes entreprises et administrations. « C’est ce qu’on appelle la ‘supply-chain attack’, explique l’expert. La cible n’est pas attaquée directement mais par un tiers, qui est le prestataire de la cible. Si ce n’est pas nouveau, c’est de plus en plus répandu. » L’attaque de Sopra Steria en octobre 2020 visait-elle les grandes banques dont cette entreprise de services numériques est prestataire ? Les banques peuvent en effet être attaquées via un fournisseur, surtout via des filiales situées dans des pays moins en avance sur le sujet de la sécurité informatique.