Les cybermenaces poussent les banques à veiller sur leur écosystème

L’année 2023 démarre avec une forte préoccupation concernant la cybersécurité. C’est le risque numéro un aux yeux des professionnels des services financiers, selon le 12e Baromètre des risques publié par Allianz. Et même si quelques groupes de hackers ont été démantelés grâce à la coopération internationale, comme Revil l’an dernier en Russie ou plus récemment Hive Spider, producteur de ransomwares, les cyberattaques restent à un niveau élevé. L’Agence nationale de sécurité des systèmes d’information (Anssi), dans son Panorama de la cybermenace 2022, avertit qu’il ne faut pas se fier aux chiffres : même si le nombre d’attaques semble baisser, « le niveau général de la menace se maintient en 2022 avec 831 intrusions avérées contre 1.082 en 2021. »

En réalité, les modes opératoires se perfectionnent. « Les acteurs malveillants poursuivent l’amélioration de leurs capacités à des fins de gains financiers, d’espionnage et de déstabilisation, explique l’Anssi. Les attaquants cherchent à obtenir des accès discrets et pérennes aux réseaux de leurs victimes. Ils tentent de compromettre des équipements périphériques qui leur offrent un accès plus furtif et persistant aux réseaux victimes. Le ciblage périphérique confirme l’intérêt pour les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l’écosystème plus large de leurs cibles finales. » Les TPE, PME et ETI, qui constituent 40 % des rançongiciels traités ou rapportés à l’Anssi, sont particulièrement touchées, de même que les collectivités territoriales et les hôpitaux publics.

Au niveau mondial, Chainalysis estime que les rançons versées aux attaquants par ransomware ont baissé de 40 % en 2022, ce qui représente 457 millions de dollars contre 766 en 2021. Explications : les victimes sont plus réticentes à payer par peur d’enfreindre la réglementation ou elles ont investi davantage dans les moyens de sauvegarde et de récupération de données.

Confiance et résilience

Dans la sphère financière, les investissements en cybersécurité se mesurent en dizaines de millions d’euros et en centaines de personnes. Une question de confiance à préserver. Et les régulateurs européens et nationaux ont élevé leurs exigences par le biais des lois françaises de programmation militaire, du règlement européen sur la protection des données personnelles, des directives NIS 1 et 2 (Network and Information Security), du Cyberresilience Act sur les produits digitaux… Le règlement Dora sur la résilience opérationnelle met l’accent sur la résilience ou capacité à anticiper et détecter les problèmes (défauts ou attaques) pour pouvoir reconstruire rapidement les systèmes endommagés et poursuivre l’activité, mais aussi sur les prestataires techniques. « Le grand sujet pour les banques est celui des tierces parties, les partenaires et fournisseurs qui, de fait, sont intégrés dans le périmètre sécuritaire de la banque, explique Matthieu Garin, associé chez Wavestone. Dora fait progresser les banques en exigeant qu’elles inventorient les systèmes d’information critiques, y compris externes, et qu’elles définissent des mesures adaptées de protection et de reconstruction en cas de défaillance. »

Une étape supplémentaire vers une cybersécurité accrue, qui englobe largement l’écosystème des établissements financiers. Or ces derniers ont déjà atteint un niveau de maturité cyber plus avancé que les autres secteurs d’activité, d’après le benchmark sécurité de Wavestone : le secteur finance obtient un indice de 58,3 % contre 48,9 % pour les autres. « Ce savoir-faire en cybersécurité, suggère Matthieu Garin, pourrait même devenir un atout commercial pour fidéliser une clientèle de PME qui n’ont pas assez de moyens pour se protéger au mieux. Elles pourraient ainsi accéder à une offre de services comme la sensibilisation, la formation ou la surveillance de leurs systèmes, voire des contrats d’assurance cyber. » Certaines offres existent déjà, tel Oppens, spin-off de la Société Générale. La gamme ne demande qu’à s’étoffer.