Comment réagir face à une cyberattaque ?

Le secteur financier est l’un des plus touchés par la cybercriminalité. Il concentrait 17% des cyberattaques relevées dans le monde en 2018, à égalité avec le secteur des technologies, et 30% de celles constatées dans la zone Europe Moyen-Orient Afrique, selon NTT Security. Au Royaume-Uni seul, sur la même période, le nombre de cyberattaques à l’encontre du secteur financier a quintuplé. Quant au FMI, il estimait l’an dernier que ces cyberattaques “pourraient faire subir aux institutions financières des pertes allant de 9% de leur bénéfice net à la moitié de leurs bénéfices dans le pire des scénarios”.

Pour Michael Bittan, associé responsable des activités cyber risques chez Deloitte, ce constat n’est pas une surprise : “les banques ont probablement toujours été les premières cibles. Comme au Far West, les criminels se disent que c’est là qu’il y a de l’argent et que les gains les plus rapides peuvent être obtenus.” En ce qui concerne le cybercrime, la logique est la même. “Avec la dématérialisation, l’appât du gain s’est même dédoublé, ajoute Julien Maldonato, associé innovation chez Deloitte. Il y a l’enrichissement direct, puisqu’on peut voler des actifs, et puis des motifs plus géopolitiques pour des organisations qui cherchent à mettre à mal un système pour déstabiliser un pays entier.”

Prévenir pour mieux guérir

Résultat : la première réponse est la prévention. C’est peut-être aussi parce qu’elles sont les plus attaquées que les institutions financières sont les mieux défendues. “Cela fait plus de vingt ans que le secteur travaille sur le sujet, les infrastructures ont plutôt tendance à être très bien protégées”, note Michael Bittan. Pour le consultant, les vulnérabilités se révèlent ailleurs, “plutôt dans les couches applicatives, car elles ont un caractère de nouveauté qui peut être synonyme de failles.” Cela n’empêche pas que les banques aient besoin d’innover, ce qui passe par le développement d’API, pour répondre aux exigences de la DSP2 par exemple, ou par l’externalisation vers le cloud. L’enjeu est de parvenir à le faire tout en restant aussi protégé que possible.

Dans un rapport réalisé avec le FS-ISAC (Financial Services Information Sharing and Analysis Center), Deloitte estime d’ailleurs que les dépenses en matière de cybersécurité représentent de 6% à 14% du budget informatique des institutions financières, soit de 0,2% à 0,9% de leur chiffre d’affaires. Un dernier indicateur est celui de 1 300 à 3 000 dollars dépensés en cybersécurité par équivalent temps plein (ETP), avec une moyenne à 2 300 dollars. Les initiatives sont multiples : “on parle d’exercices de crise, d’audits réguliers sur les infrastructures, la couche applicative ou la composante humaine… Il s’agit d’anticiper et de se préparer”, souligne Michael Bittan.

Malgré tout, les attaques surviennent, et cela d’à peu près n’importe où. “Un pirate informatique peut s’en prendre à l’employé de banque, au distributeur automatique de billet, aux transactions interbancaires, aux applications…”, énumère Félix Aime, chercheur en sécurité au Kaspersky Lab. “Il est tout à fait possible d’attaquer la banque du coin pour tenter ensuite de remonter jusqu’au siège”, ajoute le spécialiste. Michael Bittan, de son côté, différencie deux scénarios principaux : “soit le système de monitoring fonctionne très bien, l’attaque est détectée dans l’heure et tout s’arrête parce qu’on coupe l’accès ; soit il y n’y a pas de remontée d’alerte, ou bien tardivement.” Dans ce cas, l’assaillant peut devenir dormant pendant quelques mois, puis avancer progressivement jusqu’à arriver au centre névralgique : “c’est une logique quasi-militaire”.

Quelle que soit la méthode employée, le résultat peut être spectaculaire, comme lors de l’attaque de la Banque du Chili en mai 2018 : un virus a d’abord été introduit dans son système, la forçant à déconnecter 9 000 ordinateurs pour protéger les comptes de ses clients. Cette attaque n’était qu’un leurre : pendant que les équipes techniques tentaient de résoudre la crise, les criminels en profitaient pour utiliser le réseau SWIFT et initier une série de transactions frauduleuses, siphonnant 10 millions de dollars des caisses de l’établissement.

La réponse à incident, une course contre le temps

L’interconnexion des réseaux et des activités bancaires fait justement qu’en cas d’attaque, l’entreprise visée doit jouer sur deux tableaux : la réponse technique, d’une part, et la réponse légale d’autre part. Dans les deux cas, l’impératif est d’agir rapidement.

L’urgence consiste à repérer l’attaque pour la confiner et réussir à estimer si elle vise les systèmes, les données de l’entreprise qui auraient fuité, ou les deux à la fois. Cela consiste à lancer des sondes et des systèmes de détection, isoler le périmètre, vérifier les logs [logging, ou journal : type de fichier permettant de stocker l’historique des évènements survenus sur un ordinateur ou un serveur heure par heure, minute par minute ou plus précisément]. Si l’attaque est en cours, “surtout, on ne débranche pas de peur que l’attaquant ne nous voit, et qu’il disparaisse en effaçant ses traces”, explique Michael Bittan.

Car le second objectif est de remonter la piste de l’attaquant afin d’identifier sa porte d’entrée. Dans ce cas, la banque peut faire appel à une société d’informatique légale (forensics), qui saura analyser les traces laissées par le ou les hackers tout en en conservant leur intégrité (une nécessité en cas de procédure judiciaire). “Une fois la vulnérabilité identifiée, explique Laure Zicry, directrice cyber assurance Europe de l’Ouest chez Willis Towers Watson, on applique les correctifs nécessaires (afin que la vulnérabilité ne soit pas à nouveau exploitée) et on identifie quels sont les fichiers qui ont été consultés, copiés ou même écrasés”.

S’il s’agit d’une attaque par rançongiciel, il faut aussi déterminer le montant de la rançon, même si l’auteure d’Enjeux et maîtrise des cyber-risques (Ed. L’Argus de l’assurance) souligne que “les entreprises ne paient pas les rançons généralement, même l’ANSSI est contre.” En parallèle, il s’agit aussi de relancer les activités à partir de sauvegardes. “Il peut s’agir de clones de la veille ou de l’avant-veille, détaille Michael Bittan. Ça peut monter jusqu’à une semaine ou quinze jours d’écart avec la version qui vient de se faire attaquer.” Et de mettre en oeuvre les plans de crise.

qui sont les opérateurs d’importance vitale ?

Douze secteurs d’activité sont reconnus comme d’importance vitale (SAIV) selon l’arrêté du 2 juin 2006, modifié le 3 juillet 2008, et inscrit au code de la défense : les activités civiles de l’Etat, ses activités militaires, les activités judiciaires, l’espace et la recherche, la santé, la gestion de l’eau, l’alimentation, l’énergie, les communications électroniques (audiovisuel et information), les transports, l’industrie et la finance.

Parmi ces secteurs, les opérateurs publics ou privés dont la cessation temporaire ou permanente des activités serait dangereuse pour la Nation sont considérés comme d’importance vitale (OIV). “Dans la finance, il y en a quatre, explique Laure Zicry (les noms de ces entreprises sont classés secret défense, ndlr). Ce statut signifie que s’ils sont cyber attaqués, ils doivent tout de même continuer de fonctionner.” Ces acteurs sont soumis à des exigences de (cyber)sécurité plus stricte que les autreset doivent répondre à des standards particuliers. “Bref, qu’ils ont déjà réalisé de gros investissements en matière de cybersécurité”, résume Laure Zicry.

L’article 22 de la loi de programmation militaire de 2013 a ajouté un échelon de sécurité en imposant aux OIV de renforcer le niveau de sécurité de leurs systèmes d’information critiques. Cela a donné lieu à la création des systèmes d’information d’importance vitale (SIIV). Si l’un d’eux est touché par une cyberattaque, son propriétaire doit le déclarer tout de suite au Premier ministre et à l’ANSSI, qui pilote la partie cyber du dispositif SAIV.

Côté légal, les obligations sont nombreuses. Selon Nicolas Arpagian, expert en cybersécurité et auteur de La cybersécurité aux Presses Universitaires de France, “les banques sont le domaine non régalien le plus réglementé” en la matière. Laure Zicry ajoute que “la charge est double : aux réglementations bancaires s’ajoutent celles propres à la sécurité des systèmes d’information”.

Cela implique notamment la directive Network and Information System Security (NIS), adoptée par les institutions européennes le 6 juillet 2016 et qui vise à harmoniser les niveaux de cybersécurité à travers l’Europe. Des réglementations sectorielles existent aussi, comme celles de la Banque centrale européenne, “parmi lesquelles on trouve des limites de stress tests techniques à ne pas dépasser, par exemple”, détaille Nicolas Arpagian, ou les guidelines sur lesquelles planche actuellement l’Autorité bancaire européenne. Puis viennent les réglementations nationales, qui font qu’en France, par exemple, “si les systèmes d’information d’importance vitale (SIIV) d’une banque sont touchés, celle-ci doit le signaler sans délai à l’ANSSI”, relève Laure Zicry. Sans oublier l’obligation de notifier la CNIL sous 72 heures en cas de pertes de données, etc.

Réponse coordonnée

Tout au long de la réponse à incident, les équipes techniques de la banque touchée peuvent être accompagnées de conseils, voire de prestataires supplémentaires (Orange Cyberdéfense, Wavestone, Thalès ou Sopra Steria par exemple). Alexis Nardone, responsable risques IT chez GM Consultant, explique : “les groupes ont souvent des contrats de Security Operating Center (SOC) avec des prestataires. Il s’agit d’avoir une veille permanente du système d’information et une activation des équipes externes en cas de besoin, car les effectifs de sécurité internes aux entreprises sont généralement limités au regard de toutes les prestations qu’ils doivent réaliser.” Intervenants internes et externes s’associent donc le temps de bloquer les hackers et de remettre les opérations en route, avec, si besoin, un chef d’orchestre comme peut l’être GM Consultant.

Cette société de conseil travaille justement avec des assureurs, qui peuvent la solliciter en cas de besoin dans des domaines plus vastes que la seule dimension financière. Car des contrats de cyber assurance existent, qui prévoient des services d’accompagnement des assurés dans la gestion de leur crise cyber. Mais selon Michael Bittan, d’une part l’assureur ne peut pas tout couvrir – notamment les problématiques de réputation et d’image -, d’autre part, recourir à l’aide d’une société tierce, au sens d’un acteur qui ne connaîtrait pas les systèmes de l’entreprise qu’il doit assister, n’est pas idéal.

“Pour un acteur qui ne maîtrise pas l’architecture du système de la banque visée, ni ses dernières mises à jour, il y aura toujours un moment de découverte”, explique-t-il. Pour cet expert en cybersécurité, “il s’agit d’une perte de temps, même si ce n’est pas toujours l’avis du client”. La plupart des experts interrogés par mind Fintech s’accordent sur ce point : mieux vaut se tourner vers un interlocuteur qui connaît déjà les rouages car il pourra travailler directement à la réponse à incident. “La limite de l’exercice, note tout de même Alexis Nardone, c’est d’avoir un même prestataire chargé de la construction du système et de sa sécurité. Mis face à ses propres erreurs, il pourrait être moins efficace qu’un deuxième intervenant dont la seule activité serait de sécuriser cette architecture.”

Est-il possible, alors, de s’assurer contre des telles attaques ? Le risque cyber est tellement nouveau et complexe qu’il est illusoire d’obtenir une couverture complète. Des offres existent néanmoins, et un courtier comme Willis Towers Watson les segmentent en trois volets : l’assistance / gestion de crise, la responsabilité civile, qui intègre les coûts de l’enquête, les frais engagés pour alléger une éventuelle sanction, voire une prise en charge de tout ou partie de la sanction, et les dommages (perte d’exploitation, cyber extorsion, pénalités contractuelles et frais de remise en état). Car après la réponse directe à l’incident, vient encore l’étape la plus longue, celle de l’investigation. C’est lors de cette phase que l’on commencera par vérifier la couverture assurantielle, selon Alexis Nardone. Car au moment où se déclenche la crise, il s’agira surtout de parer au plus pressé.

comment se protéger des erreurs des autres ?

“Les risques majeurs viennent souvent des partenaires, des fournisseurs, de co-traitants ou des sous traitants”, lâche Michael Bittan. Une entreprise aura beau pousser les curseurs de sécurité au maximum, à partir du moment où elle donne accès à ses données ou à une partie de son système d’information à quelqu’un d’autre, elle aura moins de contrôle. Un paradoxe à l’heure de l’ouverture des systèmes, de l’exportation vers le cloud et du développement d’API diverses ? Un peu, mais “le niveau d’investissement dans le cyber est élevé dans les institutions, et les banques, comme les télécoms, demandent de plus en plus souvent des audits sur leurs partenaires et leurs sous-traitants”, souligne Michael Bittan. Des audits à l’issue desquels les banques peuvent aider les entreprises concernées à atteindre un niveau de sécurité acceptable.

L’autre option – une nécessité dans le milieu de la (cyber)sécurité – passe par l’échange d’informations. Les Computer Emergency Response Team (CERT), qui peuvent être gouvernementales, sectorielles, ou propres à une entreprise, ont précisément le rôle de “centraliser un certain nombre d’informations importantes provenant de banques, de gouvernements, voire d’autres secteurs”, explique Nicolas Arpagian. “Les hackers ont tendance à vouloir reproduire une attaque qui a fonctionné”, continue-t-il : partager les découvertes de la première entreprise touchée dans ce type de structure peut permettre de protéger les autres. L’ANSSI, enfin, met à disposition du public une liste de systèmes de détection (ceux de Gatewatcher et Thalès) et de prestataires de détection (Orange, Sogeti, Sopra Steria) qu’elle certifie. Une démarche utile aussi bien pour se protéger des erreurs des autres que des siennes.