Risque cyber : quelles sont les tendances en 2019?

Au niveau mondial, le secteur financier est le plus touché par des cyberattaques selon le Global Threat Intelligence Report 2018 de NTT Security. En 2017, leur nombre a augmenté de 26%, après une hausse de 14% l’année précédente. Parmi les plus flagrantes de ces dernières années, figure l’attaque contre le réseau interbancaire Swift qui, en février 2016, a permis de dérober 81 milliards de dollars à la banque centrale du Bangladesh par l’intermédiaire de son compte auprès de la Fed de New-York.

Compte tenu de la violence d’attaques comme NotPetya ou WannaCry, qui ont chacune infecté plusieurs centaines de milliers d’ordinateurs à travers le globe, les questions de cybersécurité préoccupent autant les Etats que les entreprises. Pour ces dernières, le risque cyber est plus redouté que celui des catastrophes naturelles. Dans le secteur financier, il occupe même la première place des menaces redoutées.

La pression est telle que le Fonds monétaire international a cherché à estimer les risques pesant sur le système. Selon l’institution, “à l’échelle mondiale, les cyberattaques pourraient faire subir aux institutions financières des pertes allant de 9% de leur bénéfice net (sur la base des données historiques) à la moitié de leurs bénéfices dans le pire des scénarios”.

Danger protéiforme

Ces dommages financiers peuvent être catégorisés de deux manières. D’une part, des coûts directs sont liés à la remise en état des systèmes informatiques en état, à l’information des clients, à la gestion des litiges ou au règlement d’amendes le cas échéant, etc. D’autre part, des coûts indirects découlent des pertes de chiffre d’affaires causées par les attaques, du vol d’éventuelles informations stratégiques ou encore de l’augmentation de primes d’assurance après le sinistre. Face à ces dangers, un rapport de l’Institut Montaigne estime que les banques sont les entreprises les plus mûres en matière de cybersécurité. Parmi elles, Société Générale annonçait par exemple en 2017 le financement d’un programme dédié de 650 millions d’euros sur trois ans.

Néanmoins, les banques restent fragiles face à des attaques que Gerome Billois, associé spécialisé dans la cybersécurité chez Wavestone, classe en quatre catégories. “Il y a d’abord les actions qui visent les clients, celles au travers desquelles on prend le contrôle de leur ordinateur ou de leur téléphone avant d’accéder à leur application bancaire. Viennent ensuite les attaques classiques contre des sites web. Elles utilisent souvent le déni de service [un afflux massif et simultané de requêtes qui rend le service hors d’usage, ndlr] et représentent le bruit de fond de la cybercriminalité contre le secteur financier. Suivent ensuite des attaques plus ciblées, le jackpoting par exemple, qui consiste à analyser physiquement un distributeur automatique de billet, le percer pour avoir accès à son système informatique et y placer un piège. Cela relève encore d’une forme de petite criminalité“, ajoute l’expert, mais ce type d’attaque s’est multiplié sur la fin de l’année 2018.

Enfin restent les attaques les plus violentes, celles qui visent les banques elles-mêmes, leur infrastructure et/ou les réseaux qui les lient les unes aux autres. “Dans ce domaine, on a vu le niveau d’astuce de ces attaques ainsi que le montant des fonds détournés augmenter au fil des années 2017 et 2018, souligne Gerome Billois. Ces attaques peuvent être “cyber-physiques” ; les malfaiteurs s’introduisent dans les locaux de la banque pour se raccorder à son réseau puis en pénétrer l’infrastructure informatique. Autre stratégie : détourner l’attention des équipes de sécurité avec une première attaque, puis en lancer une autre. C’est ce qui s’est passé en juillet 2018, lorsque des assaillants ont détruit 9 000 ordinateurs de Banco de Chile pour siphonner 10 millions de dollars de ses caisses pendant que les services en charge de la cybersécurité avaient le dos tourné. Les attaques ont aussi une vraie tendance à se concentrer sur des systèmes de paiement comme Swift, puisque celui-ci est utilisé à peu près partout, ajoute Gerome Billois. Ou bien sûr des banques de pays en développement, car elles sont connues pour être moins sécurisées”.

Un travail de définition dans l’assurance

Dans l’assurance, les enjeux sont doublement complexes : il s’agit non seulement de sécuriser les infrastructures et les données des clients mais aussi d’imaginer l’assurance de demain, celle qui parviendra à dédommager de manière adéquate les victimes de cyberattaques. Des offres existent déjà, surtout à destination des professionnels, centrées sur la sensibilisation, l’évaluation du risque, l’accompagnement et/ou la couverture des dégâts subis par les entreprises sinistrées.

Mais la qualification et l’évaluation du préjudice ne sont pas encore des tâches aisées, si l’on en juge par le procès intenté par le groupe agroalimentaire Mondelez à l’assureur Zurich. Ce dernier, via sa filiale américaine, a refusé de l’indemniser pour les dommages subis lors de l’attaque NotPetya de juin 2017 en invoquant une clause d’exclusion pour les dommages causés par “un acte hostile ou un acte de guerre” mené “en temps de guerre ou de paix” par “un gouvernement ou un pouvoir souverain”.

Des solutions à différentes échelles

L’ampleur de la lutte contre le cyber risque se traduit, à l’échelle mondiale, par une insuffisance de compétences et de ressources qui complexifie la gestion de la cybersécurité. Cela dit, les initiatives pour aider à la sécurisation des systèmes d’information – et des données en général – se multiplient. La Banque centrale européenne par exemple, propose de déployer des “red teams” – ceux qui jouent le rôle des assaillants, par opposition à la blue team, les salariés qui doivent faire face à l’attaque – pour tester la résistance aux intrusions, et sensibiliser à ces problématiques par la même occasion. La BCE a mis au point un cadre de travail TIBER-EU pour que les banques déploient ce genre de tests, et y explique que, dans l’idéal, chaque institution a besoin de quatre types d’outils différents : ceux en amont, qui doivent empêcher qu’il y ait une attaque, ceux de détection, qui repèrent les anomalies, des outils de remédiation ou d’analyse une fois le problème établi, et les outils de correction, qui doivent permettre de colmater les brèches. La BCE prévient tout de même que ces dispositifs sont coûteux à mettre en place.

Par ailleurs, Sandra Tobler, CEO et co-fondatrice de l’entreprise suisse de cybersécurité Futurae Technologies, estime que “la finance est une industrie très mûre en matière de cybersécurité, comparé au autres acteurs économiques”. Le secteur de l’assurance est un peu en retrait, notamment parce que leurs équipes d’ingénieurs sont moins développées, explique la dirigeante. L’un des problèmes, constate-t-elle, c’est que, partout, les connaissances techniques manquent.

“Toutes les questions de sécurité, qu’elles soient liées à l’infrastructure interne, aux personnes et objets physiques, à la gestion des parties externes, etc., sont sans cesse ajoutées à la liste des missions de l’équipe en charge des systèmes d’information”, ajoute Sandra Tobler. Mais “les équipes métiers des ces industries ne se rendent tout simplement pas compte de la complexité que représentent les tâches de sécurisation”. Sandra Tobler plaide donc pour un partage des compétences entre les cadres des unités métiers et IT, pour une meilleure efficacité. Et promeut la collaboration entre institutions.

Si une collaboration peut sembler paradoxale, elle est en réalité défendue par des acteurs de la technologie, de la cybersécurité et du secteur financier. Dans son rapport “Reinventing the Internet to secure the digital economy”, Accenture conseille ainsi trois étapes, aussi bien à l’échelle des entreprises que des secteurs d’activités dans leur entier, pour mieux sécuriser les systèmes d’information : d’abord, réaliser de vrais investissements technologiques pour assurer les fondations techniques de chaque entreprise. Ensuite, intégrer la sécurité “by design” dans l’architecture des activités de l’entreprise et la prendre en compte dans les questions managériales. Promouvoir le responsable de la sécurité des systèmes d’information (RSSI) au comité de direction de l’entreprise peut par exemple aider à mieux prendre en compte les problématiques de cybersécurité au quotidien. Enfin, Accenture, comme Sandra Tobler, se font les avocats d’une coopération et d’une gouvernance globale pour mettre en place des standards de cybersécurité, au moins par secteur d’activité. Au Canada, c’est une attitude qu’ont par exemple adopté les dirigeants de la Banque Nationale et de Desjardins, deux géants de la finance, en lançant CyberEco.