Cybersécurité : des besoins encore loin d’être satisfaits

Courant 2019, le sujet de la cybersécurité a continué de gagner en puissance, pour apparaître parmi les préoccupations les plus importantes des établissements bancaires comme des compagnies d’assurance (lire notre article sur la tarification des cyber-assurances). Mi-2019, Deloitte a publié un rapport réalisé avec le Financial Services Information Sharing and Analysis Center (FS-ISAC) dans lequel la dépense moyenne des institutions financières en matière de cybersécurité était chiffrée entre 1 300 et 3 000 dollars par équivalent temps plein. Malgré ces efforts, des failles persistent jusque dans les sites des plus grandes banques mondiales… Autre indicateur de l’effervescence qui entoure ce sujet : les financements dans les start-up spécialisées se multiplient et leurs montants augmentent. 

Levées de fonds révélatrices

Pour ce début 2020, mind Fintech a donc répertorié les plus importantes levées de fonds d’entreprise de cybersécurité comptant des clients dans le secteur financier (voir notre tableau ci-dessous). Un panorama qui permet de constater l’apparition récurrente, parmi les investisseurs, d’institutions comme Goldman Sachs ou SoftBank. Un rapport de Wavestone établissait, en septembre 2019, un classement similaire dans un environnement strictement français.

À elles deux, ces listes démontrent un intérêt fort pour les entreprises créant des solutions de pointe dans la gestion de la cybersécurité (remontée des menaces et réduction des faux positifs, gestion des vulnérabilités, réponse aux incidents). Par la présence d’outils d’automatisation des processus de conformité, elles indiquent le croisement toujours plus fréquent entre ce second domaine et celui de la cybersécurité (lire, à ce sujet, notre interview du président de Digitemis et celle du cofondateur de Flare Systems). 

Enfin, on y trouve des entreprises de bug bounty, comme HackerOne, leader américain qui a levé 36,4 millions de dollars en septembre 2019, ou Yes We Hack, son pendant français, qui a signé une levée de 4 millions d’euros. Leur modèle permet de répondre au moins en partie à la pénurie de profils dans le domaine de la cybersécurité – un rapport de l’ISC2 a estimé qu’il manquait plus de 4 millions de professionnels dans le monde. Bref, comme le titrait TechCrunch en octobre 2019 : “la cybersécurité est une bulle, mais elle n’est pas prête d’exploser”.

Le secteur financier parmi les meilleurs élèves

Car les besoins en la matière sont loin d’être satisfaits, comme l’établissent par exemple deux études de Verizon. Le Payment Security Report dresse une cartographie de la conformité et de l’usage du standard spécifique PCI DSS (Payment Card Industry Data Security Standard, instauré pour la première fois en 2006 par American Express, MasterCard et Visa Inc., entre autres). Le Data Breach Security Report est plus large, mais détaille aussi ses résultats par industrie, démontrant par exemple, pour 2019, que les attaques par déni de service et l’usage de logins volés restent très fréquents sur les applications bancaires. 

Gabriel Leperlier, manager senior des activités de conseil en sécurité de Verizon pour la zone EMEA, fait un constat global : “les entreprises comprennent l’importance de se mettre à niveau en cybersécurité, elles développent des projets pour y arriver, mais ensuite, leur niveau de conformité retombe”. Une chute qu’il explique par une gestion sous forme de projet, plutôt que de programme ; cette méthode crée mécaniquement une problématique de maintien des standards et des process de protection des entreprises. Le secteur financier, note Gabriel Leperlier, fait partie des meilleurs élèves par rapport aux autres industries. “Mais à 40% d’entreprises conformes au standard PCI DSS, il présente encore une marge de progrès.” 

Le cloud, nouvelle source de failles ? 

Les points forts du secteur ? “La gestion des pare-feu, de la sécurité périmétrique et de la sécurité physique”, selon Gabriel Leperlier. Par essence, détaille-t-il, l’industrie sait se protéger de tout ce qui lui est extérieur. En revanche, “on constate que certaines machines en interne ne sont pas considérées comme dangereuses. Elles peuvent d’autant plus facilement être victimes de virus ou de programmes malicieux.” Les institutions financières éprouvent aussi des difficultés à conserver les logs (journaux d’activité), qui permettraient de tracer les accès aux systèmes. Un défaut qui complique la remontée à la source en cas de compromission, et donc la réponse à incident.  

Gabriel Leperlier alerte aussi sur un nouveau problème, qu’il s’attend à voir toucher toutes les industries : “les transitions se font de plus en plus vers le cloud, avec dans l’idée qu’il garantit une meilleure sécurité.” Il est certain que les fournisseurs de services en nuage réalisent des investissements plus conséquents que n’importe quelle autre industrie pour assurer la protection des données de leurs clients (lire à ce sujet l’intervention d’Eneric Lopez, directeur IA et développeurs de Microsoft France, dans le dossier les banques face au cloud). Mais parmi ces clients, déclare Gabriel Leperlier, “trop ont tendance à oublier qu’il faut aussi vérifier les sites et les serveurs qu’ils déploient dans ces nouveaux services.” 

Plus spécifique au secteur financier, le sim swapping (échange de carte SIM), qui permet d’outrepasser l’authentification forte, se fait plus fréquent. Dernière méthode connaissant un regain qui mérite attention : l’arnaque au président et/ou au directeur financier, éprouvée depuis longtemps. Pour Gabriel Leperlier, “elle est en croissance simplement parce que le gain est rapide”.

Les principales levées des start-up cyber en 2019