Cyberattaques : comment les services financiers s’organisent

Très ciblés et depuis long­temps par les cyber­cri­mi­nels, les ser­vices finan­ciers sont par­mi les plus avan­cés en matière de pro­tec­tion. S’ils sont très atten­tifs aux risques et bien équi­pés pour les anti­ci­per et les évi­ter, ils doivent tou­te­fois s’as­su­rer que leur chaîne logis­tique est aus­si rési­liente qu’eux.

Aman­da Creak est res­pon­sable du risque tech­no­lo­gique en Europe, au Moyen-Orient et en Afrique (EMEA) pour Gold­man Sachs. Ce « risque tech­no­lo­gique » désigne tous les risques encou­rus par la banque d’in­ves­tis­se­ment liés aux tech­no­lo­gies numé­riques. Et ils sont nom­breux, sur­tout pour les éta­blis­se­ments finan­ciers. Près de 90 % des cybe­rat­taques dans le monde sont moti­vées par le gain finan­cier. Il s’a­git soit de voler pure­ment et sim­ple­ment de l’argent, soit de ran­çon­ner par­ti­cu­liers et entre­prises, ou encore de déro­ber dans les sys­tèmes d’in­for­ma­tion tout ce qui peut ensuite se revendre : infor­ma­tions, don­nées, bre­vets, coor­don­nées, iden­ti­fiants et mots de passe, etc.

Pour un éta­blis­se­ment finan­cier comme Gold­man Sachs, le cyber-risque est l’une des prin­ci­pales pré­oc­cu­pa­tions. « Non seule­ment, l’en­semble de nos pro­ces­sus sont numé­ri­sés mais tous nos équi­pe­ments sont connec­tés, des ordi­na­teurs de bureau aux impri­mantes, jus­qu’à l’air condi­tion­né ! « La plu­part des ins­ti­tu­tions finan­cières de taille attirent les cyber­cri­mi­nels », explique Aman­da Creak. Pas­sion­née par la cyber­sé­cu­ri­té depuis le début de sa car­rière, Aman­da a sou­hai­té rele­ver le défi que repré­sente la ges­tion d’un pro­gramme de sécu­ri­té d’en­ver­gure dans un éta­blis­se­ment finan­cier. « En tant que banque d’in­ves­tis­se­ment, nous avons beau­coup d’in­for­ma­tions confi­den­tielles et donc sen­sibles, ce que nous appe­lons les Mate­rial non public infor­ma­tions, les MNPI. Il s’a­git d’in­for­ma­tions rela­tives à des opé­ra­tions de fusion, d’ac­qui­si­tion, des intro­duc­tions en bourse, des inves­tis­se­ments, etc. Mais nous sommes éga­le­ment une banque de détail en ligne, nous devons donc pro­té­ger nos clients de tous les crimes liés à l’argent ». Et la mis­sion est com­plexe, tant les risques et les attaques évo­luent rapi­de­ment et se renou­vellent sans cesse.

Cepen­dant, la sécu­ri­té d’un éta­blis­se­ment finan­cier ne ser­vi­rait à rien si sa chaîne logis­tique n’é­tait pas elle aus­si hau­te­ment sécu­ri­sée. « Nous sommes dans un sec­teur régle­men­té et la cyber­sé­cu­ri­té est prise en compte dans les régle­men­ta­tions, les stress tests, etc. Mais nous devons nous assu­rer que nos pres­ta­taires et nos par­te­naires, qui ne sont pas for­cé­ment sou­mis aux mêmes régle­men­ta­tions que nous, ont un niveau de sécu­ri­té équi­valent au nôtre », explique Aman­da Creak. Il n’est pas tou­jours facile de deman­der à un four­nis­seur de res­pec­ter des règles très contrai­gnantes quand il ne fait que réap­pro­vi­sion­ner la socié­té en four­ni­tures de bureau ou en café… De même, avec une majo­ri­té du per­son­nel en télé­tra­vail au plus fort de la pan­dé­mie de Covid-19, des solu­tions adap­tées ont per­mis de main­te­nir le même niveau éle­vé de sécu­ri­té à domi­cile qu’au bureau.

Pour Gold­man Sachs, la ges­tion de la sécu­ri­té infor­ma­tique passe par la mise en place de contrôles à tous les niveaux, assu­rant un usage appro­prié des sys­tèmes infor­ma­tiques. « Nous cor­ri­geons les zones de vul­né­ra­bi­li­té que nous iden­ti­fions, et contrô­lons très stric­te­ment l’u­sage de clés USB, que seules quelques dizaines de per­sonnes peuvent uti­li­ser ». Des ten­ta­tives d’at­taque, d’in­tru­sion et de ran­çon­ne­ment, ain­si que des che­ckups et des patchs sont régu­liè­re­ment pra­ti­qués pour éva­luer les consé­quences et tes­ter la rési­lience du sys­tème. Pour que cet éta­blis­se­ment qui a vu le jour en 1869 reste un acteur majeur de la finance mon­diale pen­dant encore longtemps.