Très ciblés et depuis longtemps par les cybercriminels, les services financiers sont parmi les plus avancés en matière de protection. S’ils sont très attentifs aux risques et bien équipés pour les anticiper et les éviter, ils doivent toutefois s’assurer que leur chaîne logistique est aussi résiliente qu’eux.
Amanda Creak est responsable du risque technologique en Europe, au Moyen-Orient et en Afrique (EMEA) pour Goldman Sachs. Ce « risque technologique » désigne tous les risques encourus par la banque d’investissement liés aux technologies numériques. Et ils sont nombreux, surtout pour les établissements financiers. Près de 90 % des cyberattaques dans le monde sont motivées par le gain financier. Il s’agit soit de voler purement et simplement de l’argent, soit de rançonner particuliers et entreprises, ou encore de dérober dans les systèmes d’information tout ce qui peut ensuite se revendre : informations, données, brevets, coordonnées, identifiants et mots de passe, etc.
Pour un établissement financier comme Goldman Sachs, le cyber-risque est l’une des principales préoccupations. « Non seulement, l’ensemble de nos processus sont numérisés mais tous nos équipements sont connectés, des ordinateurs de bureau aux imprimantes, jusqu’à l’air conditionné ! « La plupart des institutions financières de taille attirent les cybercriminels », explique Amanda Creak. Passionnée par la cybersécurité depuis le début de sa carrière, Amanda a souhaité relever le défi que représente la gestion d’un programme de sécurité d’envergure dans un établissement financier. « En tant que banque d’investissement, nous avons beaucoup d’informations confidentielles et donc sensibles, ce que nous appelons les Material non public informations, les MNPI. Il s’agit d’informations relatives à des opérations de fusion, d’acquisition, des introductions en bourse, des investissements, etc. Mais nous sommes également une banque de détail en ligne, nous devons donc protéger nos clients de tous les crimes liés à l’argent ». Et la mission est complexe, tant les risques et les attaques évoluent rapidement et se renouvellent sans cesse.
Cependant, la sécurité d’un établissement financier ne servirait à rien si sa chaîne logistique n’était pas elle aussi hautement sécurisée. « Nous sommes dans un secteur réglementé et la cybersécurité est prise en compte dans les réglementations, les stress tests, etc. Mais nous devons nous assurer que nos prestataires et nos partenaires, qui ne sont pas forcément soumis aux mêmes réglementations que nous, ont un niveau de sécurité équivalent au nôtre », explique Amanda Creak. Il n’est pas toujours facile de demander à un fournisseur de respecter des règles très contraignantes quand il ne fait que réapprovisionner la société en fournitures de bureau ou en café… De même, avec une majorité du personnel en télétravail au plus fort de la pandémie de Covid-19, des solutions adaptées ont permis de maintenir le même niveau élevé de sécurité à domicile qu’au bureau.
Pour Goldman Sachs, la gestion de la sécurité informatique passe par la mise en place de contrôles à tous les niveaux, assurant un usage approprié des systèmes informatiques. « Nous corrigeons les zones de vulnérabilité que nous identifions, et contrôlons très strictement l’usage de clés USB, que seules quelques dizaines de personnes peuvent utiliser ». Des tentatives d’attaque, d’intrusion et de rançonnement, ainsi que des checkups et des patchs sont régulièrement pratiqués pour évaluer les conséquences et tester la résilience du système. Pour que cet établissement qui a vu le jour en 1869 reste un acteur majeur de la finance mondiale pendant encore longtemps.
Les rançongiciels, des attaques très rentables !
Le CERT (Computer Emergency Response Team) du cabinet Wavestone a analysé la rentabilité de deux scénarios d’attaques par rançongiciel. Il a consolidé les données relevées lors d’attaques gérées par le CERT et les analyses de groupes cybercriminels effectuées par différentes sociétés et organisations. Ces analyses prennent en compte les coûts de constitution et de gestion de l’attaque ainsi que le blanchiment de l’argent et les ressources humaines pour calculer le gain net après blanchiment. La première attaque, non ciblée à destination du grand public, affiche un retour sur investissement (ROI) de 746 %. Le ROI de la seconde, une attaque ciblée sur les entreprises, est de 525 %. Wavestone, associé à l’Institut Montaigne, étudie à présent les moyens de réduire cette rentabilité et de rendre les rançongiciels moins rémunérateurs.