2_cyber finance
π Numérique π Géopolitique
Sommes-nous prêts pour une cyber-pandémie ?

Cyberattaques : comment les services financiers s’organisent

Sophy Caulier, journaliste indépendante
Le 3 mars 2021 |
3 mins de lecture
5
Cyberattaques : comment les services financiers s’organisent
Amanda Creak
Amanda Creak
responsable du risque technologique de l'EMEA chez Goldman Sachs
En bref
  • Certains chiffres montrent que jusqu’à 90 % des cyberattaques sont motivées par le gain financier : les banques doivent donc être particulièrement attentives au « risque technologique ».
  • Les attaquants s’intéressent à toutes les informations sensibles qu’ils peuvent trouver, des simples identifiants ou mots de passe aux brevets.
  • En tant que banque d'investissement, Goldman Sachs détient beaucoup d'informations confidentielles, et donc sensibles, qu’elle cherche à protéger en corrigeant des zones de vulnérabilité comme l’utilisation des clés USB par les employés.
  • Selon le cabinet Wavestone, les attaques par rançongiciels peuvent atteindre 746% de rentabilité. Réduire la profitabilité des cyberattaques est donc l’une des priorités des entreprises de cybersécurité.

Très ciblés et depuis longtemps par les cyber­crim­inels, les ser­vices financiers sont par­mi les plus avancés en matière de pro­tec­tion. S’ils sont très atten­tifs aux risques et bien équipés pour les anticiper et les éviter, ils doivent toute­fois s’as­sur­er que leur chaîne logis­tique est aus­si résiliente qu’eux.

Aman­da Creak est respon­s­able du risque tech­nologique en Europe, au Moyen-Ori­ent et en Afrique (EMEA) pour Gold­man Sachs. Ce « risque tech­nologique » désigne tous les risques encou­rus par la banque d’in­vestisse­ment liés aux tech­nolo­gies numériques. Et ils sont nom­breux, surtout pour les étab­lisse­ments financiers. Près de 90 % des cyber­at­taques dans le monde sont motivées par le gain financier. Il s’ag­it soit de vol­er pure­ment et sim­ple­ment de l’ar­gent, soit de rançon­ner par­ti­c­uliers et entre­pris­es, ou encore de dérober dans les sys­tèmes d’in­for­ma­tion tout ce qui peut ensuite se reven­dre : infor­ma­tions, don­nées, brevets, coor­don­nées, iden­ti­fi­ants et mots de passe, etc.

Pour un étab­lisse­ment financier comme Gold­man Sachs, le cyber-risque est l’une des prin­ci­pales préoc­cu­pa­tions. « Non seule­ment, l’ensem­ble de nos proces­sus sont numérisés mais tous nos équipements sont con­nec­tés, des ordi­na­teurs de bureau aux imp­ri­mantes, jusqu’à l’air con­di­tion­né ! « La plu­part des insti­tu­tions finan­cières de taille attirent les cyber­crim­inels », explique Aman­da Creak. Pas­sion­née par la cyber­sécu­rité depuis le début de sa car­rière, Aman­da a souhaité relever le défi que représente la ges­tion d’un pro­gramme de sécu­rité d’en­ver­gure dans un étab­lisse­ment financier. « En tant que banque d’in­vestisse­ment, nous avons beau­coup d’in­for­ma­tions con­fi­den­tielles et donc sen­si­bles, ce que nous appelons les Mate­r­i­al non pub­lic infor­ma­tions, les MNPI. Il s’ag­it d’in­for­ma­tions rel­a­tives à des opéra­tions de fusion, d’ac­qui­si­tion, des intro­duc­tions en bourse, des investisse­ments, etc. Mais nous sommes égale­ment une banque de détail en ligne, nous devons donc pro­téger nos clients de tous les crimes liés à l’ar­gent ». Et la mis­sion est com­plexe, tant les risques et les attaques évolu­ent rapi­de­ment et se renou­vel­lent sans cesse.

Cepen­dant, la sécu­rité d’un étab­lisse­ment financier ne servi­rait à rien si sa chaîne logis­tique n’é­tait pas elle aus­si haute­ment sécurisée. « Nous sommes dans un secteur régle­men­té et la cyber­sécu­rité est prise en compte dans les régle­men­ta­tions, les stress tests, etc. Mais nous devons nous assur­er que nos prestataires et nos parte­naires, qui ne sont pas for­cé­ment soumis aux mêmes régle­men­ta­tions que nous, ont un niveau de sécu­rité équiv­a­lent au nôtre », explique Aman­da Creak. Il n’est pas tou­jours facile de deman­der à un four­nisseur de respecter des règles très con­traig­nantes quand il ne fait que réap­pro­vi­sion­ner la société en four­ni­tures de bureau ou en café… De même, avec une majorité du per­son­nel en télé­tra­vail au plus fort de la pandémie de Covid-19, des solu­tions adap­tées ont per­mis de main­tenir le même niveau élevé de sécu­rité à domi­cile qu’au bureau.

Pour Gold­man Sachs, la ges­tion de la sécu­rité infor­ma­tique passe par la mise en place de con­trôles à tous les niveaux, assur­ant un usage appro­prié des sys­tèmes infor­ma­tiques. « Nous cor­ri­geons les zones de vul­néra­bil­ité que nous iden­ti­fions, et con­trôlons très stricte­ment l’usage de clés USB, que seules quelques dizaines de per­son­nes peu­vent utilis­er ». Des ten­ta­tives d’at­taque, d’in­tru­sion et de rançon­nement, ain­si que des check­ups et des patchs sont régulière­ment pra­tiqués pour éval­uer les con­séquences et tester la résilience du sys­tème. Pour que cet étab­lisse­ment qui a vu le jour en 1869 reste un acteur majeur de la finance mon­di­ale pen­dant encore longtemps.

Les rançongi­ciels, des attaques très rentables !

Le CERT (Com­put­er Emer­gency Response Team) du cab­i­net Wave­stone a analysé la rentabil­ité de deux scé­nar­ios d’at­taques par rançongi­ciel. Il a con­solidé les don­nées relevées lors d’at­taques gérées par le CERT et les analy­ses de groupes cyber­crim­inels effec­tuées par dif­férentes sociétés et organ­i­sa­tions. Ces analy­ses pren­nent en compte les coûts de con­sti­tu­tion et de ges­tion de l’at­taque ain­si que le blanchi­ment de l’ar­gent et les ressources humaines pour cal­culer le gain net après blanchi­ment. La pre­mière attaque, non ciblée à des­ti­na­tion du grand pub­lic, affiche un retour sur investisse­ment (ROI) de 746 %. Le ROI de la sec­onde, une attaque ciblée sur les entre­pris­es, est de 525 %. Wave­stone, asso­cié à l’In­sti­tut Mon­taigne, étudie à présent les moyens de réduire cette rentabil­ité et de ren­dre les rançongi­ciels moins rémunéra­teurs.