Les banques face aux risques de cybersécurité en période de crise sanitaire
Selon l'agence de notation financière Moody's, le nombre de cyberattaques contre les institutions financières dans le monde a triplé entre février et avril 2020 (+238%) et les tentatives d’extorsion de données personnelles ont été multipliées par neuf (chiffres du bureau d’études spécialisé VMware Carbon Black).
Objectifs et enjeux de la mise en place d’une politique de cybersécurité
La crise sanitaire liée au Coronavirus a accéléré l’évolution des usages bancaires vers davantage d’usages en lien avec le numérique : transactions sans contact, achats en ligne, travail à distance…
Dans ce contexte, la cybersécurité apparaît comme une problématique essentielle afin de lutter contre les fraudes et les cyberattaques.
La cybersécurité désigne l’ensemble des moyens utilisés pour assurer la protection des systèmes informatiques (système, réseau, programme) et leurs données. Les moyens de protection peuvent être de plusieurs types : techniques (outils informatiques tels que les antivirus, Firewall…), conceptuels (méthode de gestion des risques Ebios), humains (ingénieur sécurité, formation, compétence) ou législatifs (normes ISO, organisme d’Etat type ANSSI…).
Plusieurs objectifs accompagnent cette protection :
- Intégrité: s'assurer que les données soient bien authentiques sans corruption ;
- Confidentialité: ne rendre l’information accessible qu’aux personnes autorisées ;
- Disponibilité des systèmes: garantir la disponibilité du système pour son utilisation ;
- Non répudiation: assurer l'impossibilité de nier une transaction ;
- Authentification: s’assurer que les personnes qui accèdent aux données sont bien celles qui doivent y pouvoir y accéder (usurpation d’identité).
Dans le secteur bancaire, les risques relatifs à la cybersécurité peuvent être observés à plusieurs niveaux : en interne, au niveau des salariés (comme dans d’autres secteurs) et en externe, au niveau des clients, si l’on pense aux transactions réalisées à distance (achats sur Internet notamment).
Face à cette crise sanitaire inédite et aux risques évoqués ci-dessus, quels sont les enjeux auxquels les banques doivent faire face compte-tenu de leurs activités sensibles et l’exigence du maintien d’une relation commerciale de qualité avec leurs clients ?
Quatre enjeux majeurs peuvent être identifiés actuellement :
- La transformation digitale, autrement dit la transformation numérique. Dans le cas d’une banque, qu’elle soit régionale ou nationale, la transformation digitale favorise le partage des données et l’Open Banking.
- L’intelligence artificielle, une technologie à double tranchant :
Cette technologie est de plus en plus utilisée par les institutions financières cependant, derrière cet usage croissant de l’IA se cache une double réalité.
Si, du point de vue des analystes financiers, l’intelligence artificielle est devenue une alliée indispensable dans la lutte pour la cybersécurité, elle peut aussi contribuer à aider les cybercriminels du secteur financier dans le dépouillement des institutions du secteur bancaire.
- Le TIBER, « Threat Intelligence Based Ethical Ted Teaming», est une initiative de la Banque Centrale Européenne.
Il s’agit du premier cadre harmonisé à l’échelle de l’Europe pour l’élaboration de tests contrôlés et sur mesure contre les cyber-attaques sur les marchés financiers.
Son objectif est d’aider les entités à mieux appréhender leurs capacités en termes de protection, de détection et de réaction, et à lutter contre les cyber-attaques.
- L’approche « zéro trust» comme nouvelle protection contre les cyberattaques.
Le « zéro trust » est une approche consistant à n’accorder sa confiance à personne et à vérifier systématiquement les transactions, mêmes si ces dernières sont internes.
Quelles mesures afin de lutter efficacement contre les cyberattaques ciblant les banques ?
Au regard de ces enjeux, quelles sont les pratiques des banques en France afin de prévenir et lutter contre les cyberattaques ?
Particulièrement exposés à la cyber délinquance, les acteurs du secteur bancaire investissent chaque année plusieurs millions d’euros dans la sécurité informatique. Parmi les cyberattaques qui visent le secteur bancaire, certaines ciblent en particulier les utilisateurs des applications mobiles bancaires.
Cette technique de fraude consiste à contaminer les terminaux mobiles des clients via un malware invisible. Face à ce type d’attaque, les banques ont développé des dispositifs de protection basés sur l’intelligence artificielle.
L’intelligence artificielle analyse le comportement de leurs clients dans le but d’identifier leurs habitudes (comme les canaux et fonctions utilisés habituellement). Lorsqu’un comportement inhabituel est détecté par l’IA, cela déclenche une alarme qui permet à la banque de contacter son client afin de vérifier le caractère frauduleux ou non de l’opération.
Il y a un autre usage générateur de fraudes de plus en plus nombreuses, la carte bancaire.
Moyen de paiement favori des Français, sa praticité donne de nombreuses pistes aux cybercriminels. Dans ce contexte, toutes les mesures et précautions nécessaires doivent être prises afin de sécuriser et de fiabiliser ce mode de paiement. Depuis 2015, toute entreprise qui stocke, traite, analyse ou transmet les données bancaires issues des cartes de paiement doit se conformer à la fameuse norme PCI DSS (Payment Card Industry Data Security Standard).
« Cet ensemble de normes a pour objectif d’améliorer la sécurité de l’ensemble des transactions bancaires et de garantir aux détenteurs de cartes de débit, crédit et paiement que leurs informations personnelles ne seront pas utilisées abusivement. » (source :https://www.expert-line.com/norme-pci-dss-obligatoire-sur-la-securite-bancaire/).
Ces pratiques sont des exemples de ce que certaines banques ont mis en place afin de réduire les risques en matière de cyber attaques.
La crise du Covid-19, période propice à une recrudescence du risque de cyberattaques contre les institutions financières
Cependant, ces pratiques suffisent-elles à réduire ces risques ? Quelle a été la situation des banques en matière de cybersécurité pendant le premier confinement ?
La crise sanitaire liée au coronavirus a contraint les entreprises à recourir massivement au télétravail.
Le secteur bancaire n’a pas fait exception à la règle afin de poursuivre ses activités pendant le confinement. Selon une étude de Moody’s, cette accélération massive, brutale et pas forcément anticipée dans le recours au travail à distance a rendu les systèmes informatiques des banques plus vulnérables.
Face à ces cyberattaques de plus en plus fréquentes, les banques françaises sont-elles suffisamment bien armées ?
Globalement, non si l’on en croit une étude réalisée à l’échelle européenne par D-Rating pendant la crise sanitaire du coronavirus et incluant 8 banques françaises testées du 1er mars au 11 mai.
Ainsi, Arkea, Banque Populaire, BNP Paribas, Caisse d’Epargne, Crédit Agricole, Crédit Mutuel, Orange Bank et Société Générale se situent à un niveau inférieur à la moyenne des 60 banques étudiées en matière de protection des accès de leurs sites internet et de leurs applications mobiles.
Ce classement est fondé sur la détection des vulnérabilités et des menaces liées aux applications Android et des sites Web. Dans ce contexte de crise sanitaire, les risques d’attaques en ligne augmentent significativement, souligne D-Rating.
La crise du Covid-19 constitue potentiellement un moment idoine pour les cybercriminels : le confinement est une période encore plus propice à une utilisation massive des outils digitaux par les clients afin de se connecter à leur banque. Par ailleurs, dans ce contexte de crise, les banques se retrouvent face à de multiples difficultés et peuvent parfois se montrer moins vigilantes face à ces risques de cyberattaques.
Pourtant, le risque est bien présent et n’est pas près de disparaître : selon Fabio Panetta, membre du comité exécutif de la Banque Centrale Européenne, une entreprise sera attaquée par un logiciel de rançon toutes les 11 secondes d’ici 2021.
Par conséquent, les banques doivent s’inscrire dans un processus d’amélioration continue de leurs méthodes et outils permettant de lutter contre les risques de cyberattaque.
Selon Alessandro Roccati, le placement partiel de certaines données dans les clouds des GAFAM, réputés « plus performants en matière de cybersécurité », pourrait constituer une piste d’amélioration.
Sources :
http://www.saba-pates.com/e-commerce/les-enjeux-majeurs-de-la-cybersecurite-pour-la-banque-en-2020
https://www.expert-line.com/norme-pci-dss-obligatoire-sur-la-securite-bancaire/
https://www.larevuedudigital.com/la-banque-lcl-accelere-sur-les-projets-big-data/
https://www.moneyvox.fr/banque/actualites/80094/la-cybersecurite-des-banques-francaises-etrillee