La reconversion, parent pauvre des politiques d…
La forte digitalisation de nos sociétés multiplie les occasions pour les cybercriminels de sévir sur le net via des outils de piratage.
Wannacry, NotPetya, Stuxnet, DarkHotel, Mirai sont autant d’exemples pour nous le rappeler : le risque cyber s’accroît et peut fortement impacter l’activité des entreprises ciblées, dont le modèle doit pourtant s’adapter à la numérisation de notre économie. C’est la raison pour laquelle les réglementations autour du risque cyber se sont multipliées. En effet, selon un rapport de McAfee en Février 2018[1] « Economic Impact of Cybercrime – no slowing down », deux tiers de la population mondiale connectée (soit environ 2 milliards d’internautes) a déjà vu ses informations compromises ou volées. Selon cette même source, la cybercriminalité coûterait près de 600 milliards de dollars par an, soit 0,8% de la croissance mondiale.
Les principales raisons sont bien identifiées :
Le secteur de la finance est particulièrement visé par les cybercriminels. Selon le rapport de McAfee, le budget alloué à la cybersécurité des acteurs financiers serait trois fois plus élevé que celui des entreprises des autres secteurs. La cybercriminalité est aujourd’hui considérée comme un risque systémique pour les institutions financières.
Considérons le cas européen, pionnier en la matière, qui a récemment développé trois réglementations[2] renforçant les obligations d’amélioration des dispositifs de cybersécurité des banques et autres institutions financières :
La deuxième directive sur les services de paiements (DSP2) suivie des standards techniques réglementaires (RTS). Cette réglementation concerne davantage l’authentification forte (strong authentification) ; (cf. article Sia Partners consacré à cette règlementation) ;
Le règlement européen sur la protection des données personnelles (GDPR) ; (cf. article Sia Partners consacré à cette règlementation) ;
La directive Network and Information Security (NIS) (ou la loi française de programmation militaire (LPM) pour les seuls organismes d’importance vitale).
La principale crainte des différents états membres de l’Union européenne vis-à-vis de ces textes est leur potentielle divergence avec les règlementations locales déjà en vigueur, pouvant être source de confusion pour les entreprises et institutions.
Cependant, ces interrogations semblent avoir été prises en compte puisque la quête d’une harmonisation s’est récemment (mars 2019) donné un porte-parole, avec l’adoption par le Parlement européen de « l’European Cybersecurity Act »[3].
Cette nouvelle loi fait suite à l’appel du « European council » en 2018, appuyé dans diverses tribunes par le gouvernement français ainsi que par les dirigeants des Gafa.
Arme d’harmonisation, le texte peut également s’apparenter à un segment supplémentaire de conformité visant à rehausser les exigences en matière de cybersécurité au sein des membres de l’Union européenne. Il vise ainsi à diminuer la fragmentation des certifications nationales, souvent multiples, pour définir au travers de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information) un cadre harmonisé de certification des fournisseurs de TIC. Afin de remplacer des accréditations parfois trompeuses et non reconnues par les clients, la démarche permettra de renforcer la transparence des produits TIC en donnant une échelle de niveaux de conformité (Assurance simple, substantielle ou élevée) vis-à-vis des standards existants et de l’exigence de sécurité du marché.
Par ailleurs, devant l’évolution des normes et progrès en matière de « hacking », le texte entend encourager les autorités nationales à adopter un système de « peer review » afin d’analyser les évolutions entre les différentes certifications nationales, en vue de l’amélioration de la norme et dans l’objectif d’éviter l’émergence de nouvelles disparités.
Outre le renforcement des moyens mis en œuvre par les entreprises et les normes des régulateurs, les acteurs économiques de tous secteurs sont encouragés à sensibiliser leurs collaborateurs sur les sujets de cybersécurité par la formation aux risques pour favoriser une prise de conscience d’une part, et par la mise à disposition de bonnes pratiques simples pour lutter contre les attaques d’autre part.
Les solutions de lutte contre la cybercriminalité
Les attaques sont variées et multicanales. Nous envisagerons ici deux cas parmi les plus répandus : les solutions contre le « Phishing » et le « Malware ».
Le « Phishing » est une pratique utilisée par les cybercriminels pour voler aux utilisateurs leurs identifiants de connexion, mots de passe, numéros de cartes bancaires etc. dans le but d’usurper leur identité. Ils utilisent dans la grande majorité des cas un simple mail afin d’inciter l’utilisateur à s’identifier et/ou à mettre à jour ses données de connexion en cliquant sur un lien, à l’aspect sécurisé et familier, mais qui en réalité s’avère frauduleux[4].
Ces attaques sont de plus en plus précises et ciblées car les cybercriminels adoptent rapidement les nouvelles technologies dont ils tirent profit pour dissimuler efficacement leurs tentatives de fraude. L’identification de ces attaques est de plus en plus difficile car ces dernières prennent la forme d’emails sécurisés : en imitant les emails du quotidien, les cybercriminels jouent sur l’inattention et la confiance des utilisateurs afin de parvenir à leurs fins.
Pour se prémunir de ces attaques, les banques ont massivement investi dans la sécurisation de leurs données et ont, pour la plupart, établi une division dédiée à la protection des données informatiques afin de :
Lutter quotidiennement contre les éventuelles attaques sur les bases de données ou sur les postes de travails des employés ;
Établir un plan d’actions en cas d’attaque afin de la contenir.
Les solutions du type anti-virus et « firewall » font office de première ligne de défense pour les banques, mais ne sont pas 100% efficaces et certains « spam » passent à travers les mailles du filet. En effet, sur le marché, il n’existe pour le moment pas de solution totalement satisfaisante et dédiée spécifiquement à la lutte contre le phishing.
A cet effet, les banques doivent établir une deuxième ligne de défense afin de se protéger contre cette menace. La solution la plus répandue n’est pas d’ordre informatique, mais humain. Puisque le phishing est une forme indirecte d’attaque cybercriminelle, elle ne fonctionne que lorsque l’utilisateur passe à l’action en cliquant sur les liens.
Travailler dans le monde de la cybersécurité ne doit pas être réservé à une communauté restreinte. Il est au contraire pertinent de faire appel à de nombreux profils complémentaires qui joueront un rôle déterminant dans le développement, la création et la mise sur le marché d'innovations permettant de créer un cyber espace de confiance.
Par conséquent, les banques ont décidé de mettre en place des bonnes pratiques afin de sensibiliser les employés à ces attaques. Le but est de former les employés à identifier ces mails malveillants et à agir de la bonne manière afin d’éviter toute perte de données, l’usurpation d’identité ou la propagation de l’attaque.
Le schéma ci-après synthétise quelques bonnes pratiques simples pour contenir le risque de phishing[5] :
Un « ransomware » ou « malware » est un logiciel malveillant qui crypte les données d’une machine dans le but de les voler ou de demander une rançon à la victime, souvent à payer en cryptomonnaies. Ces logiciels sont généralement dissimulés et transmis par mail (phishing) qui, comme nous l’avons vu, incitent les utilisateurs à cliquer sur des liens malveillants ou à ouvrir une pièce jointe. Par conséquent, une protection efficace contre les « ransomware » est devenue indispensable, notamment suite aux dégâts engendrés par les attaques WannaCry et Petya. La sécurisation des emails est de cette façon devenue un enjeu primordial dans la protection des données bancaires.
Les banques doivent non seulement se protéger contre les « ransomware », mais également se prémunir contre ce type d’attaque. A cet effet, elles se tournent généralement vers des solutions fondées sur l’intelligence artificielle (IA), permettant d’acquérir et de mettre en œuvre une démarche prédictive.
Des solutions, telles que proposées par la société Vade Secure[6], s’appuient sur l’IA pour se défendre contre tout type de logiciel malveillant. Le principe est d’assurer une protection en filtrant les mails dangereux / risqués avant leur réception dans les boites mail des employés. Cette protection repose sur 4 types d’analyses :
Finalement, le logiciel de protection exécute ses analyses en parallèle du fonctionnement du poste de travail du collaborateur afin d’assurer que :
De cette manière, ce filtrage préventif évite que l’inattention d’un collaborateur ne mène vers la propagation d’une attaque du type « ransomware » au sein d’une banque.
[1] Economic Impact of Cybercrime - No Slowing Down
[2] Agefi - Cybersécurité : enjeu réglementaire
[4] Kaspersky : Ten tips against Phishing
[5] Focus sur un logiciel entièrement dédié au phishing
[6] Vadesecure : comment choisir sa solution contre les ransomware
[7] BNP Paribas : la lutte contre les malwares repose sur l'existant
GDPR en banque privée : revue des principaux enjeux