3 avril 2024
Les banques face aux risques des cyberattaques
En France, les banques sont considérées comme des opérateurs d’importance vitale (OIV). Leurs activités sont indispensables au bon fonctionnement du système économique français. Leur déstabilisation perturbe gravement la vie de la nation. Le secteur bancaire connaissait trois menaces traditionnelles : les mauvais choix d’investissement financier, la fraude financière et le vol d’argent.
Aujourd’hui, la menace de la cybercriminalité vient bousculer les institutions bancaires. Les cyberattaques se multiplient en effet contre les établissements bancaires et leurs clients. Ce sont des menaces puissantes, car transverses : elles peuvent agir à distance sur tous les outils et services financiers.
C’est pourquoi les banques et la cybersécurité représentent des enjeux stratégiques. Comment assurer la protection des données bancaires et les capitaux des clients ? Les mesures mises en place par le secteur bancaire tentent de répondre à ces nouveaux risques dans un contexte difficile.
Un contexte favorable au développement de la cybercriminalité bancaire
En criminalité comme en cybercriminalité, le contexte représente le facteur aggravant en matière de sécurité. Et pour les banques et la cybersécurité, c’est surtout une question de circonstances.
La transformation numérique du secteur bancaire et de l’économie : une source de vulnérabilités
La transformation numérique du secteur bancaire français est désormais une réalité : tous les services bancaires sont accessibles en ligne. De plus, les principales infrastructures de marché (systèmes de règlement, services de paiement) sont dématérialisées. Enfin, avec l’explosion d’internet et du commerce en ligne, les vulnérabilités informatiques se sont démultipliées. La surface d’attaque du secteur bancaire expose celui-ci aux cyberattaques. Les banques et la cybersécurité doivent composer avec les principales vulnérabilités suivantes :
- les activités bancaires en ligne (gestion de comptes, transactions financières) ;
- les failles des logiciels bancaires et des réseaux informatiques ;
- la fraude ou la négligence des employés des établissements bancaires et financiers ;
- la faiblesse des mots de passe utilisés par les clients des banques ;
- la supply chain des systèmes d’information bancaires.
Le développement du télétravail en France : une opportunité pour les cybercriminels
Le télétravail s’est installé durablement en France depuis la pandémie de COVID-19. Mais sans réflexion préalable sur la sécurité informatique. Particuliers et professionnels utilisent encore des réseaux ou des postes de travail non sécurisés. Ils s’exposent à des vols de données personnelles et professionnelles. Et ces données peuvent à leur tour servir à usurper une identité, à pénétrer un compte bancaire ou à organiser une fraude.
En 2023, 9 Français sur 10 se disent sensibles à la protection de leurs données bancaires selon la Fédération bancaire française (FBF). Mais, seulement deux sur trois adoptent des comportements de vigilance face aux menaces informatiques. Et un Français sur deux déclare avoir été déjà confronté à une tentative d’arnaque aux données bancaires.
La géopolitique internationale dope les attaques en ligne contre les intérêts français
La situation géopolitique internationale impacte les banques et la cybersécurité. Les alliés de l’Ukraine subissent de nombreuses cyberattaques. Elles visent à déstabiliser ces pays et à réduire le soutien apporté à l’Ukraine. Selon un rapport de Google, le nombre de ces attaques a augmenté de 300 % en 2022. Les hackers sont motivés par l’argent et par leur sensibilité pro-Moscou.
Les cybercriminels visent en particulier les opérateurs d’importance vitale en France et en Europe. Hôpitaux, institutions publiques et banques figurent parmi les cibles privilégiées. Selon un rapport SecurityScorecard, agence de cybersécurité, 78 % des institutions financières et bancaires de l’Union européenne ont été victimes de cyberattaques en 2023.
Les cyberattaques contre le secteur bancaire
Les cyberattaques subies par les banques utilisent différents vecteurs classiques de la cybercriminalité et de l’ingénierie sociale.
Les cyberattaques de phishing pour voler les données bancaires des utilisateurs
En février 2022, différents spécialistes en cybersécurité ont découvert un nouveau malware. Ce cheval de Troie appelé Xenomorph s’installait sur les smartphones Android via des attaques de phishing. Les victimes cliquaient sur un lien pour une mise à jour de sécurité sur leur application bancaire. Les cybercriminels récupéraient alors les données personnelles puis vider le compte en banque de leurs victimes. Ce malware peut exécuter en toute autonomie des opérations frauduleuses.
Plus de 100 applications bancaires et financières ont été touchées par Xenomorph dans le monde. En France, les banques touchées sont entre autres LCL, La Banque Postale, BNP Paribas, le Crédit Mutuel et le Crédit du Nord.
Les attaques DDoS contre les serveurs des sites internet des banques
Les attaques DDoS (distributed denial of service) ciblent les serveurs web des banques. Leur site internet reçoit un nombre de requêtes supérieur aux capacités maximales du serveur. Ce dernier est saturé. Les utilisateurs ne peuvent accéder aux ressources utiles de site touché. L’activité de la banque est paralysée. Les conséquences financières peuvent être très lourdes.
Le ransomware, la menace cyber qui fait peur aux banques
En 2020, la banque chilienne BancoEstado subit l’une des plus grandes attaques de ransomware (rançongiciel). La menace provenait d’un document Office malveillant reçu et ouvert par un employé. Le malware a installé une porte dérobée sur le réseau de la banque. Puis les cybercriminels ont utilisé cette porte dérobée pour installer un ransomware.
La rançon n’a pas été payée, mais la banque et ses agences sont restées fermées plusieurs jours dans l’attente du rétablissement de leur système informatique. Le ransomware est une cyberattaque en fort développement : elle permet aux cybercriminels d’extorquer beaucoup d’argent à leurs victimes.
Le pharming, le fléau des interfaces de services bancaires et financiers
Les attaques de pharming permettent aux cybercriminels de voler les données personnelles des clients d’une banque. Pour y parvenir, ils créent de fausses interfaces bancaires extrêmement ressemblantes. Après avoir cliqué sur un lien toxique (phishing), les utilisateurs sont dirigés sur ses fausses interfaces.
Les attaques d’ingénierie sociale : la fraude au président de la banque
Les cybercriminels usurpent l’identité d’un donneur d’ordre de la banque grâce au vol de ses données personnelles. Puis, ils demandent à un salarié de la banque d’effectuer un transfert d’argent sur un compte leur appartenant. Il existe également la fraude au conseiller. Elle cible les clients de la banque.
La cyber-résilience des banques
Les banques et la cybersécurité, ce sont avant tout des enjeux de résilience opérationnelle. Il s’agit d’atténuer le plus rapidement possible les risques liés aux cyberattaques.
Le règlement européen DORA sur la résilience opérationnelle des établissements financiers
Fin 2022, l’Union européenne a adopté le Digital Operational Act (DORA). Ce règlement européen vise à contraindre toutes les entreprises et institutions du secteur bancaire à prendre des mesures concrètes pour lutter contre le risque de la cybercriminalité. La directive DORA entrera en vigueur en janvier 2025. Elle impose les mesures suivantes en particulier :
- déploiement d’une stratégie de cybersécurité pour résister à tous les types de perturbations liés aux cyberattaques ;
- création d’un outil de gestion et de classification des incidents liés aux systèmes d’information ;
- la planification de tests réguliers de cybersécurité (TIBER) ;
- le contrôle des entreprises de prestation informatique.
Exemples de mesures pour réduire les risques d’attaques
Pour les banques et la cybersécurité, la priorité vise à renforcer la protection des informations et des données sensibles. L’objectif, c’est de préserver la confiance des clients des banques et la stabilité du système financier français et européen.
Les solutions techniques face aux enjeux de fraude d’identité
La sécurité bancaire repose en grande partie sur la vérification de l’identité. Il s’agit donc de renforcer les méthodes de contrôle. L’authentification multifacteur (MFA) doit être systématisée à terme. Elle nécessite deux à trois identifiants : un mot de passe, un code reçu par SMS ou par mail et un facteur biométrique (empreinte digitale, reconnaissance faciale).
La vérification d’identité peut également s’effectuer lors de transactions financières inhabituelles. Grâce à l’authentification adaptative, la banque vérifie si l’opération en ligne est en phase avec les habitudes du client. Si un changement est détecté, une authentification forte est demandée.
Sensibiliser les clients des banques à la cybersécurité et aux risques
Selon Stoïk, conseil en cybersécurité, l’humain représente 75 % des risques de sécurité sur internet et sur les réseaux d’information. Il s’agit donc de sensibiliser les clients des services bancaires en ligne. L’envoi de newsletters régulières ou des notifications d’alerte contribuent à cette sensibilisation au risque de cybercriminalité.
Les défis et les perspectives de la cybersécurité des institutions bancaires
Le renforcement de la cybersécurité bancaire doit composer avec les contraintes des clients et l’évolution des technologies.
L’expérience des clients face à la sécurité des systèmes
Le risque des contraintes de sécurité, c’est la mauvaise expérience utilisateur. Les clients peuvent alors rejoindre un concurrent étranger moins soumis aux réglementations de sécurité. Les banques et la cybersécurité doivent composer pour trouver un équilibre entre confort d’utilisation et sécurité optimale.
L’intelligence artificielle face aux enjeux de la cybersécurité des banques
La société Mastercard utilise l’intelligence artificielle pour sécuriser les transactions financières. L’IA compile les informations du compte débiteur et de ses activités puis les compare les comptes suspects. Enfin, la solution informatique alerte si besoin la banque concernée. Celle-ci peut dès lors intervenir en temps réel. Les solutions de cybersécurité dopées à l’IA permettent aux banques de croiser d’importantes données pour détecter les tentatives de fraude bancaire en ligne.
De forts besoins en compétences pour accompagner la cybersécurité dans le secteur bancaire
Les banques ont besoin d’experts en cybersécurité pour faire face aux menaces cyber. Les profils recherchés sont variés, mais les entreprises exigent des compétences pointues en matière de cryptographie, de systèmes d’information ou de sécurité informatique. Des écoles spécialisées en cybersécurité permettent désormais de pourvoir le secteur bancaire en spécialistes.
Les banques et la cybersécurité, c’est le prolongement obligatoire de la sécurité bancaire. L’importance des banques dans le système économique exige donc des solutions optimales de protection des données et des transactions.