La cybercriminalité est aussi vieille qu’Internet. Pourtant, les menaces augmentent d’année en année et sont toujours plus sophistiquées. En raison de la forte réglementation du secteur des services financiers, les banques ont généralement une longueur d’avance en termes de cyber défense pour assurer leur cybersécurité. Elles continuent cependant d’être la cible des attaquants et sont particulièrement impactées pour plusieurs raisons : des actifs de grande valeur, des infrastructures largement distribuées, des dispositifs de l’Internet des objets (IoT) exploitables, et le facteur humain.
Comment les institutions financières (IF) peuvent-elles protéger leurs systèmes et leurs données ? Cette question a été abordée lors du Summit 2023 par Leonard Burger, responsable marketing produit chez SBS (ex-Sopra Banking Software), Erwan Brouder, directeur adjoint de la division Cybersécurité de Sopra Steria, et Jean-Marc Velasque, responsable du conseil aux entreprises pour la région MEA chez SBS (ex-Sopra Banking Software). Nous examinons ici leurs points de vue.
Prévalence et coût des cyberattaques
Les cyberattaques contre les acteurs des services financiers ont augmenté au cours de la dernière décennie. En cause : la transformation numérique, accélérée par la pandémie mondiale. À mesure que les points d’entrée dans les systèmes informatiques et les volumes de données augmentent, des opportunités s’ouvrent aux cybercriminels, aux groupes parrainés par l’État, aux hacktivistes et aux menaces internes. Selon Statista, 1 829 incidents cybernétiques ont été signalés dans le secteur financier en 2022 (477 avec des violations de données).
Dans le même temps, le Rapport sur le coût d’une violation de données 2023 d’IBM indique que les entreprises financières perdent environ 5,9 millions de dollars par violation, soit environ 33 % de plus que la moyenne mondiale. Dans l’ensemble des secteurs d’activité, la finance se classe au deuxième rang des coûts les plus élevés, derrière le secteur de la santé. Le coût réel va au-delà de l’argent, car les attaquants qui réussissent accèdent souvent à d’innombrables transactions et à des dossiers clients sensibles. La réputation de la banque est également entachée, les revenus sont perdus et l’assurabilité peut devenir un problème.
Principales menaces de cybersécurité
La société de cloud computing Akamai utilise un seul mot pour décrire le paysage en 2023 : pivot. “Les attaquants ont modifié leurs tactiques pour contourner les mesures de sécurité. Ils cherchent de nouvelles surfaces d’attaque et des cibles inexploitées pour semer le chaos.” Les principales préoccupations des banques sont les suivantes :
- Attaques de logiciels malveillants (en particulier les ransomwares).
- Logiciels malveillants en tant que service.
- Sécurité des points d’extrémité.
- Cyberattaques basées sur le cloud.
- Attaques de phishing et d’ingénierie sociale.
- Attaques de la chaîne d’approvisionnement.
- Attaques contre des fournisseurs tiers.
- Erreurs humaines/utilisateurs.
Pour Jean-Marc Velasque, “les banques doivent considérer l’inattendu comme la nouvelle normalité”.
Cybersécurité : Regarder vers l’avenir
L’intelligence artificielle et particulièrement l’apprentissage automatique jouent également un rôle : elles alimentent les attaques. “L’IA semble être au début d’une courbe évolutive similaire à celle des ransomwares”, déclare Matt Lane, directeur et cofondateur de XCyber. La menace provient de sa “capacité à automatiser des tâches à une échelle jusqu’alors impossible”.
Parallèlement, à mesure que se développent d’autres technologies émergentes comme l’informatique quantique, la blockchain et la 5G, l’ampleur et la complexité des menaces s’intensifient. Par exemple, selon un expert en sécurité de Thales : “Un seul ordinateur quantique puissant pourrait être en mesure de casser les algorithmes de cryptographie à clé publique utilisés par près de l’ensemble des IF. Cela pourrait compromettre les données des clients, les sites web et logiciels sécurisés que les IF utilisent pour interagir avec les clients. Cette menace pourrait même s’étendre au matériel qui authentifie, chiffre et déchiffre les paiements.”
Un récent rapport de Moody sur les perspectives confirme ces propos. Le document identifie l’informatique quantique et l’IA comme des innovations possibles qui pourraient “mettre à rude épreuve les cyber-ressources en 2024“.
Les monnaies numériques des banques centrales (CBDC) présentent d’autres défis en matière de cybersécurité. Un rapport de la Chambre des Lords du Royaume-Uni souligne deux risques majeurs : la possibilité que des comptes individuels soient compromis par des faiblesses en matière de cybersécurité, et qu’une CBDC centralisée soit prise pour cible par des “acteurs hostiles étatiques et non étatiques”.
Comment les banques peuvent-elles devenir plus résistantes à la cybercriminalité ?
D’un autre côté, la technologie peut aider les banques. Dans cette optique, les banques re-calibrent et apprennent de nouvelles méthodes pour atténuer les cyberattaques et mieux se protéger.
Selon IBM, l’investissement dans l’IA et l’automatisation “réduisent les coûts et minimisent le temps consacré au traitement des violations”. Les organisations qui utilisent ces technologies ont passé en moyenne 108 jours de moins à identifier et à contenir une violation. Les dépenses se sont avérées inférieures de 1,76 million de dollars en moyenne, par rapport aux entreprises qui ne les utilisent pas.
Les outils alimentés par l’intelligence artificielle sont également utilisés pour lutter contre les escroqueries de paiement. Par exemple, en juillet 2023, neuf banques britanniques se sont associées à Mastercard pour utiliser sa solution Consumer Fraud Risk . L’objectif est de recueillir des informations en temps réel et d’arrêter les faux paiements avant que des fonds ne soient perdus.
Les banques doivent également prendre en compte : la mise en œuvre de solutions de cybersécurité adaptables, la surveillance en temps réel, l’évaluation des risques, les normes de sécurité cryptées et une approche de confiance zéro. De plus, la collaboration avec les organismes du secteur et les autres banques est vitale, car elle permet d’anticiper et d’identifier les nouvelles menaces.
Si la cybersécurité est une priorité, l’innovation et la compétitivité le sont tout autant. Il s’agit d’un équilibre délicat à trouver pour les banques.
Rôle des réglementations et des législations
Les cadres et initiatives réglementaires sont également importants. Ils aident les banques à mieux se protéger, à contrer efficacement les cyberattaques, à établir et à maintenir la confiance avec les clients. Les textes suivants jouent un rôle majeur :
- Digital Operational Resilience Act (DORA) : Les institutions financières et les tiers doivent respecter des règles pour “la protection, la détection, le confinement, la récupération et les capacités de réparation contre les incidents liés aux technologies de l’information et de la communication”.
- Directive sur la sécurité des réseaux et de l’information (NIS2) : Législation décrivant des mesures pour un “niveau commun élevé de cybersécurité” dans l’Union européenne (UE).
- Loi sur la cyber-résilience (CRA) : Cette loi vise à rendre le matériel et les logiciels plus sûrs, afin de protéger les entreprises et les consommateurs.
- Groupe d’experts en cybernétique du G7 : Examine les questions de cybersécurité liées au secteur financier, telles que la résilience aux ransomwares et la gestion du risque cybernétique pour les tiers, et publie des “éléments fondamentaux” sur ces sujets.
- Lignes directrices pour le développement de systèmes d’IA sécurisés : En place pour relever les niveaux de cybersécurité de l’IA, en aidant à garantir que les systèmes sont conçus, développés et déployés en toute sécurité.
- ISO/IEC 27000 : Famille de normes relatives aux systèmes de gestion de la sécurité de l’information (SGSI) couvrant la cybersécurité, la sécurité informatique et la protection de la vie privée.
Travailler avec un partenaire de confiance
Avec l’essor de l’Open Banking, de l’Open Finance, de la plateformisation, et d’une approche collaborative, de nombreux acteurs sont impliqués dans l’écosystème d’une banque. Il est donc impératif de choisir les bons partenaires.
La plateforme bancaire cloud de SBS (ex-Sopra Banking Software), fondée sur des composants, est sécurisée par sa conception. Elle offre une gamme d’outils, y compris une architecture de confiance zéro et des couches de protection comme la détection d’anomalies, un programme de bug bounty, l’IA, les tests de pénétration et les campagnes de phishing.
De plus, notre partenariat stratégique avec Axway est important, car il facilite les solutions API-first ouvertes, conformes et connectées. Nous faisons également partie du groupe Sopra Steria – nous pouvons ainsi faire appel à l’expertise en cybersécurité de l’ensemble du groupe en termes de prévention, de protection et de détection.
Ces facteurs combinés permettent de garantir à nos clients un niveau de protection optimal lorsqu’ils utilisent nos produits et services.
Naviguer dans le paysage de la cybersécurité
Il faut des années pour se forger une réputation et quelques minutes suffisent pour qu’un cyber-incident la ruine. Pour préserver leur avenir, les banques doivent garder une longueur d’avance et la cybersécurité doit rester une priorité absolue.
Pour ce faire, il est essentiel de s’appuyer sur la communauté de la cybersécurité, de partager les informations, de s’assurer que l’ensemble de l’écosystème présente des niveaux de cybersécurité matures, et d’investir dans les nouvelles technologies.
Regardez la session “Cybersécurité dans le secteur bancaire : Préserver l’avenir” (en anglais) ici.
Pour plus de contenu expert sur les perspectives de l’industrie et de l’innovation, abonnez-vous à notre newsletter ou visitez notre page Publications.