Augmentation des cyberattaques contre les banques

Comment les institutions de taille moyenne peuvent-elles réagir ?

Le paysage des menaces s'intensifie à un rythme sans précédent. Les cyberattaques contre les banques ont dépassé les attributions du département informatique pour devenir un problème au niveau du conseil d'administration, influençant directement la planification stratégique, l'appétit pour le risque et la viabilité à long terme. La stabilité du secteur financier est désormais inextricablement liée à sa résilience numérique. Dans un tel environnement, une attitude réactive en matière de sécurité ouvre la voie à des perturbations opérationnelles, à des sanctions réglementaires et à une perte catastrophique de la confiance des clients.

L'Agence de cybersécurité de l'Union européenne (ENISA) a lancé un avertissement sévère : entre janvier 2023 et juin 2024, le secteur financier de l'UE a connu 488 cyberincidents signalés publiquement. Il ne s'agit pas simplement d'une statistique, mais d'un assaut soutenu et croissant contre l'intégrité opérationnelle et la confiance fondamentale du système bancaire de la région. Pendant douze années consécutives, le secteur financier a supporté le coût moyen le plus élevé des violations de données à l'échelle mondiale, ce qui témoigne de l'importance des enjeux.

Un dangereux déficit de vulnérabilité

Alors que les grandes banques internationales font la une des journaux, ce sont les institutions de taille moyenne, notamment les caisses d'épargne, les banques coopératives et les prêteurs régionaux, qui occupent une position particulièrement précaire. Ces banques détiennent des données et des actifs de grande valeur qui attirent des acteurs sophistiqués, mais elles n'ont souvent pas les ressources de leurs homologues plus importants, ce qui crée un dangereux "fossé de vulnérabilité". Cette asymétrie les désavantage sérieusement dans une lutte de plus en plus intense contre des adversaires très organisés et, dans certains cas, parrainés par des États.

Dans ce contexte, une cybersécurité proactive et fondée sur l'intelligence n'est plus une dépense facultative, mais un déterminant fondamental de la réussite à long terme d'une banque. La cybersécurité ne doit plus être considérée comme un centre de coûts, mais la résilience comme un moteur stratégique de la confiance et de la croissance.

Modèles typiques de cyberattaques contre les banques

Il est essentiel de comprendre les tactiques couramment utilisées par les cybercriminels pour mettre en place une défense efficace. Les méthodes d'attaque ont évolué, passant de simples exploits à des campagnes en plusieurs étapes, hautement coordonnées, ciblant la technologie, les processus et les personnes.

Hameçonnage et ingénierie sociale : Exploiter la confiance

Les attaques de phishing ne sont plus truffées de fautes d'orthographe et de tactiques grossières. L'ingénierie sociale moderne est une opération raffinée. Les attaquants recourent désormais à l'intelligence artificielle pour produire un contenu personnalisé et soigné, utilisent la technologie deepfake pour imiter les dirigeants et recourent au phishing par QR code ("quishing") pour échapper aux filtres de courriers électronique.

Ces techniques sont devenues le principal mécanisme d'initiation de la fraude. Un rapport de Tietoevry datant de 2024 fait état d'une augmentation de 156 % des escroqueries par manipulation sociale et de 77 % des attaques par hameçonnage, ce qui souligne la croissance explosive de cette menace. L'ENISA confirme que les institutions financières sont des cibles privilégiées, les attaquants se faisant passer pour des banques dans 36 % des cas d'ingénierie sociale, trompant les clients et les employés pour qu'ils divulguent des informations sensibles ou approuvent des transactions frauduleuses.

Ransomware : Du chiffrement à l'extorsion

Le ransomware s'est industrialisé. L'avènement des plateformes de Ransomware-as-a-Service (RaaS) sur le dark web signifie que des guides très efficaces peuvent désormais être louées pour seulement 40 dollars, abaissant ainsi la barrière de sécurité à l'entrée pour les criminels et alimentant une explosion des attaques. Le délai entre l'intrusion initiale et le chiffrement complet s'est effondré, passant d'environ 60 jours en 2019 à seulement quatre jours en 2024.

Pire encore, les attaquants ont adopté une stratégie de "double extorsion". Avant de chiffrer les données, ils exfiltrent de grandes quantités de données sensibles sur les entreprises et les clients. Si la rançon n'est pas payée, ils menacent d'exposer les données au public, ce qui aggrave les dommages en termes de réputation, de réglementation et d'exploitation. Une étude d'Allianz Commercial montre que le nombre de cas d'exfiltration de données a presque doublé, passant de 40 % en 2019 à près de 80 % en 2022, les chiffres pour 2023 étant encore plus élevés.

Compromission de la chaîne d'approvisionnement : violation de l'extérieur vers l'intérieur

Les cyberattaques contre les banques réussissent de plus en plus souvent, non pas en ciblant directement les banques, mais en exploitant les faiblesses de leurs chaînes d'approvisionnement numériques. Les fournisseurs tiers, y compris les fournisseurs de cloud, les entreprises de logiciels et les processeurs de données, sont devenus un vecteur d'attaque majeur. Une analyse récente de SecurityScorecard a révélé que 96 % des 100 principales institutions financières européennes ont été touchées par au moins une violation de tiers au cours de l'année écoulée, contre 78 % l'année précédente.

Le risque d'atteinte à la réputation est important. Le public blâme rarement le tiers ; la responsabilité et les retombées retombent sur l'institution principale. La faille MOVEit de 2023, provenant d'un seul transfert de fichiers, a déclenché un effet d'entraînement mondial, compromettant des milliers d'organisations en aval et causant des dommages estimés à plus de 65 milliards de dollars. Cet incident souligne l'importance d'une gestion complète des risques liés aux tiers.

Menaces d'initiés : Les risques internes

Les menaces internes sont de deux ordres. La première est l'initié malveillant, un employé mécontent ou compromis qui vole délibérément des données ou sabote des systèmes. Bitkom rapporte que 36 % des entreprises concernées ont identifié des actions intentionnelles d'initiés comme étant à l'origine d'une attaque.

Cependant, les cas d'initiés négligents sont beaucoup plus fréquents. Il s'agit d'incidents involontaires causés par une erreur humaine. Selon les rapports de la directive NIS de l'ENISA, 73 % des incidents n'étaient pas malveillants et résultaient de défaillances du système (64 %) et d'erreurs de l'utilisateur (9 %). Des serveurs mal configurés, des mises à jour logicielles défectueuses ou le non-respect des protocoles établis peuvent exposer les organisations à des risques graves, même sans intention malveillante.

Pourquoi les banques de taille moyenne sont-elles particulièrement vulnérables ?

Bien que toutes les institutions financières soient confrontées à des menaces croissantes, les banques de taille moyenne de l'UE se trouvent dans une position particulièrement vulnérable. Elles sont suffisamment importantes pour attirer des attaquants sophistiqués, mais n'ont souvent pas l'envergure, l'infrastructure et les ressources nécessaires pour mettre en place des défenses comparables.

Les perturbations cybernétiques ont des implications économiques plus larges. La paralysie d'une institution de taille moyenne peut affecter des régions ou des secteurs entiers de l'économie. Pour les adversaires qui cherchent à déstabiliser les systèmes financiers, ces institutions sont des cibles de choix.

Le déficit de ressources et d'expertise

Le principal défi pour les banques de taille moyenne est l'inadéquation entre l'attrait qu'elles exercent sur les attaquants et leurs capacités défensives. Elles traitent des flux financiers importants et stockent des données sensibles, mais elles sont limitées par des budgets et des effectifs restreints.

Cette lacune pose deux problèmes majeurs :

• Budget : La cybersécurité exige des investissements soutenus dans des outils modernes, des contrôles et des tests. Les entreprises de taille moyenne ont du mal à établir des priorités parmi les autres besoins de l'entreprise.
• Le talent: La pénurie mondiale de professionnels de la cybersécurité a créé une concurrence féroce. Les banques de taille moyenne sont souvent incapables de rivaliser avec les salaires, les avantages ou les perspectives de carrière offerts par les grandes entreprises ou les sociétés technologiques.

Infrastructure informatique obsolète 

Une vulnérabilité importante et souvent sous-estimée pour de nombreuses banques établies de taille moyenne est le poids de leur propre histoire, incarnée par des systèmes informatiques hérités. Bon nombre de ces institutions s'appuient sur des plateformes bancaires de base vieilles de plusieurs décennies, écrites dans des langages comme le COBOL et fonctionnant sur des systèmes centraux qui, bien qu'historiquement stables, sont devenus un handicap important dans l'environnement moderne des menaces. Une enquête menée auprès de dirigeants de banques a révélé que plus de 53 % d'entre eux étaient préoccupés par leur dépendance à l'égard des technologies existantes et par l'accumulation de la "dette technique" qu'elles représentent. 

Ces systèmes hérités créent des risques à plusieurs égards. Tout d'abord, ils élargissent considérablement la surface d'attaque. Ils n'ont jamais été conçus pour l'écosystème numérique actuel, hyperconnecté et piloté par des API. Lorsque les banques superposent des applications mobiles et web modernes à ces anciens systèmes, elles créent des environnements hybrides complexes et fragiles, criblés de vulnérabilités d'intégration potentielles. Ces anciens systèmes sont intrinsèquement dépourvus de fonctions de sécurité modernes telles que la gestion granulaire des identités et des accès (IAM) et des outils de surveillance sophistiqués, ce qui les rend difficiles à sécuriser et laisse de dangereuses zones d'ombre aux équipes de sécurité. 

L'élément humain

L'erreur humaine reste la vulnérabilité la plus imprévisible. Qu'il s'agisse d'être victime d'un courriel d'hameçonnage ou de mal configurer un système de sécurité, les employés peuvent involontairement exposer l'organisation à des risques majeurs.

Les formations traditionnelles et génériques ne suffisent plus. L'Autorité bancaire européenne (ABE) exige désormais des programmes spécifiques à chaque rôle, régulièrement mis à jour, qui traitent des techniques d'attaque modernes, y compris celles améliorées par l'IA.

Mesures immédiates pour renforcer la sécurité informatique

Pour les banques de taille moyenne, la priorité doit être de relever le niveau de référence. Les interventions clés sont les suivantes :

• Gestion continue des vulnérabilités : Passer à une analyse permanente des vulnérabilités. Donner la priorité aux systèmes externes tels que les VPN et les portails d'accès à distance.
• Détection et réponse des terminaux (EDR) modernes : Remplacer les outils antivirus obsolètes par des systèmes de détection comportementale en temps réel.
• Réponse aux incidents et exercices de simulation : Créer des plans d'intervention basés sur la norme NIST SP 800-61. Organiser régulièrement des exercices de simulation au niveau de la direction.
• Authentification multifactorielle (MFA) : Étendez l'authentification multifactorielle à tous les systèmes clés, et pas seulement au courrier électronique ou aux réseaux privés virtuels. Combiner avec des politiques d'accès au moindre privilège.

Stratégies de résilience à long terme

La mise en place d'une infrastructure de sécurité dès le départ est la clé de la sécurité à long terme. Une stratégie de continuité des activités est un moyen complet de mettre en place des systèmes de réponse et de rétablissement , un effort continu pour assurer votre sécurité.

Cependant, les contrôles fondamentaux ne sont qu'un début. La résilience à long terme contre les cyberattaques sur les banques nécessite un modèle de sécurité moderne : le Zero Trust.

Architecture de confiance zéro

Le Zero Trust, ou "confiance zéro", repose sur un principe fondamental : ne jamais faire confiance, toujours vérifier. Elle remplace les hypothèses dépassées sur la sécurité interne, en traitant tous les utilisateurs et tous les appareils comme potentiellement compromis.

Les éléments clés sont les suivants :

• IAM solide : l'identité est le nouveau périmètre. Un IAM (Identity Access Management) solide garantit que seuls les utilisateurs vérifiés ont accès à l'information.
• Microsegmentation : Diviser les réseaux en zones sécurisées. Empêchez les attaquants de se déplacer latéralement une fois à l'intérieur.
• Accès à moindre privilège : N'accorder que les autorisations minimales nécessaires à chaque utilisateur ou processus.
• Surveillance continue : Surveillez l'ensemble du trafic, le comportement des utilisateurs et l'état des appareils en temps réel. Révoquez l'accès en cas d'anomalie.

Découvrez une vue d'ensemble plus détaillée dans notre livre blanc présentant les avantages de ZTNA par rapport au VPN.

Services managés de sécurité

Pour de nombreuses banques de taille moyenne, il n'est pas réaliste de mettre en place une infrastructure Zero Trust seule. Un partenariat avec un fournisseur de services de sécurité gérés (MSSP) offre une solution évolutive.

Les avantages comprennent :

• Expertise à la demande : Accédez à des talents de premier plan dans les domaines du renseignement sur les menaces, de la police scientifique, de la conformité, etc.
• Technologie de niveau entreprise : Exploitez des outils avancés tels que les SIEM, EDR et des flux de menaces en temps réel.
• Rentabilité : Convertir les dépenses d'investissement en coûts opérationnels prévisibles, sans mise de fonds initiale.

Un MSSP permet aux banques d'activer une surveillance 24/7, une réponse aux incidents et une détection continue des menaces, composantes essentielles du Zero Trust en action.

La confiance est la nouvelle devise

Dans le secteur financier digitalisé et interdépendant d'aujourd'hui, la cybersécurité n'est plus seulement une question technique, elle est au cœur de la confiance, de la réputation et de la compétitivité du marché.

Les banques de taille moyenne de l'UE doivent se montrer à la hauteur de la situation. Elles doivent cesser de considérer la cybersécurité comme un problème informatique et commencer à voir la résilience comme un avantage stratégique.

Getronics est prêt à soutenir cette transformation, en mettant en œuvre des cadres de confiance zéro, en améliorant la détection et la réponse, et en assurant la conformité avec DORA, NIS2, et au-delà.

Prochaine étape : Prenez rendez-vous avec notre équipe ou demandez une réunion d'information pour identifier la solution adaptée aux besoins de votre institution.