Entre vieilles menaces et nouveaux risques

22% des attaques dans le monde¹

Derrière l’industrie manufacturière, le secteur financier concentre 22% des cyberattaques partout dans le monde

UNE CIBLE PRIVILÉGIÉE

Selon le rapport du Boston Consulting Group (BCG) en 2019, les services financiers subissent 300 fois plus de cyberattaques que les entreprises d’autres secteurs

[1] Etude IBM

Les 5 principaux types d’attaques

Malwares, ou utilisation de logiciels malveillants qui injectent vers, virus ou chevaux de Troie dans les appareils, les serveurs ou les réseaux

Services tiers, ou lorsque les attaques perpétrées chez des fournisseurs se répercutent sur les systèmes informatiques des banques ou des assureurs

Hameçonnage (phishing), ou quand les hackeurs récupèrent des identifiants de connexion ou des données sensibles en contactant directement des opérationnels

Usurpation de site (spoofing), avec des dispositifs consistant à imiter les adresses du site Internet du service financier pour rediriger le client vers un faux site

Travail à distance, avec des fuites potentielles de données lorsque les collaborateurs travaillent depuis des équipements non couverts par les mesures de cybersécurité mises en place par les organisations

La sophistication des attaques

Les exemples de cyberattaques sont nombreux. Mais c’est surtout la créativité des hackers et, désormais, l’essor de l’intelligence artificielle, qui donnent naissance à des attaques d’une complexité et d’une subtilité exceptionnelles.

On peut ainsi relever que l’IA générative est en mesure de produire des emails de phising bien plus efficaces et avec un taux de clic plus élevé que ceux rédigés par des êtres humains. On entre également dans l’ère de l’hyper-trucage, avec du phising vocal pour simuler la voix d’une personne et inciter, par exemple, un décideur à réaliser un virement. Enfin, en matière d’agression contre les systèmes eux-mêmes, les hackers peuvent avoir recours à de l’IA pour cibler plus rapidement des failles de sécurité.

La diversification des points de contact

La banque « multicanal » ne date pas d’hier, mais la diversité des points de contact entre l’établissement financier et son client reste importante voire augmente : en agence, sur une application mobile, par Internet, au téléphone, au guichet… On ajoute à cela de nouveaux modes de transaction comme le paiement instantané et cela peut vite devenir un cauchemar pour les cyber-experts de la banque.

L’Open-Banking embrouille les flux transactionnels

Avec la directive européenne sur les services de paiement (DSP2), la « banque ouverte » est plus que jamais une réalité. Une logique d’« open-banking » qui aboutit à la multiplication des API pour permettre aux particuliers et aux tiers d’accéder à leurs données financières personnelles. Si cela représente une valeur ajoutée pour l’écosystème d’un établissement financier (temps réel, expérience utilisateur…), cela s’accompagne aussi d’un casse-tête en matière de cyber-sécurité :

La diversité des canaux de transactions rend plus difficile l’identification des transactions légitimes par rapport aux transactions frauduleuses
Les nouveaux types de transactions donnent naissance à de nouvelles fraudes sur les paiements
Les données transmises par les API sont potentiellement plus vulnérables à des vols ou des attaques

L’interdépendance risquée des systèmes informatiques

L’intégration des systèmes informatiques au sein du secteur financier est relativement avancée. Cela pose des interrogations voire des risques élevés en cas de panne ou d’interruption d’un système, pouvant se répercuter sur les autres systèmes.

Repenser ses stratégies

La complexité de l’informatique et la digitalisation galopante des services financiers doit inciter les acteurs du secteur à imaginer de nouvelles réponses et approches pour limiter les cyber-risques :

Impliquer davantage les experts de la cybersécurité au niveau des comités de direction

Permettre aux cyber-experts de mieux comprendre les orientations technologiques, afin qu’ils puissent anticiper les méthodes à mettre en œuvre pour protéger les systèmes informatiques

Se tourner plus proactivement vers les technologies Cloud pour équilibrer les moyens de défense

LE VISAGE DES EXPERTS DE LA CYBERSÉCURITÉ ÉVOLUE

Les talents dont ont besoin les services financiers de demain pour protéger leurs systèmes :

Le consultant en cybersécurité : un des profils les plus recherchés pour sa capacité à conseiller et à adopter une vision stratégique
L’architecte SSI : un expert qui conçoit des solutions en veillant à ce que les choix technologiques respectent les règles de sécurité de l’organisation
L’ingénieur en cybersécurité : ce profil plus opérationnel s’attache à identifier les failles du système et à apporter les réponses correctives
Le pentester : un professionnel de plus en plus indispensable pour mettre à l’épreuve les systèmes en initiant/ reproduisant des attaques et intrusions
Le gestionnaire de crise cyber : avec une approche plus globale, cet expert détermine un plan d’actions suite à une attaque pour en limiter l'impact.

Des partis-pris technologiques doivent être engagés

Le premier parti-pris est, sans aucun doute, le Cloud. Certes, il fait débat au sein du secteur des services financiers mais il présente l’avantage d’une réponse plus complète face à la diversité des risques cyber. Dans un secteur où l’innovation et la productivité augmentent en permanence, l’adoption du Cloud permet d’évoluer avec une meilleure maîtrise des risques et de la conformité.

Le partenariat avec l’éditeur est évidemment un élément-clé du succès !

L’autre grand parti-pris technologique est celui de l’intelligence artificielle et du machine learning.

Ces approches technologiques offrent de nouvelles armes dans les mains des cyber-experts pour anticiper les attaques et augmenter le niveau de sécurité globale. On peut ainsi citer l’impact positif de l’IA dans les processus de vérification d’identité ou la sécurisation des transactions bancaires à travers une détection plus fine des variations de comportement des utilisateurs.

S’il y a un domaine en constante évolution, c’est celui de la cybersécurité. Les hackers sont connus pour se montrer toujours plus créatifs. Et avec la généralisation de l’IA, les risques sont de plus en plus élevés.

À NOTER !

D’après plusieurs études, la frilosité des acteurs du monde financier à l’égard de cette technologie tient souvent à la migration. Or, une mise en œuvre bien exécutée va, in fine, apporter davantage de garanties et de résilience.