Sans surprise, les marchés financiers sont une cible de choix pour la cybercriminalité. Selon une étude* récente sur la connaissance et la prise de conscience du cyber-risque parmi les entreprises européennes, près de 9 entreprises sur 10 dans le secteur bancaire et financier ont connu une cyber-violation au cours des cinq dernières années.
Quelles menaces ?
Plusieurs formes de menaces existent. Les cyber-criminels investissent du temps et de l’argent pour faire des attaques compliquées. Leurs cibles doivent être assez qualifiées pour justifier de tels investissements. Si pour les criminels avoir accès aux soldes bancaires des clients est une valeur, c’est également le cas des concurrents qui peuvent voler des algorithmes de négociation précieux, acquérir des informations sur les positions commerciales et la stratégie, ou bien encore de nombreuses autres informations financières ou secrets commerciaux. Au global, les menaces existent tant à l'intérieur qu'à l'extérieur des organisations - et elles peuvent être à la fois délibérées et totalement involontaires. Les initiés malveillants et les brèches accidentelles peuvent causer autant de dégâts.
Quelles attaques ?
Au cours des dernières années, les cyberattaques ciblant les banques ont entraîné d'innombrables interruptions d’activité. En novembre 2016, une attaque a violé 20 000 comptes chez Tesco Bank. La société a dû rembourser les clients à hauteur de 2,5 millions de Livres sterling et est actuellement confrontée à des amendes potentielles. En janvier 2016, des millions de clients ont été touchés par une attaque DDoS dont HSBC a été victime. Cette attaque a bloqué l’accès Internet pendant un certain nombre d'heures. Les systèmes ont été défendus avec succès, mais les utilisateurs étaient toujours bloqués pendant des heures le premier jour de paie de l'année. Une autre brèche a touché le troisième plus important prêteur du secteur privé ; l'Axis Bank. Un hacker offshore était entré dans le système. En 2015, Dridex, une forme de malware utilisé par les cyber-gangs pour voler des données de carte de paiement, a permis aux criminels de voler autour de 20 millions de Livres sterling, au Royaume-Uni seul. Aujourd'hui, les données sont un enjeu considérable pour l'industrie financière. C’est pourquoi, les instances législatives obligent les entreprises à mieux protéger leurs clients contre ce type de cyber événements ou contre toutes conséquences de leur inaction en matière de protection.
Le règlement général sur la protection des données de l'Union Européenne (le GDPR) introduira des lois strictes en matière de traitement des données des consommateurs, à partir de 2018. Toute organisation traitant des données des citoyens de l'Union Européenne devra signaler toute violation dans les 72 heures suivant sa découverte. A défaut, l’organisation sera sanctionnée à hauteur de 4% du chiffre d'affaires annuel mondial ou de sommes pouvant atteindre 20 millions d’euros. Les incidents tels que la violation de la Banque de Tesco pourraient entraîner des amendes allant jusqu'à 1,9 milliard de Livres sterling sous ce nouveau règlement GDPR.
Pour quelles conséquences ?
Les conséquences d’une brèche vont bien au-delà des attaques elles-mêmes. Elles ont également des conséquences sur les baisses des actions, sur la réputation de l'entreprise et sur l'attrition des clients. Elles peuvent causer la perte immédiate de clients et une baisse de l’acquisition de nouveaux. Du côté du risque réputationnel, il est encourageant de voir que la cyber sécurité est de plus en plus considérée comme une responsabilité intrinsèque au secteur bancaire et financier. 47% des dirigeants d’entreprises prennent maintenant toute la mesure de leur responsabilité personnelle dans la gestion des cyber-violations. Cependant, cette prise de conscience médiatique autour des nouvelles règles GDPR reste superficielle parmi les chefs d'entreprise : 53% de ces dirigeants prétendent qu'ils savent "peu" ou "rien" sur la manière dont ce GDPR peut affecter leurs activités.
Quelles bonnes pratiques ?
Pour être pleinement préparées, les entreprises doivent avoir une attitude proactive face à la cybercriminalité et aux cyber-violations. Bien que 9 établissements financiers sur 10 aient signalé une cyber-violation au cours des cinq dernières années, seuls 46% craignent que cela ne se reproduise. Compte tenu de l'agitation que subit le FinTech et du foisonnement des technologies nous allons inévitablement expérimenter une augmentation des brèches cyber. Partout où il y a du digital et des affaires, la cybercriminalité suit.
Les cyber-brèches résultent d'innombrables formes très complexes. Par exemple, les emails d'hameçonnage sont souvent indiscernables à partir d'un courrier électronique classique - en particulier pour l'employé landa. La « pêche aux gros » (« whaling targets ») vise des individus particuliers grâce à des emails intelligemment et personnalisés qui se font passer pour un cadre supérieur, un collègue ou un partenaire commercial. Le « Ransomware » ou « rançongiciel », l'une des formes les plus populaires d'attaques, permet aux auteurs de crypter l'empreinte de données entière d'une organisation, exigeant rançon en échange de la clé de décryptage. Cela peut freiner efficacement les opérations de l'entreprise et menacer les données critiques. Cependant, il ne faut pas se méfier des cybercriminels. Les menaces d'initiés et les brèches accidentelles sont également des risques pressants auxquels il faut s'attaquer de façon proactive : les entreprises doivent se concentrer sur la «sécurisation de l'humain» ainsi que sur la technologie.
Compte tenu de cette relation inévitable entre la technologie, les affaires et la cybercriminalité, il est crucial que les entreprises restent informées sur leur exposition au cyber-risque et les meilleures façons d'atténuer et de transférer le risque. À mesure que la menace évolue, ériger une forteresse est insuffisant. Les entreprises ont besoin d’être accompagnées après une brèche. La cyber-assurance est beaucoup plus qu'une rémunération financière. Elle fournit aux entreprises les connaissances et les meilleures pratiques pour se prémunir contre les cyber-menaces et peut protéger le bilan d'une société financière en fournissant le soutien et le conseil nécessaires pour éviter le pire. Autrement dit, les entreprises ne sont jamais entièrement préparées à moins d'avoir une cyber-assurance en place. La nature des menaces est en constante évolution et diffère d'une entreprise à l'autre. Il est essentiel de s'assurer que la problématique est entre les mains d'experts. Les gestionnaires et les décideurs ont pour obligation d’assurer à leurs clients et employés que leur entreprise est correctement protégée et assurée. Ce processus commence maintenant.
* Source : étude Lloyd's menée en septembre 2016 auprès de 350 décideurs européens (dont 31 en France).