Braquage 2.0

« Le secteur bancaire est le mieux protégé ». « Les investissements réalisés au cours de ces dernières années, nous ont permis de rattraper notre retard ». « Nous arrivons à anticiper plusieurs centaines d’attaques par jour »… À en croire les cadres ­dirigeants des grandes banques ­françaises, la question de la cybersécurité est sous contrôle. Pourtant, aucun n’a voulu s’exprimer publiquement sur le sujet. Tous se sont contentés de mettre en avant leurs bonnes pratiques. Et force est de constater que les moyens employés sont importants et innovants. Les banques françaises peuvent même se vanter de ne pas avoir été ­touchées par les récentes attaques de ­ransomwares.

Des frontières poreuses

Est-ce suffisant pour contrôler cette menace d’un nouveau genre ? Pas sûr. Depuis 2016, les exemples se multiplient et montrent bien l’ampleur du phénomène. En février dernier, des organismes bancaires néerlandais ont reconnu avoir été les cibles d’une attaque massive. Si aucun argent n’a été directement dérobé, la majeure partie de leurs services bancaires ont été paralysés, entraînant des pertes financières importantes. Quelques mois plus tard, un rapport publié par la Banque centrale de Russie indiquait que, au cours des deux ­dernières années, des hackers avaient détourné près de 5 millions d'euros en utilisant le réseau de communication interbancaire Swift. Rien qu’aux États-Unis 500 millions de données clients auraient été volées dans le ­secteur financier depuis 2015.

En France, le phénomène semble pour le moment plus limité. En 2017, l'agence nationale pour la sécurité des systèmes d'information (Anssi) a traité vingt incidents majeurs. Mais, en réalité, la liste des cyberattaques est déjà plus longue. En effet, les banques ne sont pas tenues de communiquer sur le sujet, sauf en cas d’incidents majeurs. Quand ces fraudes sont limitées, les grands groupes préfèrent bien souvent garder le silence. « Chaque jour, nous subissons près d’une centaine d’opérations frauduleuses sur l’ensemble de notre réseau », reconnaît le directeur d’une banque.

Car toutes les cyberattaques ne se valent pas. Les banques distinguent trois zones dans leurs systèmes informatiques avec des risques plus ou moins élevés : les systèmes clients, comme lors d’achats en ligne, les systèmes exposés, comme les flux interbancaires, et les systèmes internes, comme les logiciels métiers. La complexité réside dans le fait que ces différentes zones sont poreuses et qu’un hacker peut en profiter pour passer de l’une à l’autre. En ­utilisant Internet comme réseau pour ­transporter leurs fonds, les banques aiguisent l’appétit d’un nouveau type de délinquence. Fini les attaques de camions blindés. Désormais, les braqueurs opèrent confortablement installés derrière leur ordinateur.

Deep learning et coopération

Les systèmes clients sont les plus exposés aux cyberattaques, mais les risques sont minimes. Au contraire, les attaques en interne sont plus rares mais beaucoup plus dangereuses. Les backdoors – technique permettant à un hacker de prendre le contrôle d’un ordinateur à distance, grâce à un fishing envoyé sur une adresse e-mail – sont ce que redoutent le plus les directeurs de la sécurité informatique. « Ce genre de procédé ouvre de manière persistante la porte de nos systèmes, explique l’un d’entre eux. La situation est d’autant plus délicate qu’il peut se passer des semaines avant d’identifier ces failles. »

Pour se protéger, les banques ne lésinent pas sur les moyens. Selon une étude réalisée par Accenture, elles y consacrent en moyenne 10 % de leur budget informatique, soit environ 50 millions d’euros pour les plus grands groupes. Toutes ont mis en place des systèmes de pare-feu en double barrière. Les dépenses les plus importantes sont consacrées au deep learning. Capable de corréler et d’analyser des milliards de données en temps réel, cette technique permet aux banques de repérer les attaques et parfois même de les anticiper. « Notre ­objectif est de connaître leurs modes d’action pour mieux nous protéger », explique un directeur de la sécurité. Une autre approche consiste à travailler avec des experts extérieurs pour vérifier la qualité du réseau. Très utilisé aux États-Unis, le bug bounty consiste à travailler avec des hackers blancs afin que ces derniers identifient les bugs ou les failles du système de sécurité. Ces professionnels d’un nouveau genre sont rémunérés à la faille détectée. Les montants versés peuvent varier d’une centaine à des dizaines de milliers d’euros.

Pour être plus efficaces, les grandes banques coopèrent. Elles ont, par exemple, développé des Computer emergency response teams (CERT). Ces centres sont chargés d’identifier et de réagir aux attaques. Mais peu importe ce que font les banques, les hackers semblent avoir toujours un temps d’avance. Certains analystes soupçonnent des États d’être ­derrière des attaques massives. Sans surprise, la Russie, la Corée du Nord et l’Iran sont les pays les plus actifs dans le piratage des institutions financières. Face à ces enjeux colossaux, la guerre est devenue mondiale.

Entre réglementation et autorégulation

Dans cette course à la protection, les banques ont pu compter, dès le début, sur le soutien des gouvernements. À partir de 2013, les grandes banques françaises ont été classifiées comme Organismes d’importance vitale (OIV) dans le cadre de la loi de programmation militaire. Quant aux régulateurs, ils n’hésitent pas à légiférer tous les ans. Au cours des derniers mois, les directeurs des systèmes d’information ont dû gérer trois grands textes. Le premier concerne l’accès aux comptes par des tiers. La directive sur les services de paiement (DSP2), entrée en vigueur en janvier 2018, prévoit que chaque banque instaure des authentifications fortes. Le deuxième texte est le règlement général sur la protection des données personnelles (RGPD). Depuis mai 2018, les entreprises doivent s’engager à respecter la confidentialité et la sécurité des données qu’elles gèrent. Enfin, la directive Network and Information Security (NIS) ­élargit au secteur bancaire l’obligation de renforcer leur cybersécurité.

Risque systémique

Mais, face à des menaces qui évoluent de plus en plus vite, les banques n’hésitent pas à se réguler sans attendre les décisions des autorités. Après le scandale de la Banque du Bangladesh qui s’était fait dérober 81 millions de dollars à la suite d’une intrusion dans ses systèmes, la Swift a lancé Customer Security Programme, un manifeste recensant seize règles pour sécuriser les systèmes et leur accès. L’organisation laisse à ses membres jusqu’à la fin de l’année pour se mettre en conformité avec ces recommandations. Celles qui ne rempliront pas les conditions ne pourront plus faire partie du réseau. Une initiative saluée par les régulateurs qui souhaitent néanmoins aller plus loin. La Banque centrale européenne s’est même saisie du dossier. Selon elle, les hackers représentent un danger aussi important pour la stabilité financière que les subprimes il y a dix ans. Dans un système financier interconnecté, leurs attaques constituent un risque systémique. L’institution européenne réalise désormais des tests ne portant que sur cette thématique et réfléchit à la mise en place de stress tests dédiés. Pour sa part, l'Autorité bancaire européenne (EBA) a indiqué qu’elle établirait des lignes directrices avant la fin de l’année. Le jeu du chat et de la souris est loin d’être terminé.

Vincent Paes