Une attaque informatique géante, ce cauchemar redouté par les banques du monde entier

C’est le cauchemar des directeurs de banque mais aussi des clients. Imaginez que, du jour au lendemain, vos comptes ne soient plus accessibles. Les virements impossibles. Les distributeurs de billets inutilisables. Une cyberattaque d’ampleur sur les systèmes d’information des réseaux bancaires pourrait avoir de très lourdes conséquences… Dans le monde, on dénombrait une centaine de banques ayant déjà été attaquées dès 2015, et ce fut notamment le cas de la banque centrale du Bangladesh en 2016. En France, les établissements bancaires se préparent aujourd’hui au pire.

 

Le risque cyber est-il pris au sérieux ?

Le « risque cyber » désigne l’ensemble des risques liés à l’usage des technologies numériques. Et, oui, il est pris très au sérieux : « Le risque que nous surveillons le plus actuellement est le risque cyber », déclarait ainsi Jerome Powell, le président de la Réserve fédérale des États-Unis, en avril 2021.

 

À l’heure où les tensions géopolitiques entre l’Ukraine et la Russie sont élevées, les répercussions dans le monde numérique sont réelles. « La Russie est agressive dans l’espace cyber contre l’Europe », analyse Alban Ondrejeck, cofondateur d’Anozr Way, start-up spécialisée en cyberdéfense basée à Cesson-Sévigné, près Rennes (Ille-et-Vilaine). Les attaques informatiques sont une extension des terrains de guerre. « Il s’agit d’une guerre hybride. Le cyber est une arme de guerre. Déstabiliser l’économie, c’est déstabiliser un pays », ajoute celui qui a aussi été officier dans les services de renseignement français. Le risque cyber est aujourd’hui un des risques économiques majeurs.

 

Qu’a demandé la Banque centrale européenne ?

Le président du conseil de surveillance prudentiel de la Banque centrale européenne (BCE) a demandé, jeudi 10 février 2022, aux banques de s’assurer de disposer d’assez de personnel compétent pour traiter ce risque. La BCE incite les banques à mener des tests d’intrusion pour mesurer la solidité de leurs défenses car elle pointe des « faiblesses de l’infrastructure informatique des banques ». Elle les alerte aussi sur la part des sous-traitants qui interviennent pour les banques. Ils peuvent être une porte d’entrée pour les attaquants du web.

 

Une cyberattaque d’ampleur est-elle possible ?

« Je ne mets pas ma main à couper que cela n’arrivera pas. Dans l’industrie, aucun secteur n’est épargné. Reste à savoir quelle sera l’ampleur », confie Alban Ondrejeck.

 

Le secteur financier, qui était peu concerné en 2013, est maintenant une cible importante avec une exposition très similaire des banques (40 %) et des compagnies d’assurances (40 %), selon une étude de l’économiste Hélène Rey. « Même s’il n’a pas encore généré de crise systémique d’ampleur, le risque cyber est désormais identifié comme un des risques majeurs pour la stabilité financière », précise la direction générale du Trésor.

 

En quoi le secteur bancaire attire les attaques ?

C’est l’appât du gain, bien sûr, qui motive les cyberattaques visant le secteur bancaire. Mais pas seulement. « Il est fortement numérisé, ce qui accroît sa surface d’exposition, observe la direction générale du Trésor dans une note publiée en décembre 2021. Le secteur financier se caractérise également par de fortes interconnexions, accroissant les risques de propagation des chocs. » En clair, si une banque subit une attaque d’ampleur, les répercussions peuvent être en cascade pour tout le secteur de la finance…

 

« Le but des cyber attaquants est de créer un effet de panique. Pas besoin de bombe pour mettre à mal l’économie », glisse Alban Ondrejeck. C’est ce qu’on appelle un risque systémique. « C’est-à-dire que les conséquences de l’incident cyber se transmettent bien au-delà de l’entité initialement impactée, causant des dommages au système économique et financier dans son ensemble », souligne la Banque de France, dans une note des économistes chercheurs Stéphane Lhuissier et Fabien Tripier.

 

Les banques subissent-elles plus d’attaques ?

Oui, les cyberattaques contre les établissements bancaires sont un risque qui va croissant. « Depuis quelques années, porté par une numérisation continue de l’économie et du système financier, le risque cyber apparaît comme un risque dont la vraisemblance augmente sensiblement et qui est susceptible de présenter un fort impact », confirme la Banque de France, dans son évaluation des risques du système financier publiée début janvier 2022.

 

Les attaques se sont professionnalisées et sophistiquées. Au guichet aussi, les réclamations augmentent, selon Mireille Herriberry, à la tête de la Fédération FO Banques et Sociétés Financières. « Des salariés de banque voient de plus en plus des clients concernés par les fraudes. » La frontière est alors ténue entre escroquerie liée à une fraude ou à une négligence du client. Dans ce dernier cas, la banque ne le rembourse pas.

 

Comment les banques se préparent-elles ?

En juin 2021, la Banque de France « a conduit avec succès une simulation de crise cyber rassemblant plus de 800 participants de 24 entités de la place financière de Paris 8 »,explique-t-elle.

 

« Les banques historiques ont toujours été attaquées. Avant c’était au pistolet, désormais c’est par l’informatique », compare Alban Ondrejeck. Mais elles sont muettes sur l’arsenal technique déployé pour contrer les attaques. « Les banques sont très discrètes. Elles ne font rien remonter, c’est l’omerta », indique Mireille Herriberry. « C’est une façon de se protéger », souligne Alban Ondrejeck. La Banque Postale confirme néanmoins procéder « à des tests réguliers adaptés au niveau de menace, afin de vérifier [ses] process et garantir la protection des intérêts de [ses] clients ».

 

La Banque de France, elle, assure « disposer d’équipes dédiées au risque cyber, chargées de faire face à d’éventuelles menaces ou attaques. Elles sont mobilisées en permanence, prêtes à intervenir si nécessaire ». D’autre part, elle sensibilise tous ses agents au risque d’hameçonnage, en les formant et en procédant régulièrement à des tests. « 90 % des attaques ont lieu à cause d’une erreur humaine (ouverture d’un mail piégé…). Le défi pour les banques est à la fois technique mais aussi humain », relève Alban Ondrejeck.

 

Frédéric Guyonnet, à la tête du Syndicat national des banques, confirme : « En tant que salariés nous avons de plus en plus de contraintes, dit-il. Par exemple, nous ne pouvons plus ouvrir nos boîtes mail personnelles sur les postes (blocage) ni utiliser de clés USB (blocage). Désormais certains fichiers ou extensions de fichiers ne peuvent plus nous parvenir sur nos boîtes professionnelles… » Les équipes sont de plus en plus sensibilisées à ce risque.

 

Quels enjeux pour les banques ?

Selon le FMI, le système financier doit pouvoir reprendre rapidement ses activités même en cas d’attaque réussie, dans l’intérêt de la stabilité. « L’un des premiers défis des banques est de tester leur capacité à reprendre leur activité après attaque », complète l’expert en cyberdéfense Alban Ondrejeck.

 

Quel coût pour les banques ?

Dans le secteur financier, une étude américaine publiée en 2018 par Bouveret estime que « la perte moyenne annuelle liée aux cyberattaques représenterait environ 10 % du résultat net des banques au niveau mondial, soit environ 100 milliards de dollars ».

 

Dans son évaluation des risques du système financier, la Banque de France relève que « les attaques cyber représentent déjà un coût économique très important et constituent une menace potentielle pour la stabilité financière. Il est plus que jamais nécessaire de mettre en place rapidement des dispositifs permettant une réponse coordonnée de toutes les parties prenantes ».

 


Source Ouest-France