Le Cyber-risque est présent dans tous les domaines d’activités, que ce soit en politique, dans l’industrie comme dans le secteur de la santé. Mais parmi les terrains de jeux privilégiés des cybercriminels, le secteur financier reste l’un des plus prisés. Avec une année 2016 fortement marquée en termes d’attaques, tant sur leur volume que sur leur ampleur, ce secteur et notamment les banques vont connaître selon certains spécialistes une année 2017 bien plus risquée.
Mais si les organismes bancaires touchés font souvent la une via le relais des médias, qu’en est-il du consommateur final ? Quels sont vraiment les risques pour chacun d’entre nous, clients des banques, et comment sommes-nous protégés vis-à-vis de ces cyberattaques ?
Des clients bancaires particulièrement touchés
Si le système financier est depuis longtemps l’une des cibles privilégiées des cybercriminels, 2016 a marqué un tournant dans le nombre mais aussi dans le type d’attaques subies par les organismes financiers. Parmi les plus touchées, les banques de détail et d’investissement, mais surtout leurs clients finaux, nous. Cela s’explique notamment par une raison, la présence de failles très facilement exploitables au niveau des systèmes accessibles directement par les clients. Les DAB (distributeurs automatiques de billets), les TPE (terminaux de paiement électronique) et les moyens de relation avec le client comme les espaces client bancaires font en effet des cibles idéales pour les cyberattaques. La banque en ligne est également une cible privilégiée car totalement dématérialisée avec des services gérés exclusivement via internet.
La multiplication des canaux utilisés par le client, et la complexité à les sécuriser est un vrai casse-tête pour les banques. Avec des opérations bancaires de plus en plus réalisées via le site internet ou les applications mobiles, l’exposition au risque va continuer à s’élever. Le niveau de sécurité de ces canaux est très faible, à l’instar des DAB qui sont depuis longtemps une cible facile apportant néanmoins un gain important.
Qu’en pense alors le client final ? Outre la sensation d’insécurité face à ces menaces, cela se traduit aujourd’hui par un fort manque de confiance envers les organismes financiers. Le manque de visibilité sur leur capacité à protéger l’argent mais aussi, et surtout, les données confidentielles de leurs clients entraîne un sentiment de doute sur la faculté de ces organismes à mettre en place des systèmes de défense opérationnels et efficaces. Mais quels sont les cyber-risques auxquels les clients des banques sont exposés et quelles sont réellement les conséquences ?
Des Skimmers aux vols de données, une gamme d’attaque large aux impacts très différents
Le type d’attaques qui reste certainement aujourd’hui l’un des plus répandu est le Skimmer. Qu’il soit « interne », installé directement dans un lecteur de carte bancaire, ou « externe », reproduction de tout ou partie de la façade de la machine de retrait ou du terminal de paiement, ce moyen de piratage est à l’origine de la perte de plusieurs millions d’euros en 2016. L’impact de ces attaques est concret pour l’utilisateur final qui se voit dépossédé de son argent. D’autres types d’attaques ciblent les DAB, notamment les malwares ALICE et RIPPER. Ces malwares peuvent être installés via le système d’exploitation de la machine ou via le réseau utilisé par la machine afin d’infiltrer directement le SI de la banque visée. L’impact sur les clients se matérialise par divers aspects, comme ce fût le cas lors d’une attaque RIPPER en Thaïlande en 2016 : vol d’argent, fermeture de tous les distributeurs de la banque, perte de clients, etc.
Outre ces attaques très répandues, les vulnérabilités techniques des interfaces clients permettent l’émergence d’attaques type Ransomwares et DDoS. Les attaques telles que celle par DDoS envers la HSBC ou l’intrusion dans le système bancaire de la banque TESCO montrent les impacts significatifs envers les clients : blocage des sites bancaires et apps mobile, donc des opérations clients ou encore vol de 2,5M£ à 9000 clients. Le paysage n’est néanmoins pas totalement sombre, car pour ces deux attaques les banques ont tout de même réussi à contrôler les impacts en gardant notamment un certain nombre de fonctionnalités actives pour leurs clients.
Des banques conscientes de la nécessité de protéger leurs clients
La relation client est depuis longtemps un enjeu primordial pour les banques. La nature des opérations proposées ainsi que les données détenues font peser sur ces acteurs de fortes attentes. Ainsi, la progression et la diversification des cyber-attaques envers les organismes financiers inquiètent le client quant à la sécurité de son argent et de ses données personnelles. Cependant, selon l’étude Wavestone La vie privé à l’ère du numérique, les banques se placent tout de même en acteur numéro un sur la confiance que leur apporte leurs clients autour de la question de l’utilisation de leur données personnelles. En contrepartie, ces derniers ont une exigence grandissante en terme de sécurité. Tout l’enjeu pour les banques consiste donc à créer un climat de confiance grâce à la mise en place de mesures concrètes et surtout à une communication transparente sur ces actions.
Chaque année, les banques réalisent d’importants investissements pour maintenir un haut degré de sécurité sur leur système d’information. La cybersécurité est en effet au cœur des préoccupations des banques et de nombreuses actions sont menées pour la protection contre les intrusions, en assurant une meilleure gestion des identités et en mettant en place des systèmes d’authentification forte pour les utilisateurs. L’Union Européenne est très concernée par ces risques et souhaite pouvoir vérifier que les dispositifs de sécurité mis en œuvre sont efficaces. Pour ce faire, l’Autorité Bancaire Européenne pourrait se voir chargée d’organiser des tests de résistance (stress tests) auxquels seraient soumises les banques européennes.
La collaboration avec les Startups et PME innovantes est aussi un enjeu capital pour les banques. Une première expérience est menée en ce sens avec « Banking CyberSecurity Innovation Awards », le premier trophée dédié à la cybersécurité dans le domaine bancaire, lancé par Wavestone et Société Générale. Mais ces investissements doivent impérativement être complétés par des campagnes de sensibilisation, car un certain nombre d’attaques peuvent être évitées grâce à une meilleure connaissance des risques et des moyens de protection par le client. Celui-ci doit donc lui aussi se responsabiliser puisqu’il a un important rôle à jouer dans la protection de ses données et moyens de paiement. La Fédération Bancaire Française a d’ailleurs lancé en ce sens le programme d’éducation financière « Les clés de la banque » permettant aux clients particuliers comme entreprises de disposer d’outils pédagogiques les aidant à mieux appréhender, entre autres, les cyber-risques bancaires.
Banques et clients doivent être acteurs de la lutte contre la cybercriminalité. Les attaques qui touchent les clients aujourd’hui via les DAB ou les TPE mutent peu à peu vers des actions de plus en plus profondes. C’est notamment via les interfaces clients que les cybercriminels vont conduire leurs attaques en prenant un temps de préparation plus long pour assurer des impacts plus large, comme ce fût le cas en 2016 avec l’attaque contre la Bangladesh Bank. Le rôle du client est encore une fois primordial car il se trouve à une multitude de points d’entrée de potentielles attaques. Sa vigilance et sa connaissance des risques ont donc un impact significatif.