Depuis le Far West jusqu’aux cyberattaques, en passant par les casses mémorables, les banques, gestionnaires de l’argent, ont, depuis leur création, suscité l’avidité et la créativité des escrocs et constitué une cible privilégiée. Avec la transformation numérique, les attaques informatiques contre les banques se sont multipliées. Il y a 25 ans, les relations avec les clients se déroulaient essentiellement en agence par l’intermédiaire de conseillers. Le développement d’internet et la croissance des transactions électroniques ont certes permis de mieux contrôler les risques opérationnels grâce à la diminution des facteurs d’erreurs humaines ou opérationnelles, mais il a également fait apparaître de nouveaux risques dont celui de la cybercriminalité.

La criminalité représente aujourd’hui un défi sans précédent pour les banques françaises en termes de sécurité des systèmes d’information, de continuité d’activité et de protection des données. Elle s’appuie notamment sur de nouvelles failles potentielles liées à l’explosion des données (mégadonnées ou big data), à l’utilisation croissante des mobiles et applications bancaires et sur le développement des API (Application Programming Interface).

La cartographie des risques, réalisée par le Mécanisme de surveillance unique (MSU) pour 2020, illustre les grands facteurs de risque à l’œuvre dans le système bancaire sur un horizon de deux à trois ans. Parmi ceux-ci, la « cybercriminalité et les carences informatiques » viennent en troisième position juste après les « défis dordre économique et politique et en matière de soutenabilité de la dette dans la zone euro », et la « soutenabilité des modèles dactivité ». Pour l’éditeur de logiciels McAfee, la cybercriminalité serait le troisième plus grand fléau économique dans le monde, derrière la corruption dans le secteur public et le trafic de stupéfiants. Elle représenterait 1 000 milliards de dollars de chiffre d’affaires par an, soit environ 1 % du produit intérieur brut (PIB) mondial et toucherait en particulier les banques. D’après le Boston Consulting Group, les entreprises financières seraient 300 fois plus susceptibles d’être ciblées. En outre, durant la crise sanitaire de la Covid-19, certains experts ont observé que les établissements bancaires ont été particulièrement exposés eu égard à un recours massif au télétravail.

La cybercriminalité peut émaner d’acteurs multiples, internes comme externes aux établissements bancaires. Les acteurs internes sont ceux qui ont accès aux données cibles. Les acteurs externes sont par exemple des groupes spécialisés dans le développement de programmes malveillants et virus informatiques ; des groupes en charge de l’exploitation et de la commercialisation de services permettant de réaliser des attaques informatiques ; des hébergeurs malhonnêtes ; des groupes proposant la vente de données volées.

A ce jour, aucune définition universelle de la cybercriminalité n’a été admise, chaque nation ayant défini cette notion selon ses propres critères. Vincent Lemoine, chef du groupe cybercriminalité de la Brigade de recherches de Nanterre, définit la cybercriminalité comme « un ensemble datteintes aux biens ou aux personnes commises via lutilisation des nouvelles technologies ». Après avoir dressé un état des lieux des cyberattaques à l’encontre des banques, nous évoquerons les initiatives pour lutter contre la cybercriminalité.

La cybercriminalité représente désormais une véritable menace pour les banques

La cybercriminalité : une menace bien réelle

Les transformations numériques incitent tout le monde – les banques, les cybercriminels et les experts de la cybersécurité – à innover. Les banques sont confrontées au défi de la transformation numérique sous deux angles : l’accroissement de la cybercriminalité et l’engouement des particuliers pour toujours plus de numérisation des services bancaires. D’après la Fédération Bancaire Française, 55 % des Français ont téléchargé au moins une application bancaire. 89 % d’entre eux la consultent au moins une fois par semaine et pour près de la moitié d’entre eux chaque jour, que ce soit pour suivre l’évolution de leurs comptes, gérer leur budget ou leurs transactions. Les smartphones se métamorphosent progressivement en outil de paiement universel.

Porteuse d’opportunités, la transformation numérique des banques a cependant renforcé leurs vulnérabilités. L’explosion des données (mégadonnées/big data), l’ouverture croissante des systèmes (banque ouverte/open banking) et l’augmentation de la surface d’attaque font naître des cyberattaques inattendues. Ainsi la cybercriminalité ne cesse de croître : intrusion, fuite, vol de données, etc. Un rapport semestriel de la Banque de France intitulé « Evaluation des risques du système financier français » publié en juin 2021 confirme que « l’accroissement de la surface numérique augmente l’exposition aux cyberattaques ». Si la crise sanitaire liée à la Covid-19 a poussé les banques à accélérer leur transformation numérique, elle a augmenté également les expositions aux cyberattaques. Dans le rapport précité, la Banque de France alerte sur le rôle que la crise de la Covid-19 a joué sur la forte augmentation de la cybercriminalité.

Etat des lieux des principales cyberattaques contre les banques

Les cybermenaces ne cessent de se multiplier et touchent toutes les couches de l’espace numérique comme les infrastructures et les données.

Les cyberattaques au niveau de lenvironnement externe des banques

  • Le déni de service et le déni de service distribué (DDOS) : Le déni de service (DoS) est le refus temporaire d’accès à des ressources ou informations résultant d’une malveillance et le déni de service distribué (DDoS) est une technique malveillante de diffusion massive de fausses requêtes destinée à bloquer un système. Par exemple, un pirate va lancer une attaque par « déni de service » pour empêcher les clients d’une banque d’accéder à son site web. Une attaque par déni de service ne met pas en péril les données d’une banque mais l’interruption du service va lui coûter cher.
  • Des logiciels malveillants (« malwares ») sur les terminaux : Les banques comptent un très grand nombre de terminaux qui représentent des points de vulnérabilité pour les pirates. Les cybercriminels s’attaquent en priorité aux canaux bancaires numériques : l’espace bancaire en ligne, les applications mobiles, les paiements sur internet, les DAB, etc. Un exemple de ce type de cybercriminalité est le piratage de DAB (« jackpotting») qui permet de récupérer les billets contenus dans un distributeur automatique de billets en installant un logiciel malveillant.

Le piratage des données

Avec le développement des services bancaires en ligne et mobiles, les banques se sont vu confier une quantité exponentiellement croissante de données personnelles. Ces données particulièrement sensibles font du secteur bancaire une cible de choix pour les criminels.

  • Expansion du télétravail et augmentation de la cybercriminalité : Le télétravail, qui s’est intensifié dans le contexte de la crise sanitaire et du confinement, a été une porte ouverte aux cyberattaques. En effet, le télétravail en masse a parfois conduit au partage de données sensibles de la clientèle bancaire sur des réseaux non sécurisés, accroissant les fuites de données. Une étude intitulée « Covid-19 and cyber risk in the financial sector» (Bulletin n° 37 de la Banque des règlements internationaux, 14 janvier 2021), met en évidence une corrélation positive entre intensité du télétravail et fréquence des cyberattaques par secteur d’activité.
  • L’hameçonnage ou « phishing» : un véritable fléau en plein essor : L’hameçonnage consiste à envoyer massivement un faux courriel, apparemment authentique, utilisant l’identité d’une institution financière ou d’un site commercial connu, dans lequel on demande aux destinataires de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux serveur Internet, copie conforme du site de l’institution ou de l’entreprise. Le pirate récupère ensuite ces informations, en vue de les utiliser pour détourner des fonds à son avantage. Les banques restent les principales victimes de l’hameçonnage.
  • Cyberattaque par logiciel rançonneur (« ransomware») : En 2021, des attaques par logiciel rançon ont eu lieu toutes les deux secondes dans le monde, selon l’agrégateur de données Cybersecurity Ventures. Le ransomware consiste à verrouiller l’accès à un ordinateur ou à des données personnelles en les chiffrant. Pour déchiffrer les données avec une clé cryptographique ou disposer de l’équipement ou de la clé permettant de déverrouiller la machine, la victime doit verser une rançon, qui le plus souvent s’effectue à l’aide de Bitcoins. Les pirates ont en effet recours le plus souvent à un cryptoactif comme moyen de paiement de la rançon pour éviter le système bancaire traditionnel et le traçage des virements. Un ransomware se propage de la même manière qu’un cheval de Troie. Un rapport sur l’état des ransomwares dans le secteur des services financiers publié par Sophos révèle que 34 % des entreprises du secteur financier ont été touchées par un ransomware en 2020.
  • Le risque de cyberattaque à l’heure du système bancaire ouvert ou « open banking » : Il s’agit d’un système de partage des données des clients entre banques et tiers, permettant aux clients de gérer leurs différents comptes ouverts auprès de prestataires multiples au sein d’une seule et même application et de comparer les offres. Les données personnelles des clients constituent le patrimoine des banques traditionnelles. Leur divulgation, exigée par la deuxième directive sur les services de paiement (DSP2) va générer des interconnexions croissantes entre les parties prenantes (banques, Fintechs, clients) et partant, accroître les risques de cyberattaques.
Les conséquences de la cybercriminalité pour les banques

Les cyberattaques sont devenues tellement récurrentes dans ce secteur que la cybercriminalité est désormais considérée comme un nouveau facteur de risque pour la stabilité financière.

Le coût financier de la cybercriminalité

Qu’elles soient directes ou indirectes, les pertes liées à la cybercriminalité demeurent significatives. Les banques étant soumises à des exigences réglementaires strictes ont un coût moyen de violation de données nettement supérieur à celui des entreprises moins réglementées comme l’hôtellerie, les médias et la recherche.

Les cyberattaques, de plus en plus ciblées, sont de plus en plus coûteuses. Elles entraînent des dommages liés à la perte d’information, à l’interruption de services, à la perte de revenus, au coût des équipements endommagés dont les DAB, aux amendes liées à la fuite de données. Dans son rapport d’évaluation des risques du système financier français de décembre 2021, la Banque de France déclare que « le coût global des pertes liées à la cybercriminalité est extrêmement difficile à évaluer mais une étude du Center for Strategic and International Studies (CSIS) de 2020 estime qu’il aurait augmenté de plus de 50 % en deux ans ». Pour Luc Tentillier et Eric Cissé (Accenture Security), « tous secteurs dactivité confondus, le secteur financier (banques, marchés de capitaux et assurances) paye le plus grand tribut, avec un coût de 18,5 millions de dollars en moyenne par entreprise, soit 40 % de plus que le coût annuel moyen (13 millions de dollars). De mars 2020 à mars 2021, les attaques à l’encontre des institutions financières ont augmenté de 38 % dans le monde. La hausse est de 238 % entre février et avril 2020, période qui correspond à la survenance de la Covid-19.

Réputation en ligne des banques face à la cybercriminalité

Le socle de la relation entre la banque et son client étant la confiance, il est essentiel de la préserver en mettant en œuvre tous les moyens nécessaires pour la sécurité des informations. Les clients attendent d’une banque qu’elle protège les informations personnelles sensibles qui lui sont communiquées. La multiplication des cybermenaces nuit foncièrement à l’image et à la réputation des banques.

Le risque cyber est devenu une menace pour la stabilité financière

En raison des fortes interconnexions financières et technologiques, de la numérisation croissante des activités bancaires, et avec des systèmes de plus en plus ouverts, la cybercriminalité est devenue un risque systémique pour les banques. La Banque de France, dans son évaluation des risques du système financier français publiée le 10 janvier 2022, présente la cybercriminalité comme l’un des principaux dangers pour les acteurs de la finance en 2022, au côté de la menace d’un retournement boursier et de l’endettement public et privé.

Au total, l’imagination sans limite des pirates qui emploient des méthodes de plus en plus sophistiquées et l’apparition de nouveaux processus métiers dans l’ère de la numérisation, augmentent la surface d’attaque et d’exploitation des vulnérabilités. Comment lutter contre ces cyberattaques qui sont de véritables tsunamis et qui mettent les banques en péril ?

Quels sont les moyens de lutte contre la cybercriminalité ?

La résilience des banques 

Dans son rapport annuel sur les résultats du « Processus de surveillance et d’évaluation prudentielle » (« Supervisory Review and Evaluation Process », SREP) de juillet 2021, la Banque centrale européenne (BCE) souligne notamment que beaucoup de services bancaires essentiels s’appuient sur des technologies obsolètes ou vulnérables qui ne répondent pas aux exigences réelles de la gestion des risques. Concernant la cybersécurité des établissements bancaires, elle n’est pas la même partout. Une étude de D-rating[1] de juin 2020, révèle qu’il existe des écarts importants au niveau des moyens mis en œuvre par les différents établissements bancaires pour se protéger des cyberattaques et que la France fait partie des mauvais élèves.

Cela étant, les banques déjouent quotidiennement les tentatives de cyber-attaques. Les sites internet des banques ou les ordinateurs des collaborateurs pouvant être des cibles, depuis des années, les banques réalisent d’importants investissements pour se prémunir de tels risques, afin de maintenir un degré de sécurité élevé. Ainsi, pour accroître l’efficacité de leur cyber-résilience, certains organismes bancaires ont mis l’accent sur trois dimensions principales. Tout d’abord, l’intégration de la gestion des vulnérabilités et des risques au cœur de leur stratégie de sécurité de manière à ce que les moyens alloués et les activités soient coordonnées avec les autres activités opérationnelles. Ensuite, une attention très soutenue vis-à-vis des sous-traitants. Enfin, la poursuite des actions de sensibilisation à la cybersécurité auprès des utilisateurs, acteurs-clés d’un dispositif de protection efficace.

En résumé, pour lutter contre ce grand banditisme numérique, il faut faire de la cybersécurité une priorité et y consacrer le budget nécessaire afin que les banques soient mieux armées pour anticiper et se protéger des menaces qui augmentent de façon exponentielle et qui évoluent constamment.

Les réponses apportées au niveau national

Pour répondre à la cybercriminalité qui pèse sur le secteur bancaire, les autorités de supervision ont renforcé progressivement leur action.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Autorité des marchés financiers (AMF) se sont engagées en février 2018 pour une coopération renforcée dans le domaine de la protection des systèmes d’information. En outre, face à la forte augmentation et à la sophistication des cyberattaques et à leurs impacts, l’ANSSI a pour mission d’accompagner les opérateurs d’importance vitale dans la sécurisation de leurs systèmes d’information particulièrement sensibles. « Un opérateur d’importance vitale (OIV) est un opérateur pour lequel l’atteinte au fonctionnement ou à la sécurité de l’une de ses installations sur le territoire national peut avoir un impact important sur la Nation, notamment sur le fonctionnement de l’économie. Les OIV sont répartis en 12 secteurs d’activité d’importance vitale, parmi lesquels le secteur des finances, qui inclut les activités bancaires », rappelle le ministère de l’économie. Le dispositif des OIV est prévu par le code de la défense (articles L.1332-1 et suivants).

En juillet 2016, la Fédération bancaire française (FBF) et la Police judiciaire ont signé un accord de partenariat. Ainsi, au travers de cette collaboration, une banque victime d’une cyberattaque ou ayant détecté un tel risque, pourra transmettre, en toute sécurité et confidentialité, les informations afférentes aux services de police pour analyse. Cette analyse permettra de mieux comprendre les attaques et de pouvoir prendre des mesures adéquates afin d’en limiter les impacts dommageables.

Face à l’augmentation des cyberattaques, l’Autorité de contrôle prudentiel et de résolution (ACPR) a souhaité apporter un cadre aux banques et assurances. A cet effet, en mars 2018, elle a édité un document de réflexion sur le risque informatique qui a été soumis à remarques et commentaires jusqu’au mois de juin 2018. Par ailleurs, la Fédération bancaire française (FBF) et le Comité français d’organisation et de normalisation bancaires (CFONB) émettent régulièrement des recommandations pour lutter contre la fraude sur les moyens de paiement. Ces recommandations sont relayées par les banques auprès de leurs clients.

La coopération européenne et internationale, clef de voûte de la lutte contre la cybercriminalité

Face à des attaques de plus en plus virulentes, l’urgence d’une coopération des banques à l’échelle européenne et internationale se fait sentir. En effet, la menace de cyberattaques ne s’arrêtant pas aux frontières, les actions des superviseurs doivent s’inscrire dans un cadre européen et international afin de garantir la coordination des initiatives.

Coopération européenne 

Les autorités européennes ont cherché à renforcer la résilience des institutions financières. Dans ce contexte, la Commission européenne a présenté le 24 septembre 2020 des propositions législatives pour soutenir la résilience opérationnelle numérique dans le secteur financier qu’elle définit comme étant « la capacité des entreprises à sassurer qu’elles peuvent résister à tous types de perturbations et de menaces liées aux technologies de linformation et de la communication (TIC) ». Parmi ces propositions législatives figure le projet de Règlement sur la résilience opérationnelle numérique « Digital Operational Resilience Act » ou DORA qui vise à mettre en place un cadre détaillé et complet sur la résilience opérationnelle numérique pour les institutions financières de l’Union européenne. Par ailleurs, Mastercard Europe et Europol ont signé un partenariat afin de coordonner les objectifs de lutte contre la cybercriminalité en Europe. Enfin, le 16 décembre 2021, la Commission européenne a publié un « paquet cyber » articulé autour d’une « stratégie européenne de cybersécurité ».

 Coopération internationale

Les pays membres du G7 plaident pour l’instauration d’actions coordonnées et d’un partage d’informations entre les institutions financières. De son côté, dans une étude intitulée « Cyber Risk and Financial Stability » de Frank Adelmann et al. du 7 décembre 2020, le Fonds monétaire international souligne que « le cyber-risque est un problème de stabilité financière mondiale qui exige un effort mondial unifié ». Il suggère les domaines prioritaires suivants pour la poursuite des travaux : 1) Amélioration de l’analyse du cyber risque et de son intégration dans l’analyse de la stabilité financière ; 2) Convergence des réglementations ; 3) Amélioration de la résilience opérationnelle et de la capacité de riposte ; 4) Renforcement du partage de linformation ; 5) Renforcement des mesures de dissuasion ; 6) Développement des capacités.

Cette hausse vertigineuse de la cybercriminalité prouve que la croissance des TIC ne s’accompagne pas toujours de mesures de sécurité préventives pour riposter aux attaques. D’où la nécessité impérieuse d’adopter le principe de « précaution numérique » que la société appelle de ses vœux. Alex Türk, ancien président de la Commission nationale de l’informatique et des libertés, utilise la métaphore de la « grenouille ébouillantée » pour justifier et réclamer la mise en œuvre du principe de précaution numérique. Une grenouille plongée dans une casserole d’eau bouillante essaiera de se débattre et de s’enfuir. Le même batracien plongé dans de l’eau tiède se sentira bien. Si l’on augmente la température, il se laissera engourdir et finira par mourir ébouillanté, sans avoir jamais réagi. Interrogeons-nous sur le fait de savoir si nous ne trouvons pas parfois dans ce type de situation, faute d’avoir pris des mesures préventives.

 

Mots-clés : Cybercriminalité – Banques – Stabilité financière – Phishing – Ransomware.

[1] D-rating : agence de notation des performances numériques des entreprises.

Céline Antonin et Nadia Antonin