Mardi 3 mars s\u2019est tenue, dans les prestigieux locaux de l\u2019Ecole militaire de Paris, une conf\u00e9rence organis\u00e9e par l\u2019IHEDN et ENSAE Alumni sur les risques cyber, avec des orateurs de l\u2019Agence Nationale de la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Information (ANSSI), de Tracfin, de l\u2019Autorit\u00e9 des March\u00e9s financiers (AMF), ainsi que la responsable de la conformit\u00e9 de la Banque transatlantique. Nous souhaitons \u00e0 travers ce compte-rendu partager avec nos lectrices et lecteurs les principales id\u00e9es d\u00e9velopp\u00e9es au cours de cette conf\u00e9rence.<\/p>\n
La cyber-criminalit\u00e9 constitue un ph\u00e9nom\u00e8ne ancien, en particulier en mati\u00e8re boursi\u00e8re o\u00f9 elle peut prendre la forme de d\u00e9lit d\u2019initi\u00e9, de manipulation de cours ou de diffusion de fausse information. On citera \u00e0 ce sujet la fausse annonce de la mort de Napol\u00e9on 1er au London Stock Exchange en 1814, qui a donn\u00e9 lieu \u00e0 une hausse boursi\u00e8re dont les auteurs de l\u2019annonce ont profit\u00e9 en revendant ensuite avec profit les actions qu\u2019ils avaient pr\u00e9c\u00e9demment achet\u00e9es. Un peu plus tard, entre 1834 et 1836, c\u2019est un d\u00e9lit d\u2019initi\u00e9 qui \u00e9tait commis par les fr\u00e8res Blanc en piratant le t\u00e9l\u00e9graphe de Chappe avec la complicit\u00e9 d\u2019un employ\u00e9 de ce t\u00e9l\u00e9graphe, pour conna\u00eetre la cl\u00f4ture de la bourse de Paris et intervenir sur la bourse de Bordeaux avant que l\u2019information n\u2019y parvienne.<\/p>\n
Les techniques des d\u00e9linquants ont \u00e9videmment consid\u00e9rablement \u00e9volu\u00e9 depuis, et plusieurs affaires ont r\u00e9cemment d\u00e9fray\u00e9 la chronique, d\u2019importants vols de crypto-monnaies \u00e0 des virements frauduleux via le syst\u00e8me Swift subis par Cosmos Bank, banque coop\u00e9rative indienne, ou \u00e0 l\u2019attaque informatique dont Travelex a \u00e9t\u00e9 victime. Dans ce dernier cas, la menace a \u00e9t\u00e9 d\u00e9couverte le soir du 31 d\u00e9cembre 2019 et la soci\u00e9t\u00e9 britannique de change a alors \u00e9t\u00e9 oblig\u00e9e de mettre fin momentan\u00e9ment \u00e0 ses services en ligne par mesure de pr\u00e9caution afin de prot\u00e9ger ses donn\u00e9es.<\/p>\n
Le co\u00fbt du risque cyber rev\u00eat diff\u00e9rentes formes :<\/strong> co\u00fbt direct en termes de perte de chiffre d\u2019affaires, mais aussi co\u00fbt de rem\u00e9diation, car les syst\u00e8mes pirat\u00e9s doivent \u00eatre am\u00e9lior\u00e9s pour \u00e9viter la reproduction d\u2019attaques similaires, sans oublier les provisions pour contentieux lanc\u00e9s par des clients dont les donn\u00e9es confidentielles auraient pu \u00eatre divulgu\u00e9es. En outre, l\u2019\u00e9tablissement pirat\u00e9 subit g\u00e9n\u00e9ralement un co\u00fbt en termes de r\u00e9putation, et sa note peut \u00eatre d\u00e9grad\u00e9e par les agences de notation.<\/p>\n On estime le co\u00fbt de la cyber-crimimalit\u00e9 \u00e0 environ 645 Mds$ par an, soit pr\u00e8s de 1 % du PIB mondial. Cette estimation est bas\u00e9e sur l\u2019impact d\u2019une cyber-attaque sur le cours d\u2019une soci\u00e9t\u00e9 cot\u00e9e, mais elle n\u2019int\u00e8gre pas le co\u00fbt r\u00e9putationnel, difficile \u00e0 chiffrer.<\/p>\n L\u2019image du hacker isol\u00e9 dans son garage et en tenue de jogging est souvent contredite par l\u2019observation du r\u00f4le pr\u00e9\u00e9minent de groupes criminels tr\u00e8s organis\u00e9s et structur\u00e9s, qui peuvent d\u2019ailleurs \u00eatre li\u00e9s \u00e0 certains gouvernements. Un panel d\u2019experts nomm\u00e9 par le Conseil de S\u00e9curit\u00e9 des Nations Unies a ainsi estim\u00e9 l\u2019an dernier que la Cor\u00e9e du Nord \u00e9tait \u00e0 l\u2019origine des cyber-attaques dont la banque Cosmos a \u00e9t\u00e9 victime, dans l\u2019objectif de transf\u00e9rer des fonds de mani\u00e8re ill\u00e9gale afin de contourner les sanctions internationales dont ce pays est l\u2019objet.<\/p>\n Par ailleurs, m\u00eame si l\u2019origine de cette action n\u2019a pas \u00e9t\u00e9 formellement identifi\u00e9e, on soup\u00e7onne des activistes d\u2019\u00eatre \u00e0 l\u2019origine de la publication en novembre 2016 d\u2019un faux communiqu\u00e9 de presse selon lequel la soci\u00e9t\u00e9 Vinci aurait commis une erreur de 3,5 milliards d\u2019euros sur ses comptes qui aurait entra\u00een\u00e9 le licenciement de son directeur financier. Bien que d\u00e9mentie apr\u00e8s quelques minutes, cette fausse information a d\u00e9clench\u00e9 une chute du cours de la soci\u00e9t\u00e9 concern\u00e9e de 18 %, qui a ensuite \u00e9t\u00e9 corrig\u00e9e, mais a pu momentan\u00e9ment affecter l\u2019image de l\u2019entreprise victime. Seule l\u2019agence d\u2019information financi\u00e8re Bloomberg, qui avait imm\u00e9diatement diffus\u00e9 l\u2019information sans la v\u00e9rifier, a dans cette affaire \u00e9t\u00e9 sanctionn\u00e9e par l\u2019AMF, qui lui a inflig\u00e9 fin 2019 une amende de 5 millions d\u2019euros.<\/p>\n Les cyber-attaques peuvent ainsi avoir diff\u00e9rentes motivations. <\/strong>Ce peut \u00eatre bien s\u00fbr la recherche d\u2019un gain financier, par exemple par le ran\u00e7onnage, mais elles peuvent \u00e9galement r\u00e9pondre \u00e0 des objectifs de sabotage, d\u2019activisme ou \u00e0 la volont\u00e9 d\u2019une entreprise hostile de se doter d\u2019une cyber-infrastructure \u00e0 moindre co\u00fbt.<\/p>\n Les attaquants profitent g\u00e9n\u00e9ralement de la vuln\u00e9rabilit\u00e9 de syst\u00e8mes informatiques internes, mais l\u2019humain est le chemin de compromission le plus facile, via notamment des op\u00e9rations de Phishing. On \u00e9voque ainsi le cas d\u2019un fichier intitul\u00e9 \u00ab\u00a0Bonus.docx\u00a0\u00bb utilis\u00e9 pour r\u00e9cup\u00e9rer les adresses IP d\u2019utilisateurs, qui a \u00e9t\u00e9 ouvert par 30 % des professionnels d\u2019une grande banque, pourtant form\u00e9s \u00e0 la cybers\u00e9curit\u00e9, qui l\u2019ont re\u00e7u. La tentative d\u2019intrusion dans le syst\u00e8me d\u2019une banque peut aussi, comme cela s\u2019est d\u00e9j\u00e0 produit, servir de man\u0153uvre de diversion pour mobiliser les \u00e9quipes informatiques de la cible, alors qu\u2019une autre action est men\u00e9e par ailleurs, par exemple pour d\u00e9clencher des ordres de versement de cash sur des distributeurs de billets, que des \u00ab\u00a0mules\u00a0\u00bb pr\u00e9venues viennent alors r\u00e9cup\u00e9rer. Les donn\u00e9es personnelles d\u00e9rob\u00e9es peuvent aussi \u00eatre ensuite utilis\u00e9es pour mener des campagnes d\u2019achat de titres aupr\u00e8s des titulaires des comptes pirat\u00e9s, poussant ainsi \u00e0 la hausse des cours des titres concern\u00e9s.<\/p>\n Les clients des \u00e9tablissements financiers constituent un chemin de compromission fr\u00e9quemment utilis\u00e9, et l\u2019on a pu voir des attaques utilisant des adresses IP de clients que les pirates avaient r\u00e9ussi \u00e0 r\u00e9cup\u00e9rer. Les d\u00e9partements des banques en charge de la conformit\u00e9 ont ainsi pour mission de surveiller, prot\u00e9ger, et bien s\u00fbr d\u00e9clarer les op\u00e9rions suspectes.<\/p>\n L\u2019AMF observe \u00e9galement que la s\u00e9curit\u00e9 des op\u00e9rations de trading est bien moindre que celle des op\u00e9rations de cr\u00e9dit. Alors qu\u2019on estime \u00e0 plus de 50 % les op\u00e9rations de march\u00e9s d\u00e9clench\u00e9es par des algorithmes de trading, un piratage de ces algorithmes ou un ralentissement des syst\u00e8mes de transaction peuvent faire perdre des sommes consid\u00e9rables aux acteurs concern\u00e9s.<\/p>\n Les organismes publics producteurs d\u2019indicateurs \u00e9conomiques sensibles, susceptibles d\u2019impacter l\u2019\u00e9volution des march\u00e9s financiers, peuvent \u00e9galement \u00eatre soumis \u00e0 des risques de d\u00e9lit d\u2019initi\u00e9. Avec le d\u00e9veloppement du trading \u00e0 haute fr\u00e9quence qui essaie de tirer parti de variations de cours sur des p\u00e9riodes tr\u00e8s courtes, le potentiel de gains tir\u00e9s de la d\u00e9tention de ces statistiques s\u2019est accru, ce qui n\u00e9cessite de mieux s\u00e9curiser le chemin de l\u2019information financi\u00e8re produite.<\/p>\n Les victimes sont des entreprises de toutes r\u00e9gions – l\u2019Asie semble toutefois particuli\u00e8rement touch\u00e9e – et tous secteurs, mais le secteur financier repr\u00e9sente environ 20 % des attaques, \u00e0 travers des fraudes ou extorsions de fonds, des attaques de distributeurs automatiques de billets, de faux ordres de virements ou des vols de crypto-actifs. A titre d\u2019exemple, la banque centrale du Mexique a reconnu en 2018 que des cyber-attaques avaient vis\u00e9 le syst\u00e8me de paiement interbancaire mexicain, aboutissant au d\u00e9tournement de plus de 15 millions de dollars selon les d\u00e9clarations faites \u00e0 l\u2019\u00e9poque.<\/p>\n Les institutions publiques elles-m\u00eames peuvent parfois \u00eatre touch\u00e9es, y compris les banques centrales, par exemple celle du Bangladesh ou celle de Russie victime en 2016 de pirates informatiques qui sont parvenus \u00e0 d\u00e9rober des dizaines de millions de dollars en s\u2019introduisant dans son syst\u00e8me informatique via l\u2019utilisation de l\u2019identifiant d\u2019un de ses clients. Le risque d\u2019une panique bancaire ne peut \u00eatre exclu si une banque centrale majeure devait \u00eatre pirat\u00e9e.<\/p>\n Ainsi, 80 % des d\u00e9clarations de soup\u00e7ons transmises \u00e0 Tracfin, \u00e9l\u00e9ment important dans la communaut\u00e9 du renseignement financier, concernent le secteur financier, et en particulier des op\u00e9rations en lien avec les crypto-actifs, en plein essor, et dont la tra\u00e7abilit\u00e9 est moins facile que celle d\u2019op\u00e9rations financi\u00e8res plus traditionnelles.\u00a0 Il peut s\u2019agir de la vente de produits ill\u00e9gaux sur le \u00ab\u00a0darkweb<\/em>\u00a0\u00bb, par exemple pour effectuer des achats d\u2019armes, de la revente de coordonn\u00e9es bancaires vol\u00e9es, et du blanchiment des revenus g\u00e9n\u00e9r\u00e9s par l\u2019achat d\u2019or en bitcoins. Le repr\u00e9sentant de Tracfin cite \u00e9galement le cas la cr\u00e9ation de faux bitcoins par un informaticien qui cr\u00e9ait des jeux de r\u00f4le et en mettait \u00e0 disposition une version gratuite t\u00e9l\u00e9chargeable.<\/p>\n Face \u00e0 ces menaces, toute entreprise se doit d\u2019effectuer une analyse des risques auxquels elle est soumise, et d\u2019identifier les actions \u00e0 entreprendre en cas de piratage, par exemple au cas o\u00f9 certaines donn\u00e9es confidentielles deviendraient publiques, la rapidit\u00e9 de la r\u00e9action \u00e9tant un crit\u00e8re important de ma\u00eetrise des co\u00fbts engendr\u00e9s.<\/p>\n Les diff\u00e9rents acteurs publics ont \u00e9videmment un r\u00f4le important \u00e0 jouer. L\u2019ANSSI s\u2019est ainsi d\u00e9fini trois grandes missions:<\/p>\n Tracfin souligne de son c\u00f4t\u00e9 l\u2019importance de la cr\u00e9ation d\u2019une culture de la conformit\u00e9 chez les nouveaux acteurs, notamment les GAFA am\u00e9ricaines ou BAXT chinoises. Son repr\u00e9sentant rappelle \u00e0 cette occasion que les professions assujetties \u00e0 la r\u00e9glementation LCB\/FT de lutte contre le blanchiment et la fraude sur les transactions, vont au-del\u00e0 des professions financi\u00e8res\u00a0: cette r\u00e9glementation concerne \u00e9galement les prestataires de services de prestation de monnaie \u00e9lectronique, les entreprises de services de paiement ou celles qui proposent une gestion de compte en crypto-actifs.<\/p>\n Quant \u00e0 l\u2019AMF, outre son r\u00f4le de veille active et sa participation aux groupes de travail internationaux et europ\u00e9ens pour lutter de mani\u00e8re coordonn\u00e9e contre la cybercriminalit\u00e9 financi\u00e8re, elle propose des actions de formation et de sensibilisation des acteurs r\u00e9gul\u00e9s ou non, et mentionne parmi ses priorit\u00e9s la r\u00e9gulation de la finance digitale.<\/p>\n Enfin, au sein des \u00e9tablissements financiers, les dispositifs de conformit\u00e9, dont les principaux objectifs sont le respect de la r\u00e9glementation et la pr\u00e9servation des donn\u00e9es, se sont consid\u00e9rablement renforc\u00e9s.<\/p>\n","protected":false},"excerpt":{"rendered":" Mardi 3 mars s\u2019est tenue, dans les prestigieux locaux de l\u2019Ecole militaire de Paris, une conf\u00e9rence organis\u00e9e par l\u2019IHEDN et ENSAE Alumni sur les risques cyber, avec des orateurs de l\u2019Agence Nationale de la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Information (ANSSI), de Tracfin, de l\u2019Autorit\u00e9 des March\u00e9s financiers (AMF), ainsi que la responsable de la conformit\u00e9 de […]<\/p>\n","protected":false},"author":9,"featured_media":4816,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[165,135],"tags":[],"class_list":["post-4815","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-finance-durable","category-tribune","et-has-post-format-content","et_post_format-et-post-format-standard"],"_links":{"self":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts\/4815","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4815"}],"version-history":[{"count":0,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts\/4815\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/media\/4816"}],"wp:attachment":[{"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4815"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4815"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4815"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Qui sont les cyber-criminels\u00a0?<\/strong><\/h3>\n
Quels sont les chemins de compromission\u00a0?<\/strong><\/h3>\n
Et les victimes\u00a0?<\/strong><\/h3>\n
Comment r\u00e9duire les risques\u00a0?<\/strong><\/h3>\n
\n