Saviez-vous que les sociétés de services financiers étaient les plus vulnérables aux cyberattaques ? Dans l'étude commanditée par le cabinet Deloitte, les services financiers arrivent en tête des 26 secteurs les plus ciblés par les cybercriminels. Pas vraiment le genre de compétition qu'une entreprise souhaite remporter ! Et pour aggraver les choses, 70 % des entreprises de ce secteur ont fait l'objet d'une cyberattaque réussie l'an dernier — la pandémie mondiale ayant probablement joué un rôle d’accélérateur.
#ProblèmesTransformationNumérique
Ces dernières années, le secteur de la finance a traversé de nombreux changements. Entre la concurrence accrue des nouveaux entrants numériques et des banques en ligne, les changements de législation comme la DSP2, la montée du bitcoin et l'utilisation de la blockchain (solution ou menace, l'avenir nous le dira), la liste des changements continue à s’allonger.
Face à cet environnement en pleine mutation, les établissements financiers misent sur la transformation numérique de leurs activités et une digitalisation accrue. Un socle logiciel flexible et évolutif constitue la clé pour le déploiement immédiat de nouveaux services. L'utilisation d'API permet également aux entreprises d’accélérer la diversification de leurs offres de services et de technologies. Et pour améliorer l'expérience utilisateur, d'autres technologies avancées sont progressivement adoptées. On assiste ainsi à l'ouverture de comptes numériques, au développement des paiements interpersonnels (P2P) et du Cloud Computing.
Si ces nouvelles technologies génèrent des avantages énormes pour le secteur financier et ses clients, qu'en est-il des risques sur le plan de la cybersécurité ?
Top 5 des menaces pour la sécurité des services financiers
L'intégration de nouvelles technologies permet aux institutions financières d'atteindre leurs clients par des moyens nouveaux et innovants, mais présente également un risque pour les données sensibles. Identifiants, coordonnées de banques et d'établissements de crédit, noms d'utilisateurs et mots de passe… toutes ces données figurent parmi les informations les plus convoitées. Or en cas de violation, les conséquences peuvent être dévastatrices pour les entreprises et leurs clients.
Observons de plus près les principales menaces qui pèsent sur la cybersécurité des établissements financiers.
1. Chaîne d'approvisionnement (supply chain)
Il peut sembler étrange de parler de chaîne d'approvisionnement pour une société de services financiers. Généralement, on associe la supply chain au déplacement d'objets et de marchandises. Et de fait, les chaînes d'approvisionnement des institutions financières n'ont pas grand-chose à voir avec les chaînes d'approvisionnement d'une entreprise qui vend des biens physiques. La chaîne d'approvisionnement est exposée à plusieurs menaces qui visent certaines de ses composantes clés, dont :
- Le transfert de connaissances et d'informations
- Les cycles de trésorerie de durées variables suivant les transactions
- Les partages de données avec des tiers et des vendeurs
- Le stockage des données
Chacune de ces composantes génère des risques et crée une surface d'attaque aux cibles multiples.
Tout d'abord, le réseau interne et externe d'une organisation se compose de personnes. Ce sont elles qui détiennent et partagent des connaissances et des informations. Il y a donc toujours un risque de perdre des données — que ce soit par excès de confiance, à cause d'une fraude ou d'une erreur humaine.
Plus le cycle de trésorerie est long, plus le risque est élevé. S'il faut procéder à plus de vérifications, le nombre de transmissions d'informations augmente, ce qui accroît encore le risque de compromission des données sensibles. Divers tiers et vendeurs interviennent souvent à différents moments du cycle de trésorerie. Or, le manque de transparence entre ces tiers tout au long de la chaîne d'approvisionnement peut être particulièrement dangereux. C'est notamment le cas lorsque la compréhension du fonctionnement de ces organisations est restreinte. Qui plus est, avec des protocoles de cybersécurité limités et des mesures d'hygiène numérique peu appliquées, toutes les informations ou données partagées avec ce fournisseur deviennent alors à risque.
Cela nous conduit au dernier point, le stockage des données. De nombreuses organisations utilisent des drives partagés ou dans le cloud pour échanger et stocker des informations. Bien que très utiles, ces systèmes peuvent, s’ils ne sont pas configurés correctement, laisser un pirate accéder facilement aux données. Par sécurité, les entreprises doivent donc instaurer des contrôles qui passent, notamment, par la limitation des accès aux utilisateurs de confiance et l'activation de l'authentification multifacteurs.
2. Technologies émergentes
Comme évoqué plus haut, les établissements financiers utilisent les nouvelles technologies pour rester dans la course. Mais ces technologies émergentes sont une arme à double tranchant. D'un côté, elles constituent un levier d'innovation et d'efficacité, mais de l'autre, elles créent un risque supplémentaire en ouvrant potentiellement de nouvelles portes d’entrée dans l'organisation. La blockchain, l'Internet des Objets (IoT) et la 5G ont la cote auprès des directeurs des systèmes d'information (DSI) et des directeurs techniques. Malheureusement, ces types de technologies souvent peu réglementées présentent dans bien des cas un risque élevé. En cause : les vulnérabilités logicielles et l'absence de standard de sécurité universel pour l'IoT. De plus, les cybercriminels ont souvent une longueur d'avance avec les nouvelles technologies qu'ils déploient pour passer à l'attaque.
3. Vol et manipulation de données
Du fait de la liquidité du secteur financier, le vol de données dans les entreprises de la finance représente une véritable manne pour les cybercriminels. La manipulation des données est également en plein essor, avec des pirates qui menacent de détruire ou de modifier des données — alimentant ainsi une vague de méfiance planétaire. Même conscientes des risques d’altération et/ou de vol de leurs données financières, de nombreuses organisations ont [tout de même] fait l’objet d’attaques par ransomware. Les cybercriminels exigent alors une somme d'argent en échange de la restitution des données ou de l'accès à celles-ci à l'aide d'une clé de déchiffrement.
4. Pénurie de talents
Le contexte actuel de télétravail et les progrès technologiques ont clairement mis en évidence la pénurie de professionnels de la cybersécurité. Or, la tâche qui les attend est titanesque, surtout dans les entreprises qui gèrent leur infrastructure à clés publiques (PKI) et leurs logiciels [associés] en interne. Sans pilotes compétents aux commandes de leur cybersécurité, les entreprises ont peu de chances que leurs employés soient formés aux règles et bonnes pratiques d'hygiène numérique. Dans les établissements financiers, le personnel pourrait alors devenir la plus grande menace.
5. Attaques par ransomware
Selon un rapport de sécurité d'Akamai, le mode opératoire de plus de 90 % des attaques menées contre le secteur des services financiers s'appuierait sur quatre types de malwares spécifiques :
- L'injection SQL (SQLi)
- L'inclusion de fichiers locaux (LFI)
- L'injection de code indirect (XSS)
- L'injection OGNL (Java)
Chacun vise des applications web axées sur les données. Le code inséré vise à piéger un site pour l'inciter à révéler des informations ou à autoriser le téléchargement de fichiers sur le serveur. Si ces applications conservent des informations sensibles, l'organisation visée peut avoir de graves problèmes.
Conseils de sécurité et bonnes pratiques à l'attention des services financiers
Nous venons de voir quels étaient les principales menaces et les risques pour le secteur financier. Passons maintenant en revue quelques méthodes qui peuvent aider les sociétés de services financiers à muscler efficacement leur cybersécurité.
Former les employés
Comme nous l'avons déjà souligné, le personnel d'une entreprise peut devenir sa plus grande menace. C'est en éduquant et en formant leurs employés aux dangers et aux bonnes pratiques de cybersécurité que les organisations financières pourront changer la donne. Principaux points de vigilance :
- Password usage – Ensure employees are using secure passwords incorporating a mixture of letters, numbers, and special characters.
- Two-factor authentication – Set up an extra layer of protection on employees’ work devices as well as their personal devices, especially if a ‘Bring Your Own Device’ (BOYD) policy is in place.
- Social engineering attacks – Look out for warning signs of baiting or attempts to trick employees into giving away confidential information.
- Phishing scams – Train employees to check emails before opening or downloading attachments, keeping an eye out for emails that originate from unknown addresses and avoiding suspicious links which could open a pathway for hackers.
Mettre à jour vos systèmes
Pour réduire les chances de succès d'une attaque, mettez à jour tous les systèmes et toutes les applications de votre entreprise. Malgré la simplicité apparente de cette mesure, la tâche peut devenir titanesque, si l'entreprise utilise des logiciels sur mesure ou opère avec un vaste environnement numérique. Une bonne hygiène numérique se révèle alors cruciale avec des mises à jour régulières pour éviter les perturbations au quotidien.
Chiffrer les données
Comme souligné précédemment, les données financières représentent un véritable jackpot pour les hackers. Tous les systèmes numériques contiennent des données sensibles qu'il faut protéger par des technologies de chiffrement. Bien souvent, les professionnels IT en interne n'ont ni le temps ni les compétences spécifiques pour chiffrer les données de toutes les applications. Pensez à faire appel à des experts en cybersécurité pour vous aider à sécuriser et chiffrer vos e-mails, et vos autres systèmes.
Auditer les solutions de sécurité et le niveau de leur cybersécurité
Les entreprises financières doivent régulièrement tester la robustesse de leurs mesures de cybersécurité, notamment lors de l'intégration de nouvelles technologies et du changement d'applications et de logiciels. Elles peuvent pour cela engager des « white hats », et autoriser ces hackers éthiques à les pirater. Les vulnérabilités décelées sont ensuite remontées à l’entreprise. Pour confirmer leurs contrôles de confidentialité, d'intégrité et de sécurité, les sociétés financières devront chercher à obtenir une certification ISO « Technologies de l'information et techniques de sécurité » de l'Organisation internationale de normalisation.
Investir dans des mesures et des professionnels de la cybersécurité
Pour sécuriser leur réseau, les entreprises de services financiers peuvent utiliser une infrastructure réseau évolutive à large bande passante. Elles pourront mettre en place des options de sécurité renforcée et offrir à leurs collaborateurs un environnement de travail sécurisé. Il leur faudra aussi investir dans l'authentification – service proposé par GlobalSign – pour contrôler les accès et vérifier les utilisateurs et les équipements. Enfin, elles pourront faire appel à des professionnels de la sécurité pour mettre en place une bonne hygiène numérique et créer une culture positive de la cybersécurité chez leurs collaborateurs.
Conclusion
Nous l’avons vu : la cybersécurité représente un point absolument central pour les entreprises de services financiers. C’est une démarche qui exige du temps, de la planification et des investissements pour créer un environnement sécurisé. Vous ne savez pas par où commencer ? Contactez nos experts en PKI !
