Si les établissements bancaires et financiers ont toujours été historiquement des cibles privilégiées des cyberpirates, la guerre en Ukraine n'a pas arrangé la situation, bien au contraire. Véritable vigie du système bancaire européen, le mécanisme de surveillance unique (MSU) composé de la banque centrale européenne (BCE) et des autorités bancaires nationales (comme la Banque de France dans l'Hexagone) instauré depuis la crise financière de 2008, avait ainsi appelé les banques européennes à la vigilance face aux risques cyber.
Un an après, la BCE passe à l'action, selon le Financial Times, pour pousser ces établissements à adapter et renforcer leurs capacités de défense contre les cyberattaques. « L'augmentation des attaques n'a pas encore entraîné de problèmes opérationnels majeurs dans les banques européennes, mais il est nécessaire de renforcer les défenses dans ce domaine », a expliqué Andrea Enria, président du conseil de surveillance de la banque centrale européenne. « Les banques doivent se préparer. Pour l'année prochaine, nous lançons un stress test sur leur cyber-résilience qui tentera de tester leur capacité à réagir et à se remettre d'une cyberattaque réussie ».
Des défis de long terme à relever
Alors que l'institution considère que jusqu'à présent l'impact des cyberattaques a été « globalement contenu », ces dernières ne constituent pas moins une « source d'inquiétude » pour plusieurs établissements financiers en Europe. Une protection qui s'accompagne d'une plus grande prise de conscience de la sécurité dans leur transformation digitale : « C'est un défi à plus long terme, et les banques doivent investir correctement, non seulement sur l'ouverture aux clients, mais aussi dans la construction d'infrastructures résilientes pour assurer la continuité dans la fourniture de services et faire face aux risques IT et cyber, comme nous l'avons mentionné. Ce sont donc des défis vraiment importants que les banques devront relever dans la durée », souligne Andrea Enria.
La BCE estime que la prolifération des cybermenaces, combinée à l'adoption du télétravail et à une plus grande interconnexion des systèmes accroit le risque, la fréquence et la gravité des cyberattaques. « De plus en plus, les cybercriminels lancent des attaques de rançongiciels et exigent des paiements en cryptomonnaies », indique de son côté Fabio Panetta, membre du comité exécutif de la banque centrale européenne. « Les cyberattaques liées aux développements géopolitiques - l'agression de la Russie contre l'Ukraine en particulier - sont également devenues une caractéristique plus courante du paysage des cybermenaces ». La récente cyberattaque contre le fournisseur tiers ION Cleared Derivatives dont les solutions sont utilisées par les entreprises du secteur de la finance, a également montré à quel point une attaque de type supply chain peut se répercuter sur ses clients.
Le fléau des ransomwares dans le viseur de la BCE
D'autres initiatives sont à signaler, au niveau local, pour préparer les établissements bancaires à des cyberattaques. Cela a par exemple été le cas en 2021 de la Banque d'Angleterre qui a mené un stress test cyber portant sur la capacité de résistance des systèmes de paiement en cas d'incident sévère sur l'intégrité des données. Mais à la différence de ce dernier, sur la base du volontariat, celui de la BCE sonne comme un appel à la mobilisation générale après les grands principes de résilience contre les ransomwares édictées lors du dernier G7 d'octobre 2022.
« Nous devons nous préparer aux attaques de rançongiciels sous différents angles. Tout d'abord, chaque entreprise doit être prête à repousser cette menace, soit par l'utilisation de bonnes pratiques de cyber-hygiène, soit en s'assurant que les données sont régulièrement sauvegardées, mises à jour et infalsifiables », a fait savoir Fabio Panetta. « Deuxièmement, les forces de l'ordre doivent mener des analyses forensics, localiser les agresseurs et unir leurs forces pour les poursuivre. Troisièmement, les crypto-actifs - en particulier les crypto-actifs non sauvegardés, qui sont utilisés pour effectuer des paiements de ransomware en raison de l'anonymat et des possibilités de blanchiment d'argent qu'ils offrent doivent être strictement réglementés. De même, les transferts de crypto-actifs doivent être traçables.
La FED aussi concernée par la résilience cyber
Aux Etats-Unis, la Réserve fédérale procède régulièrement à des « examens conjoints de la cybersécurité » des plus grandes banques américaines avec d'autres autorités compétentes. La Fed a déclaré l'année dernière qu'elle surveillait de près comment l'invasion à grande échelle de l'Ukraine par la Russie et d'autres événements géopolitiques pourraient conduire à une augmentation potentielle des cyberattaques susceptibles d'avoir un impact sur les infrastructures critiques, y compris le secteur des services financiers.
Commentaire