Une cyberintrusion hors norme a touché l'Office of the Comptroller of the Currency (OCC). Qualifiée d'« extrêmement grave » celle-ci survient à un moment où « l’excellent travail effectué pour améliorer la cybersécurité aux États-Unis est soumis à une pression extraordinaire », a réagi, David Shipley, le directeur de Beauceron Security, un fournisseur canadien de formations de sensibilisation à la sécurité, après l’alerte émise le même jour par l'OCC. Ce bureau indépendant du département du Trésor affrète, réglemente et supervise toutes les banques nationales des États-Unis. Comme l’y oblige la loi sur la modernisation de la sécurité fédérale (Federal Security Modernization Act - FISMA), l'OCC a notifié au Congrès ce qu’il a qualifié « d’incident majeur de sécurité de l'information ». Le communiqué précise que « des examens internes et par des tiers indépendants avaient montré que des courriels de l'OCC et des pièces jointes aux courriels avaient fait l'objet d'un accès non autorisé. »

Le 11 février 2025, l'OCC a appris qu’il y avait eu des interactions inhabituelles entre un compte d’administration dans son environnement bureautique et les boîtes aux lettres des utilisateurs de l'OCC. Le 12 février, l'OCC a confirmé que l'activité n'était pas autorisée et a immédiatement déclenché ses protocoles de réponse aux incidents, qui comprennent le lancement d'une évaluation indépendante de l'incident par un tiers et le signalement de l'incident à l'agence de cybersécurité et de sécurité des infrastructures (CISA). Le 12 février, l'OCC a désactivé les comptes d’administration compromis et confirmé que l'accès non autorisé avait pris fin. L'OCC a publié un avis public sur l'incident le 26 février.

Des investissements attendus pour renforcer la sécurité

Un rapport publié mardi indique que « des attaquants inconnus qui se sont introduits dans l’Office of the Comptroller of the Currency (OCC) du Trésor en juin 2023 ont eu accès à plus de 150 000 courriels ». Selon M. Shipley, le meilleur scénario serait que l’intrusion a été pilotée par un État-nation qui ferait simplement de l'espionnage et du travail préparatoire. Si c’est le cas, « l'OCC et le secteur bancaire national en général seraient très, très chanceux ». Le pire scénario serait « qu'une ou plusieurs entités réglementées par l'OCC aient été violées à la suite de la compromission des courriels », a-t-il ajouté. « C'est stupéfiant, et cela arrive à un moment où le bon travail réalisé pour améliorer la cybersécurité aux États-Unis est soumis à des pressions extraordinaires, à la fois pour limiter les gains et les connaissances en matière de réglementation, et aussi simplement les ressources pour s'attaquer à ce problème. »

M. Shipley espère que « cette alerte est suffisamment grave pour engager immédiatement des investissements en vue de protéger l'infrastructure critique des États-Unis ». Il compte aussi sur la publication d’un rapport complet et transparent sur l’intrusion pour pouvoir en tirer des leçons. Il estime également que malgré son rôle de régulateur ne signifie pas pour autant que l’OCC bénéficiait des ressources nécessaires pour se protéger. « Il y a lieu de se demander si ces agences extrêmement importantes disposent des ressources nécessaires pour se protéger. Et il y a fort à parier que si l'on y regarde de plus près, on trouvera des équipes IT extraordinairement sollicitées, surchargées de travail et ne disposant pas de fonds suffisants pour se protéger. C'est très ironique, mais je ne serais pas surpris ». Quant à l'identité du commanditaire de l’intrusion, M. Shipley trouve que, quel qu'il soit, « il est vraiment très audacieux de s'en prendre au département du Trésor », car c’est là qu’opèrent les services secrets. « C’est là que le Secret Service enquête sur la cybercriminalité financière, on peut donc dire que c’est l’une des agences les mieux dotées en ressources de la planète. Or, une entité s'est sentie assez audacieuse pour réussir ce coup, et depuis longtemps. Cela devrait effrayer pas mal de gens ».

Un briefing cybersécurité de haut niveau pour Rodney E. Hood

Dans une déclaration envoyée par courriel mardi soir, un porte-parole de l'OCC a déclaré que l'agence avait appris l'existence d'un accès non autorisé à son système de messagerie électronique le lendemain de l'entrée en fonction du contrôleur de la monnaie par intérim, l’Acting Comptroller of the Currency, Rodney E. Hood. Le 25 février, M. Hood « a reçu un briefing de haut niveau sur cet incident, et l'OCC a publié un avis public sur l'incident le jour suivant. À ce moment-là, M. Hood n'avait pas reçu d'informations détaillées sur la durée totale de l'accès non autorisé, ni sur le nombre et le contenu spécifiques des communications électroniques affectées », a indiqué le porte-parole, notant que l'OCC avait fait appel à des experts en cybersécurité tiers pour effectuer un examen complet sur l'enquête et les analyses médico-légales. « L'OCC applique un programme complet de sécurité de l'information et de cyberprotection pour protéger ses ressources d'information critiques, y compris les informations sensibles des institutions financières dont elle a la garde », a rappelé le porte-parole. L'agence met en œuvre des contrôles de sécurité et de confidentialité qui respectent ou dépassent les normes du National Institute of Standards and Technology (NIST), et elle évalue continuellement ces contrôles afin d'en mesurer l'efficacité.