Cybersécurité : comment faire face aux nouvelles menaces ?

07/10/2021

Les institutions bancaires et leurs partenaires sont sensibilisés depuis longtemps aux risques de cybersécurité qui pèsent sur leurs systèmes d’information, leurs applications et leurs données. Pour autant, les nouvelles menaces se font de plus en plus sophistiquées, obligeant chacun à redoubler de vigilance, mais aussi de coopération.

À l’image de toutes les institutions bancaires, Société Générale travaille depuis des années pour réduire les risques d’attaques qui pèsent sur les infrastructures, les applications et les données. Plus de 200 millions d’euros sont ainsi investis chaque année par le Groupe dans la cybersécurité. Pourquoi investir autant ? Car cette sécurité est au centre de la proposition de valeur d’une banque auprès de ses clients, mais aussi vis-à-vis des régulateurs. 

Si le risque “cyber” est déjà ancien, il se déplace et s'accroît au fil des années. Ces derniers temps, les menaces traditionnelles (phishing, attaques DDOS, ...) sont toujours bien présentes, mais elles sont complétées par des attaques plus indirectes, ciblant les fournisseurs et prestataires des institutions bancaires. Eux aussi peuvent être victimes de phishing, de malwares et d’attaques plus difficilement détectables. Le cas de la cyberattaque “SolarWinds” est à ce titre emblématique : le cheval de Troie s’attaquait, via une mise à jour, à un fournisseur dont les briques logicielles étaient intégrées directement dans les systèmes d’information des grands groupes. Détecter cette attaque s’est avéré particulièrement complexe, car elle touchait, qui plus est, un spécialiste de la sécurité… 

Répondre aux menaces “classiques” et développer sa résilience...

Pour répondre à ces nouvelles menaces, les entreprises et leurs dirigeants doivent déjà avoir pris des mesures contre les attaques traditionnelles, en sensibilisant collaborateurs et prestataires, de façon très régulière, et en s’équipant des outils de détection et de protection les plus avancés. Au sein de Société Générale, ceci nous permet par exemple de bloquer régulièrement des attaques DDOS (Distributed Deny Of Service, quelques-unes par mois), des programmes malveillants présents sur les sites internet ou reçus par les systèmes de messagerie (plusieurs centaines par mois), et bien sûr toutes les tentatives de phishing auprès des collaborateurs de la banque (plusieurs milliers par mois). Cette première condition remplie, il devient ensuite possible de s’attaquer aux menaces plus élaborées, telles que la détection des chevaux de Troie

Mais quelle que soit l’ampleur des mesures de protection prises, le risque ne disparaît pas pour autant. Face aux risques de cyber-attaques, les entreprises doivent donc également chercher à renforcer leur résilience : toutes les attaques n’étant pas évitables, il s’agit de faire en sorte que si jamais l’une d’entre elles parvient à ses fins, elle soit identifiée au plus tôt et que son impact reste limité. La notion de résilience était déjà intégrée par les institutions bancaires, sous l’angle de la résilience opérationnelle. Elle est désormais complétée par un renforcement du travail sur la résilience informatique, dans le but de garantir le fonctionnement des services les plus critiques et limiter les risques systémiques.

… avant de s’attaquer aux menaces plus complexes

Lorsque ce sont les fournisseurs qui sont ciblés, les mesures de prévention et de protection sont plus difficiles à prendre, mais elles existent. Les fournisseurs doivent être eux-mêmes de plus en plus vigilants : si l’enjeu est bien pris en compte par les grands prestataires du domaine informatique, ce n’est pas nécessairement le cas chez de plus petits acteurs.

Pour les banques, la tâche est complexe, dans la mesure où une institution bancaire collabore avec des centaines voire des milliers de prestataires. Face à cela, être en capacité d’identifier et de surveiller en temps réel les accès de ses fournisseurs et les flux de données générés devient crucial.

Une pratique de plus en plus fréquente est la micro-segmentation, qui consiste à isoler chaque application au sein du système informatique en limitant les échanges de ces applications avec le monde extérieur. Pour surveiller comment elle se comporte et identifier plus rapidement les flux suspects, l’analyse de données et le machine learning sont alors des alliés précieux, puisqu’un suivi manuel de tous les flux s’avère tout simplement impossible. Des algorithmes, qui se perfectionnent en permanence, permettent ainsi de détecter les comportements suspects, comme c’est déjà le cas de longue date pour les flux de paiements par carte bancaire, par exemple.

Travailler ensemble, à l’international et par grands domaines métiers

Néanmoins, la détection de la fraude et des cyber-attaques ne sera pleinement efficace que dans le cas d’une coordination accrue entre les différents acteurs concernés. Le CERT (pour Computer Emergency Response Team) de Société Générale est déjà en lien avec ceux des autres institutions bancaires et l’ANSSI en France, mais aussi à l’international. Mais lorsque les menaces se font de plus en plus larges, la coopération se doit d’être internationale et cross-métiers. C’est ensemble, en partageant nos alertes, nos bonnes pratiques et nos algorithmes de détection que nous parviendrons à déjouer plus efficacement les attaques.