Comment les cybercriminels menacent la finance

Trois types d’attaques sont responsables de 75 % des cas de cyberattaques à l’encontre d’institutions financières.

Vous pensez peut-être que la menace d’une attaque en ligne recule; vous avez tort. Les assauts des cybercriminels sont sans cesse plus sophistiqués. Notre économie globale, qui facilite les échanges commerciaux pour les entreprises et les consommateurs, rend les systèmes financiers accessibles de partout. Mais cette disponibilité ouvre aussi des perspectives aux cybercriminels, de plus en plus habiles dans le vol de données stockées, en transit et cryptées. La difficulté pour toutes les organisations consiste à demeurer en éveil pour garder une longueur d’avance.

État des lieux des menaces actuelles

Le rapport DBIR nous apprend que dans le duel qui oppose les entreprises et les cybercriminels, ce sont les méchants qui gagnent. En appliquant les technologies d’analyse du Big Data à la gestion des risques de sécurité, nous pensons toutefois pouvoir inverser la tendance et mieux combattre la cybercriminalité avec des stratégies adaptées.
Grâce à des techniques analytiques avancées, les auteurs du rapport ont découvert que neuf types d’attaques sont responsables de 92 % des 100 000 incidents de sécurité recensés au cours de la dernière décennie, diversement utilisés selon le secteur ciblé. De manière encore plus révélatrice, on retrouve trois types d’attaques dans 72 % des incidents de sécurité, tous secteurs confondus.
Voici les neuf scénarios de menaces les plus fréquents : erreurs hasardeuses comme l’envoi d’un e-mail au mauvais destinataire ; programmes malveillants/crimeware (logiciels qui visent à prendre le contrôle du système) ; malveillances internes/abus de privilèges ; fuite de données/vol physique ; attaques ciblant des applications Web ; attaque par déni de service; cyber-espionnage ; intrusions des points de vente et vol/clonage de carte bancaire.

La menace spécifique encourue par la finance

la finance et des assurances sont confrontées à des défis uniques en matière de protection des informations. Outre les habituelles attaques opportunistes de malfrats qui écument la toile à la recherche de proies faciles, ces cibles de choix attisent la convoitise des cybercriminels les plus audacieux et tenaces. C’est ce qui explique qu’elles présentent généralement une plus grande maturité en termes de contrôles et procédures de sécurité.
L’attaque réussie d’une institution financière peut avoir des conséquences désastreuses, à la fois quantifiables – ressources volées ou détournées – et symboliques, tout aussi préjudiciables pour son image de marque et sa réputation.
Or 75 % des incidents de sécurité subis par les sociétés du secteur financier reposent sur trois scénarii de menaces récurrents que voici :

#1 Attaques ciblant des applications Web – identifiées dans 27 % des incidents analysés

Par exemple, quand les cybercriminels s’approprient des identifiants volés ou exploitent les failles d’applications web – systèmes de gestion des contenus (CMS) ou plates-formes d’e-commerce, notamment.

#2 Attaques par Déni de service DOS (Denial-of-service) – identifié dans 26 % des incidents analysés

Les attaques DOS emploient des bataillons de « botnets » de PC et de serveurs puissants pour congestionner les systèmes et applications d’une entreprise en les inondant de trafic malveillant, jusqu’à interrompre le cours normal des activités.

#3 Attaques par Clonage – identifié dans 22 % des incidents analysés

Par exemple, les criminels installent un « cloneur » (skimmer) sur un terminal de paiement par carte pour capturer automatiquement les données de la carte du client ; les distributeurs de billets en sont généralement la cible.
En apprenant à mieux se défendre contre ces trois scénarii, les organisations financières pourraient diminuer considérablement le niveau de risque auquel elles font face. Cela parait simple, et ça l’est : en examinant chaque type d’attaque dans le détail, les sociétés peuvent mieux affiner leurs stratégies de sécurité.

Attaque #1 – Applications web

Les outils en ligne sont au cœur des prestations de services des institutions financières. Des services bancaires aux particuliers et aux entreprises jusqu’aux assurances, en passant par les opérations de paiement et de courtage, la majorité des services bancaires sont accessibles à partir d’un navigateur,  ce qui les rend extrêmement vulnérables à ce type d’attaques.
Depuis la crise financière, un certain ressentiment subsiste vis-à-vis des banques et autres institutions financières, ce qui explique peut-être pourquoi, selon nos données pour 2014, près de deux attaques d’applications Web sur trois sont le fait de groupes d’activistes agissant au nom d’une idéologie. Ces attaques sont très souvent motivées par la volonté de causer du tort plutôt que celle de pirater les données de cartes de paiement.
Techniquement, les attaques d’applications Web sont difficiles à parer, car les cybercriminels usent d’une gamme infinie de techniques pour infiltrer ces systèmes en ligne.

Que peuvent faire les sociétés ?

  • Utiliser un système d’authentification multifactorielle. Cela ne s’applique pas uniquement aux clients, mais aussi à tous les accès administratifs.
  • Envisager de basculer sur un CMS statique. Au lieu d’exécuter du code pour générer le contenu de chaque requête, utiliser des pages pré-générées pour réduire les possibilités d’abus.
  • Instaurer des règles de verrouillage. Verrouiller les comptes en cas d’échecs d’identifications répétés aidera à contrecarrer les « attaques par force brute ».
  • Contrôler les connexions sortantes. À moins que votre serveur ait une bonne raison pour envoyer des millions de paquets vers les systèmes d’un gouvernement étranger, mieux vaut bloquer d’office cette fonctionnalité du serveur.

Attaque #2 – Déni de service (DOS)

Les cas d’attaques DOS ont augmenté de 115 % depuis 2011, à mesure que les cybercriminels perfectionnent leurs méthodes. Par le passé, des logiciels malveillants servaient à intégrer à leur insu les PC de particuliers à un botnet criminel. À présent, les cybercriminels s’en prennent aux serveurs. Ceux-ci sont plus puissants, avec des connexions à haut débit, ce qui permet au criminel d’organiser des attaques à bien plus grande échelle.
Bien que les attaques DOS soient rarement liées à des tentatives de vol de données, elles peuvent s’avérer extrêmement préjudiciables à la réputation et aux opérations commerciales de l’entreprise.
Les attaques DOS peuvent toucher les banques en ligne, les plates-formes de trading, de gestion des règles et des devis, ou même des systèmes internes exposés à Internet. L’impact d’une panne de ces systèmes peut se révéler catastrophique ne serait-ce que pour une heure, sans parler d’une journée entière, et coûter cher en perte de productivité et en temps passé à y remédier.
Selon nos données, les attaques DOS touchent des entreprises de toute taille et de toute nature, quel que soit leur rayonnement médiatique.

Que peuvent faire les sociétés ?

  • Isoler les données les plus précieuses. Maintenir les systèmes les plus importants sur des circuits isolés des réseaux, afin qu’ils demeurent protégés en cas d’attaque sur les autres serveurs.
  • Tester les services anti-DOS. Ne pas oublier de les vérifier régulièrement une fois installés.
  • Concevoir un plan. Les responsables des opérations doivent savoir comment réagir en cas d’attaque. Il faut aussi prévoir un plan de secours en cas d’échec du service anti-DOS principal.

Attaque #3 – Clonage

Les organisations criminelles responsables des attaques par clonage développent des tactiques de plus en plus sophistiquées – certaines ont même recours à l’impression 3D pour créer des répliques de façades de distributeurs de billets plus vraies que nature.
Celles-ci s’installent en quelques secondes seulement et renvoient les coordonnées bancaires aux criminels via une connexion sans fil. En conséquence, la plupart des infractions ne sont détectées qu’une fois que les clients remarquent des activités frauduleuses sur leur compte. Des mesures existent toutefois pour se protéger de ces attaques.

Que peuvent faire les sociétés ?

  • Utiliser des terminaux anti-fraude. La conception des distributeurs de billets participe de plus en plus de cette démarche.
  • Utiliser des contrôles anti-fraude. Un système de vidéosurveillance automatique peut permettre de détecter des anomalies visibles.
  • Exhorter les utilisateurs à la vigilance. Leur recommander de signaler immédiatement toute suspicion.
  • Inspecter fréquemment les distributeurs de billets. Recommander au personnel d’inspecter les distributeurs le plus souvent possible, pour réduire la période de temps durant laquelle un cloneur pourrait sévir.

Faire preuve de vigilance face aux attaques

Les sociétés de tous secteurs doivent comprendre que nul n’est à l’abri d’un vol de données. La guerre contre la cybercriminalité est loin d'être terminée, et les criminels ne perdent pas de vue un seul instant les précieuses données détenues par les institutions financières. Ajoutez à cela le temps de plus en plus long qui s’écoule avant que les sociétés n’identifient la brèche, souvent des semaines ou des mois, quand l’intrusion, elle, n’a souvent pris que quelques minutes ou quelques heures, et l’on comprend la nécessité de prendre des mesures mieux ciblées.
Pour réduire le danger, les entreprises doivent poser les bases d’un programme de gestion des risques pour l’information, et l’entretenir sur le long terme : des réseaux aux technologies élémentaires de protection des données de type pare-feu, antivirus, gestion des accès et des identifiants, en passant par les aspects non techniques de développement de règles et de procédures de sécurité et de gestion du risque.
Des services d’Application Vulnerability Scanning, ou AVS, sont aujourd’hui disponibles en mode Saas (logiciel en tant que service) pour permettre aux entreprises d’identifier les failles de leurs applications Web avant qu’elles ne soient exploitées. Les services de détection et de réduction des attaques DOS analysent le trafic à l’échelle du réseau, tandis que la conformité PCI peut aider les sociétés à transformer leurs technologies et processus de façon à protéger les données des cartes contre le clonage et les attaques en ligne.
En résumé, adoptez une démarche offensive plutôt que défensive. La cybercriminalité est tout sauf un mythe et la menace n’est pas près de disparaître.