La Société Générale s'attaque aux ransomwares pour défendre ses actifs
Présent à la fois dans la banque de détail et la banque d'investissement, le groupe français entend renforcer la protection de ses actifs numériques contre les cybercriminels.
Lors de son précédent plan stratégique de trois ans lancé fin 2017, la Société Générale avait concentré ses investissements numériques sur la création des socles technologiques de ses futurs services digitaux. Avec la numérisation croissante du groupe, la cybersécurité fait alors déjà partie des sujets sur la table. Au programme : la traditionnelle chasse aux failles, la prévention d'intrusions ou encore la lutte contre les campagnes d'arçonnage (qui explosent désormais avec la crise du Covid). Durant ces trois années, les équipes IT s'attellent à mettre sur pied des modèles d'IA pour détecter les fraudes à la carte bleue. En se basant sur l'historique des clients et leurs habitudes, ils identifient les origines et localisations suspectes des transactions en vue de les bloquer au plus tôt.
Dans le cadre du nouveau plan stratégique initié début 2021, la DSI place désormais la cybersécurité parmi ses priorités aux côtés du développement de nouveaux services digitaux et le workflow automation. Le premier risque cyber identifié par la Société Générale ? Le rançongiciel. Le géant bancaire entend éviter par tous les moyens qu'un pirate ne parvienne de poste en poste et de serveur en serveur jusqu'à son Active Directory. C'est sur cette technologie Microsoft que s'appuie la plateforme centrale pilotant les droits d'accès pour l'ensemble des applications du groupe.
Un budget de 50 millions d'euros
L'Active Directory de la Société Générale permettrait potentiellement à un intrus l'ayant piraté d'ouvrir les portes des bases de données parmi les plus critiques de la banque (gestion des comptes, des emprunts, des taux d'intérêt, des dépôts et retraits…) puis de les chiffrer avant de réclamer une rançon pour les débloquer. Sur un budget de 650 millions d'euros envisagé pour la cybersécurité sur les trois années à venir, la Société Générale projette d'allouer une enveloppe de 50 millions d'euros pour faire face à ce fléau.
"Le ransomware représente le risque cyber numéro 1 pour le groupe Société Générale", martèle Christophe Leblanc, directeur des ressources et de la transformation numérique du groupe. Un constat qui est loin d'être étonnant. Le nombre d'incidents liés à des rançongiciels rapportés à l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a explosé de 255% en France entre 2019 et 2020, pour atteindre 192 l'année dernière.
Qu'en est-il du niveau de la rançon ? Il est variable aussi bien en fonction de la victime que du ransomware. Ce chiffre peut osciller entre 200 000 et 2 millions de dollars dans le cas du rançongiciel DarkSide, et entre 500 000 dollars et 10 millions de dollars pour le rançongiciel WastedLocker. Menaçant de publier des données personnelles de Donald Trump, un groupe de cybercriminels est allé jusqu'à demander 42 millions de dollars au président américain. Victime du ransomware Ryuk en octobre 2020, Sopra Steria a estimé les pertes consécutives à cette attaque à environ 50 millions d'euros, en comprenant les coûts d'investigation numérique et de restauration du système impacté.
Mais pour la Société Générale, le risque le plus important n'est pas la rançon. Une enquête réalisée par Proofpoint auprès de 600 entreprises dans 7 pays révèle que 22% des organisations victimes ayant payé la somme demandée n'ont jamais reçu les clés de déchiffrement. "Le versement n'assure pas de recevoir la clé de déchiffrement ni que les données potentiellement exfiltrées seront effacées ou ne seront pas utilisées à des fins malveillantes", prévient l'ANSSI. Pour la Société Générale, le risque majeur est bel et bien de perdre des données.
Un risque pour les actifs stratégiques
"Il n'y a pas une semaine sans que mon responsable de la sécurité informatique ne m'alerte sur une nouvelle attaque par ransomware sur le marché"
"Il n'y a pas une semaine sans que mon responsable de la sécurité informatique ne m'alerte sur une nouvelle attaque par ransomware sur le marché", souligne Christophe Leblanc. "Les techniques des cybercriminels s'industrialisent. Ils balaient Internet et l'ensemble des réseaux en quête de vulnérabilités à utiliser."
Dans son dernier rapport sur la menace rançongiciel, l'ANSSI alerte sur la tendance montante du big game hunting. "Un nombre croissant de groupes de cybercriminels, possédant des ressources financières et des compétences techniques importantes, sont capables de cibler des entreprises et institutions particulières", prévient l'agence (lire la chronique Ransomware : la menace qui pèse sur les hôpitaux). Ce ciblage se caractérise par une préparation des opérations d'extorsion en amont, parfois plusieurs mois à l'avance. L'agence cite l'exemple des rançongiciels RagnarLocker et DarkSide, qui s'adaptent à l'organisation ciblée. Elle évoque aussi le rançongiciel Netwalker, dont le montant de la rançon est indexé sur les revenus de de la société. Un nouveau phénomène qui démultiplie les risques pour un acteur bancaire comme la Société Générale.
Blinder l'Active Directory
Pour anticiper ce nouveau type d'attaques, le groupe bancaire français entend d'abord concentrer ses efforts sur la protection de son Active Directory. "Nous voulons faire en sorte que ce système et les collaborateurs qui l'administrent soient regroupés dans un seul centre sécurisé", explique Christophe Leblanc. In fine, l'objectif est de pouvoir mieux contrôler les accès physiques à la plateforme tout en filtrant les connexions des applications la sollicitant pour gérer les autorisations de leurs utilisateurs.
Second axe de lutte : le développement d'outils de surveillance. Sur ce plan, la DSI déploie des EDR (pour endpoint detection and response). Une technologie qui a notamment pour objectif de détecter les connexions suspectes depuis des ordinateurs portables. "Au sein de notre SOC (security operations center, ndlr) en charge de contrôler l'intégralité des flux, nous enrichissons les scénarios déviants à détecter tout en renforçant l'outillage en matière de monitoring", détaille Christophe Leblanc. Par corrélation d'évènements, les EDR vont jusqu'à détecter les flux et enchainements d'actions relevant des habitudes des hackers, avec pour objectif de bloquer les attaques au plus tôt. Reposant sur des modèles de machine learning, leur capacité d'analyse se développe au fur et à mesure des situations.
Anticipant le pire, la Société Générale planche sur ses capacités de reprise d'activité en cas de cyberattaque. "La question est de savoir ce qu'on souhaite préserver à tout prix en cas de crise. Qu'est-ce qu'on reconstruit en premier ? Ce travail est réalisé en lien avec les directions métiers et la direction de la sécurité pour définir un plan et une dynamique de gestion de crise", confie Christophe Leblanc. Enfin, la banque continue à plancher en permanence à sensibiliser son personnel à la question de la cybersécurité, notamment au phishing qui reste très utilisé par les pirates pour s'introduire dans les systèmes d'information.