Banque & Finance : État des lieux de la menace cyber en 2024

Le secteur bancaire et financier est en première ligne face aux menaces cyber. Les institutions doivent redoubler d'efforts pour anticiper ces menaces et renforcer leur posture de sécurité.

Le secteur bancaire et financier est en première ligne face aux menaces cyber. À la croisée des enjeux économiques globaux et des tensions géopolitiques, les établissements du secteur subissent une pression croissante de la part d’attaquants informatiques plus en plus professionnalisés. Le rôle des banques et institutions financières dans les flux financiers et dans les échanges internationaux, ainsi que leur détention de données hautement sensibles en font des cibles de choix dans l’écosystème des cybermenaces. Qu’il s’agisse de cybercriminels, de groupes soutenus par des États ou d’hacktivistes, tous ciblent ces acteurs pour des objectifs qui vont parfois bien au-delà de la simple recherche de profit.

La résilience du secteur est mise à l’épreuve chaque jour. En exploitant des vulnérabilités, souvent via la chaîne d’approvisionnement, les attaquants parviennent à étendre leurs actions malveillantes à l’ensemble des parties-prenantes. Bien que les régulateurs nationaux et internationaux rappellent qu’aucune cyberattaque n’a, pour l’instant, eu d’impact systémique, ils soulignent unanimement que la menace est bien réelle. Il est donc indispensable de l’appréhender pleinement et de mettre en œuvre des stratégies de défense proactives pour s’en prémunir.

Une pluralité de menaces, sur fond de tensions géopolitiques

L’année 2024 a vu la persistance des cyberattaques directement liées à des conflits géopolitiques. Les tensions autour du conflit russo-ukrainien, par exemple, amplifient les risques pour les institutions bancaires, considérées comme des cibles privilégiées. Directement visées pour leur rôle dans la gestion des flux financiers, le gel des avoirs et l’application de sanctions internationales, les banques européennes subissent fréquemment des attaques en déni de service (DDoS). Certaines actions, bien que peu sophistiquées, conduites par des groupes d’attaquants se présentant comme des hacktivistes mais alignés sur les intérêts de la Russie, parviennent malgré tout à saturer des systèmes d’information bancaires et à perturber temporairement leurs opérations.

Bien que l’émergence d’une offre de services cybercriminels soit désormais bien ancrée dans l’écosystème des cybermenaces, ces services continuent de se diversifier et de devenir plus accessibles. Pour quelques dizaines de dollars par mois, des individus sans compétences techniques avancées peuvent accéder à des plateformes de fraude bancaire complète, à des services d’hameçonnage automatisé, ou encore à des réseaux de machines zombies (botnets) capables de mener des attaques DDoS de forte intensité. Des acteurs majeurs, comme la banque chinoise ICBC, ont été compromis par des rançongiciels exploitant ce modèle, avec des impacts concrets sur leurs activités.

Les maliciels bancaires sont l’une des armes favorites des cybercriminels. Leur rentabilité explique leur popularité croissante parmi les attaquants, qui visent principalement les particuliers avec de fausses applications bancaires. Leur ciblage présente en effet d’un ticket d’entrée moindre par rapport à des attaques contre des entreprises ou contre les établissements bancaires et financiers. Aujourd'hui, les maliciels bancaires sont capables de contourner les mesures de sécurité, d’exfiltrer les identifiants de connexion, d’intercepter les codes d’authentification et, plus globalement, de collecter toute donnée présente sur le téléphone de la personne compromise par les attaquants. En conséquence, les banques doivent renforcer en permanence leurs dispositifs de sécurité, car chaque dollar fraudé entraîne des coûts additionnels significatifs (jusqu’à 4,35 dollars pour les banques américaines, selon l’éditeur de solution de sécurité américain Zimperium).

L'intelligence artificielle (IA) est aujourd’hui un outil de pointe pour la détection et la réponse aux incidents de sécurité. Cependant, les mêmes technologies qui renforcent la cybersécurité sont aussi exploitées par les acteurs malveillants pour automatiser leurs attaques et garder une longueur d’avance sur les défenses. En 2024, l’IA est utilisée pour une grande variété d’activités hostiles, comme l’identification des cibles et de vulnérabilités, la création de contenus d’hameçonnage de plus en plus réalistes, la création de codes malveillants ou mais aussi pour des deepfakes de conseillers bancaires. Quand 25 millions de dollars sont extorqués à une entreprise hongkongaise grâce à cette technique au printemps 2024, le maliciel GoldDigger offre un kit d’attaque à des cybercriminels, pour un forfait compris entre 150 et 900 dollars par mois en fonction des options, permettant de générer des appels téléphoniques via l’IA pour leurrer ses victimes.

Une menace permanente pour l’ensemble des parties prenantes du secteur

Les fintechs et les crypto-actifs ne sont pas épargnés par la vague de cybercriminalité. Les plateformes d’échange de cryptomonnaies sont prises pour cible par des cybercriminels motivés par des gains rapides et élevés. Le vol de portefeuilles numériques et les attaques contre les systèmes d’échanges cryptographiques ont généré des pertes de l’ordre de plusieurs milliards de dollars en 2023, une tendance qui semble se maintenir. Les groupes d’attaquants supposément nord-coréens sont particulièrement actifs dans ce domaine : entre 2017 et 2023, 58 cyberattaques visant des entités liées aux cryptomonnaies ont été recensées, avec des gains estimés à 3 milliards de dollars. Les fonds obtenus serviraient directement à financer le programme d'armement de la Corée du Nord selon l’ONU.

Les attaques sur la chaîne d’approvisionnement sont également un sujet d’inquiétude majeur. Les banques, qui dépendent de nombreux prestataires technologiques souvent eux-mêmes vulnérables aux cyberattaques, risquent des compromissions en cascade. Une seule faille chez un sous-traitant peut compromettre l’ensemble des clients bancaires, avec des conséquences graves. En 2024, les incidents touchant les prestataires, qu’ils soient logiciels ou matériels, se sont multipliés. Bien qu’accidentel, l’incident qui a affecté une partie des utilisateurs de la solution de sécurité de Crowdstrike, en juillet 2024, a mis en lumière ce risque, qui a généré près de 1,15 milliard de dollars de pertes pour les acteurs bancaires selon Parametrix. La campagne MOVEit, du nom du logiciel de transfert de fichier compromis par le groupe cybercriminel Clop, a permis d’extorquer des données à plus de 2 700 organisations, utilisatrices directes ou indirectes du logiciel, dont au moins 15 banques à travers le monde.

La menace cyber contre le secteur bancaire et financier ne montre aucun signe de ralentissement. Les cybercriminels s’adaptent continuellement, évoluant pour contourner les nouvelles mesures de sécurité mises en place. Bien que les autorités mènent des actions pour perturber les activités malveillantes, comme le démantèlement du maliciel bancaire Grandoreiro par Interpol début 2024, la responsabilité de se protéger repose principalement sur les épaules des établissements eux-mêmes. Les institutions doivent redoubler d’efforts pour anticiper ces menaces et renforcer leur posture de sécurité.

Face à ces défis, les institutions bancaires et financières doivent combiner la connaissance et l’anticipation de la menace dans leur gestion du risque cyber avec dans la quantification de l’impact financier de chaque scénario d’attaque redouté avec d’aligner leurs mesures de sécurité sur les enjeux financiers et stratégiques.