Les coffres-forts ne suffisent plus à garantir la sécurité des usagers des banques dans le monde connecté

Les braqueurs de banque d'aujourd’hui n’ont plus grand-chose à voir avec Bonnie and Clyde. Ce sont des cybercriminels anonymes, qui opèrent depuis le confort de leur siège, derrière un écran d’ordinateur, à des milliers de kilomètres de la banque dont ils piratent les systèmes.

Le rapport Data Breach Investigations 2015 a démontré que trois modes opératoires seulement sont communs aux deux tiers de l’ensemble des cyberattaques qui ont visé la finance mondiale l’an dernier. Il est important de les connaitre pour affiner la surveillance et mieux se protéger. 

Attaque #1 – Le déni de service

Les attaques par déni de service se retrouvent dans un tiers (32%) des incidents visant le secteur de la finance. Leur nombre et leur fréquence sont en augmentation. Contrairement à d’autres types d’attaques, où l’on cherche à dérober des données sensibles, de cartes de paiement, de dossiers médicaux ou de propriété intellectuelle, les attaques par déni de service visent essentiellement à perturber le cours normal des opérations. Ces attaques inondent les systèmes, comme les sites Internet des banques en ligne ou les plateformes de trading, en les submergeant avec de très nombreuses requêtes pour les contraindre à cesser de fonctionner. Ce type d’attaque peut durer plusieurs jours. Il est vital de s’y préparer.

  • Avoir un plan : la première étape consiste à s’assurer que la politique de sécurité de l’entreprise a prévu des dispositions en cas d’attaque de grande ampleur et que les responsables des opérations savent quel comportement adopter le cas échéant. Il est important d’avoir aussi un plan B au cas où la procédure initiale de lutte contre le déni de service échouerait.
  • Tester le plan : il est toujours bon de mettre le plan de réaction à l’épreuve pour éviter de découvrir trop tard qu’il est incomplet ou inefficace. Il convient de répéter ces tests régulièrement et de vérifier leur efficacité à chaque nouvelle modification de l’infrastructure et des processus, ou dès que de nouvelles techniques d’attaques par déni de service sont connues.
  • Ne pas mettre tous ses œufs dans le même panier : il vaut toujours mieux éviter que des systèmes moins importants servent de porte d’accès aux systèmes stratégiques. Idéalement, ces derniers doivent être isolés sur des circuits différents du réseau. 

Attaque #2 – Les logiciels criminels (crimewares)

On a recensé l’utilisation de logiciels criminels (crimewares) dans 16% de tous les incidents de sécurité ayant visé l’industrie de la finance l’an dernier. Ces malwares permettent de compromettre des systèmes et de donner accès à des informations confidentielles ou des données sensibles. Les incidents varient dans leur forme et dans leur intention même s’ils sont généralement motivés par le gain financier. Ce peut être par exemple l’utilisation d’un logiciel enregistreur de frappe (keylogger) pour capturer les informations bancaires d’un utilisateur. Comme souvent en sécurité informatique, l’individu est le maillon faible. Dans 28% des incidents, des techniques d’ingénierie sociale comme le phishing, sont employées pour installer les logiciels criminels sur le terminal d’un utilisateur. Voici quelques mesures élémentaires pour éviter d’être victime de telles attaques :

  • S’attendre au prévisible : il est probable qu’un système de l’entreprise soit infecté par un logiciel malveillant (malware) à un moment ou un autre, il vaut donc mieux être préparé, surveiller tous les programmes ou fichiers exécutables introduits et utiliser un antivirus chaque fois que nécessaire.
  • Surveiller le trafic : des outils de monitoring du réseau permettent d’identifier le trafic « command-and-control » à savoir les échanges d’information entre le malware sur le système compromis et les serveurs de malwares connus. 
  • Ne pas se fier aux seuls mots de passe : on retrouve des identifiants dans 30% des données volées. Pour éviter que ces informations ne servent à causer encore plus de dommage une fois tombées entre de mauvaises mains, il est préférable d’utiliser des systèmes d’authentification multi factorielle.
  • Sensibiliser le personnel : il est facile de faire adopter des procédures simples et quelques bonnes pratiques pour éviter de cliquer sur des liens, d’ouvrir les pièces jointes provenant d’adresses inconnues ou de saisir ses identifiants sur des sites douteux.

Attaque #3 – Les attaques des Applications Web (Web apps attacks)

On retrouve les attaques des applications Web dans plus de 14% des incidents qui visent le secteur de la finance. Les cybercriminels se servent d’identifiants volés ou exploitent les failles d’applications, de systèmes de gestion des contenus (CMS) ou de plates-formes d’e-commerce. Quasiment toutes les attaques d’applications Web en 2014 étaient opportunistes et visaient des cibles faciles. La plupart ont procédé au moyen d’identifiants volés, sur les terminaux de clients le plus souvent. Voici quelques conseils pour se protéger des attaques d’applications Web :

  • Appliquer des principes d’assurance qualité : resserrer les contrôles qui encadrent la publication de documents sur des sites Web et analyser régulièrement l’ensemble des sites publics à la recherche de données sensibles.
  • Déployer des solutions de prévention des risques de perte de données ou DLP (Data Loss Prevention) : les produits DLP identifient les processus internes affaiblis ou compromis et bloquent les fuites d’informations sensibles par e-mail.
  • Former votre personnel : il est important de sensibiliser le personnel aux bonnes pratiques de destruction ou d’archivage sécurisé des données sensibles et des terminaux. On ne peut se contenter de jeter des documents, et des PC, tels quels dans la benne commune.

Parfois, on peut avoir l’impression de se battre contre des moulins, surtout face à des cybercriminels qui considèrent le secteur de la finance comme une cible de choix et font preuve d’une ingéniosité sans cesse renouvelée. Cependant, il ne faut pas oublier que des mesures simples existent, que l’on a trop souvent tendance à les négliger alors qu’elles peuvent aider à mettre toutes les chances de notre côté. Outre les recommandations qui précèdent, il est important de se donner les moyens d’identifier les menaces dans les délais les plus courts possible pour limiter l’ampleur des dommages potentiels. Sachant que 38% des compromissions restent non détectées pendant des mois, les institutions financières doivent impérativement mettre en place des processus pour surveiller leurs systèmes IT et être alertées au plus vite, dès l’approche d’une menace.