Le régulateur a dit réfléchir à l’idée de forcer les institutions financières à sécuriser davantage les mesures d’accès à leurs systèmes informatiques. Ces dernières pourraient devoir exiger de leurs fournisseurs de services qu’ils appliquent des mesures de sécurité similaires aux leurs.
Ses propos ont attiré l’attention des analystes et des médias nord-américains.
Benjamin Lawsky rejoint en fait la position défendue par le secrétaire américain au Trésor Jacob Lew, en juillet dernier. Ce dernier soutenait alors que les établissements financiers américains devraient en «faire plus» en matière de cybersécurité. Plus de 250 attaques ont été perpétrées contre eux depuis 2011, rappelait-il.
Une cyberattaque réussie «pourrait éroder la confiance des marchés […] et menacer la stabilité financière» des États-Unis, avait affirmé Jacob Lew.
«Les conséquences de ces cyberincidents sont sérieuses. Le vol de données de cartes de crédit bouleverse des vies et réduit la confiance des consommateurs», expliquait-il.
Distribuer des billets à distance
Force est de constater que ces craintes s’enracinent dans une réalité concrète. En août, le piratage du système informatique de J.P. Morgan Chase a permis à des cybercriminels d’accéder aux données de 76 millions de foyers et de 7 millions de PME, d’après le New York Times.
Noter qu’une dizaine d’institutions financières américaines, dont Citigroup, ont été visées par les mêmes cybercriminels.
Quelques mois plus tard, en février, le New York Times révélait une attaque informatique sophistiquée, qui a permis de dérober plus de 300 M$ à une cinquantaine de banques situées en Russie, aux États-Unis, en Allemagne, en Chine, en Ukraine et en France.
Dans un rapport, la firme russe Kaspersky Lab, spécialisée en cybersécurité, a présenté en détail ce vol qui s’est effectué sur plusieurs mois. Après avoir récolté des données avec un logiciel espion, les pirates ont pu faire d’importants virements vers des comptes bancaires, principalement en Chine et aux États-Unis.
L’affaire est surréaliste : les pirates ont activé à distance des guichets automatiques où des complices ont recueilli des billets. «On a vu des images de caméras de surveillance montrant des guichets automatiques qui distribuaient de l’argent sans qu’il y ait le moindre contact physique, c’est très impressionnant», a raconté Anton Shingarev, spécialiste chez Kaspersky Lab.
L’être humain, le maillon faible
Ces vols frappent l’imaginaire, certes, mais confirment des menaces annoncées par de nombreux rapports sur la cybersécurité publiés au cours des dernières années.
Uniquement pour l’année 2013, la firme de sécurité Symantec estime que 71 % des attaques par hameçonnage (phishing) – message frauduleux visant la quête de renseignements stratégiques – prenaient pour cible des organisations financières. Il s’agit d’une augmentation par rapport à l’année précédente, alors que le pourcentage était de 67 %.
Le talon d’Achille des institutions financières serait, selon les spécialistes, dans ce qui est communément appelé le «pare-feu humain». Ce ne sont pas tant les systèmes informatiques qui ne seraient pas assez sûrs, mais les comportements négligents de membres de la direction et d’employés.
Pour sa part, la firme de sécurité McAffe Labs note que deux tiers des courriels dans le monde viseraient à extorquer des informations personnelles, confidentielles ou de l’argent.
Notons toutefois que selon une récente étude de Kaspersky Lab, les enseignes bancaires auraient été moins ciblées par les attaques d’hameçonnage en 2014. Raison évoquée : les mesures déployées par les institutions.
Celles-ci «ont commencé à s’attaquer plus activement aux vecteurs de diffusion, en particulier le pourriel […]. Cependant, les cybercriminels ont immédiatement réagi à leur tour en ciblant de nouveaux marchés», avançait Tanguy de Coatpont, directeur général de Kaspersky Lab France, lors de la publication de ce rapport.
Ainsi, les cybercriminels porteraient leurs efforts sur les systèmes de paiement et les sites de cybercommerce.
Cette réalité ne devrait pas freiner les investissements des établissements financiers dans la sécurité informatique. Dans ses récentes prévisions, la firme Gartner avançait que la conquête des marchés en développement amènera les institutions à investir davantage au cours des deux prochaines années en technologies et… en cybersécurité. «Les dépenses augmenteront de 2,7 % et atteindront 502 G$», peut-on y lire.