Banque & Finance : pourquoi les rançongiciels sont la principale source de cyber menace pour ce secteur ?
Au cœur des activités économiques contemporaines, le secteur bancaire et financier est confronté à de multiples défis, qui comportent désormais, de manière quasi-systématique, un volet cyber. L’augmentation de la surface d’exposition numérique des entreprises de la banque et de la finance, des gains potentiellement élevés pour les attaquants, l’hétérogénéité des niveaux de sécurité sont autant de raisons qui expliquent l’attractivité de ce secteur d’activité pour les groupes cybercriminels.
L’équipe Cyber Threat Intelligence de Citalid vient de produire un rapport sur l’état de le menace cyber 2023 pour le secteur bancaire et financier. Rançongiciels, fraudes bancaires, fuites de données, atteintes à la disponibilité ou encore espionnage, les scénarios d’attaque ciblant le secteur bancaire et financier sont nombreux en 2023. Pour plus d’informations sur ces d’attaques, téléchargez l’étude complète.
Les défis cyber du secteur bancaire et financier
Du fait de la spécificité de son activité, le secteur bancaire et financier est soumis à de nombreux challenges, qui doivent être pris en compte dans le cadre de la cybersécurité. La raison d’être de ces différents défis réside dans le fait que la confiance est une valeur primordiale pour le bon fonctionnement des activités de ce secteur économique.
Tout d’abord, ce secteur est soumis à de fortes contraintes réglementaires et sectorielles. NIS, DORA, RGPD, PCI-DSS, ORSA… sont autant de textes législatifs auxquels sont soumis les entreprises afin de renforcer les niveaux de sécurité et de résilience du secteur. Le risque cyber est pris très au sérieux, surtout au niveau européen.
Le secteur de la banque et de la finance est aussi marqué par une évolution concurrentielle du marché, avec l’arrivée de nouveaux acteurs tels que les Fintechs et les néo-banques dont l’offre est principalement basée sur des aspects numériques. A cause de cette caractéristique, ces entreprises sont particulièrement vulnérables aux cyberattaques et intéressent les modes opératoires, attirés par l’appât du gain.
La volatilité de la clientèle est aussi l’un des principaux défis du secteur de la banque et de la finance. En effet, l’arrivée de nouveaux acteurs mentionnés précédemment chamboule le marché et perturbe les acteurs historiques du secteur. La clientèle est de plus en plus disposée à souscrire à des services dans des établissements différents.
Le secteur a également connu une forte numérisation ces dernières années. Pour répondre aux attentes de leurs clients, les entreprises s’engagent dans des processus de transformation digitale et essayent de s’approprier les nouvelles technologies, telles que l’intelligence artificielle et la blockchain. Comme pour d’autres secteurs économiques, le COVID-19 a introduit de nouvelles pratiques de travail liées au numérique, telles que le télétravail. Ces nouvelles habitudes provoquent l’accroissement de l’exposition des entreprises au risque cyber et sont un défi de cybersécurité d’ampleur pour le secteur de la banque et de la finance.
La surface d’exposition au risque cyber est amplifiée par de multiples interconnexions sectorielles, avec de nombreuses parties prenantes qui interviennent au niveau des infrastructures, des systèmes de paiement ou des services fournis aux clients. De plus, les entreprises n’hésitent pas à faire des partenariats avec des acteurs innovants afin d’accompagner les nouvelles tendances du marché. C’est pourquoi la cybersécurité des parties prenantes constitue aussi un enjeu important pour le secteur de la banque et de la finance.
Enfin, bien qu’aucune cyberattaque n’ait conduit, pour le moment, à une crise économique et financière, le risque cyber emporte désormais avec lui une dimension potentiellement systémique, comme l’avaient déjà suggéré les attaques NotPetya et WannaCry en 2017 ou plus récemment, la cyberattaque contre Solarwinds (2020).
Les rançongiciels, une menace de premier plan pour les entreprises du secteur banque-finance
Le rançongiciel (ou ransomware) est l’un des types d’attaques les plus pratiqués contre les entreprises du secteur bancaire et financier en 2023. Par ransomware, on entend initialement un type de logiciel malveillant conçu pour bloquer l’accès à un système d’information, en chiffrant le plus souvent ses données, jusqu’à ce qu’une somme d’argent soit versée. Aujourd’hui, cette menace est souvent combinée à d’autres leviers contre la victime pour accroître la pression au paiement de la rançon : les attaquants divulguent des données préalablement exfiltrées ou mènent une attaque par déni de service distribué contre les sites-vitrines.
Les écosystèmes cybercriminels se sont structurés et professionnalisés, avec une convergence vers des techniques, tactiques et procédures qui étaient jusqu’à présent l’apanage de modes opératoires d’attaque (MOA) étatiques, comme l’atteste l’exploitation de vulnérabilités 0-day par Cl0p en juillet 2023. Les attaquants font preuve d’audace, ciblant des entités bancaires et financières sans discrimination de taille ou de géographie.
Ce type de menace, multisectorielle, est généralement connue du grand public, tant celle-ci est impactante et visible par nature. La menace portée par les rançongiciels est aujourd’hui la plus importante et la plus médiatique, tous secteurs confondus.
Le secteur financier et bancaire n’échappe pas à ce phénomène d’accroissement de la menace portée par les rançongiciels, qui a pris une ampleur significative au cours de ces dernières années. Selon Sophos, éditeur de logiciels de cybersécurité américain, les attaques par rançongiciel contre ce secteur ont connu une hausse de 64% en 2023, d’après une analyse représentative à l’échelle mondiale. Seuls 14% de ces attaques ont été détectés avant que les données ne soient chiffrées.
En 2023, de nombreuses entités du secteur bancaire et financier ont été ainsi compromises, par de multiples rançongiciels. Selon les observations de Trend Micro, au premier semestre 2023, le secteur bancaire a été le plus affecté par les attaques par rançongiciels, avec plus de 9 000 détections.
Les MOA adoptent une stratégie de double voire de triple extorsion pour contraindre leurs victimes à payer une rançon. Exfiltration, vente et chantage à la divulgation de données, attaques de type DDoS, etc. Autant de techniques pour maximiser la pression sur les entreprises ciblées. Selon Sophos, cette combinaison de chiffrement et d’exfiltration a été observée dans 25% des attaques visant le secteur bancaire et financier en 2023.
Depuis le début de l’année 2023, les cybercriminels privilégient de plus en plus le chantage lié à la divulgation des données plutôt que le seul chiffrement des systèmes. Selon l’ANSSI, certains attaquants comme FIN12 ont recours au « time-to-ransom » : ils déterminent le moment du chiffrement des systèmes ciblés en fonction du niveau de rentabilité attendu par rapport au temps investi dans le déploiement du rançongiciel. Ici encore, il s’agit d’un moyen pour maximiser le profit.
Selon Sophos, le montant des rançons payées avait doublé entre 2022 et 2023, avec une rançon moyenne à 1,6 million de dollars contre 1,5 million pour la moyenne générale, ce qui traduit un certain dynamisme des attaques au rançongiciel contre les entreprises du secteur économique de la banque et de la finance.
Les attaquants n’utilisent pas uniquement les rançongiciels pour cibler les entreprises de la banque et de la finance. Attaques par déni de service (DDoS), fraudes bancaires, atteintes à la disponibilité sont autant de menaces qui pèsent sur ce secteur d’activité. Pour en savoir plus, télécharger notre rapport sectoriel sur le secteur de la banque et de la finance.
Comprendre la menace pour piloter son risque cyber : un enjeu particulièrement fort dans le secteur bancaire et financier
Nous pensons qu’il est primordial de bien connaître la cybermenace pour mieux s’en protéger. C’est pourquoi nous associons CRQ et CTI (Cyber Threat Intelligence). Notre équipe d’analystes en CTI stratégique suivent en continu plus de 700 acteurs cyberoffensifs, ce qui nous permet de produire des rapports sectoriels d’analyse adaptés à l’activité de nos clients, afin de les informer sur l’état de la menace à laquelle ils sont exposés. Ces rapports sont le fruit d’un travail de veille quotidienne à la fois sur les cybermenaces et l’actualité géopolitique et d’une expertise sectorielle.
Citalid est une solution de pilotage du risque cyber à travers l’utilisation de la quantification du risque cyber, aussi appelée CRQ (Cyber Risk Quantification). Notre plateforme est adaptée aux acteurs du secteur de la banque et de la finance, et vous permet de connaître l’exposition de votre organisation au risque cyber. Elle délivre des indicateurs financiers actionnables afin de vous permettre de prendre des décisions éclairées pour optimiser votre cybersécurité et vos polices d’assurance. + permet une gestion proactive du risque ce qui est un atout dans la mise en conformité.
De nouveaux rapports sectoriels sortiront prochainement, soyez informés dès leur sortie en vous abonnant à notre newsletter.