Les institutions financières continuent d’être la cible des hackers informatiques du monde entier, dont beaucoup cherchent avant tout à extorquer des rançons ou à détourner des fonds de nouvelles économies comme les cryptos. En raison de leur puissance financière et de leur mise en réseau, ce type d’institutions constitue une cible intéressante. Lorsqu’il s’agit de se défendre contre des attaques, qu’il s’agisse d’espionnage ou de ransomwares, mieux on connait les stratégies des attaquants, plus il est possible de les repousser efficacement.
Le secteur financier fait partie depuis de nombreuses années des cibles les plus fréquentes des cyber attaquants et l’année passée n’a pas démenti ces statistiques. . Les deux principales raisons : une transformation numérique avancée et une connectivité de plus en plus importante. Ces facteurs impactent le paysage des menaces, et plus les réseaux informatiques internes du secteur financier sont imbriqués, plus ils deviennent vulnérables aux attaques extérieures.
La cybersécurité est devenue une question majeure pour la sphère dirigeante
Ces dernières années, l’objectif de nombreux groupes de hackers informatiques a changé. Ils utilisent désormais davantage de ransomwares. Après avoir accédé aux réseaux informatiques d’une entreprise, ils chiffrent des données importantes et les prennent en « otage ». Par la suite, les institutions touchées reçoivent une demande de rançon. Aujourd’hui, un nouveau schéma existe : des attaques ciblées sur des institutions soigneusement sélectionnées sont parfois préparées depuis des mois. Cela change la façon dont les entreprises financières doivent envisager la question. Ce n’est plus forcément un événement aléatoire lorsqu’elles sont visées par des cybercriminels. Par conséquent, la responsabilité au sein des institutions change également : la cybersécurité n’est pas seulement un problème pour le département informatique, mais aussi pour les cadres supérieurs jusqu’au niveau du conseil d’administration et du conseil de surveillance.
Les menaces les plus importantes pour le secteur financier
Une fois encore, la règle éprouvée s’applique à la prévention des menaces : connaissez vos ennemis mieux qu’ils ne se connaissent eux-mêmes. Si les cybercriminels changent régulièrement de tactique, il est toujours possible d’identifier des schémas d’attaques et des méthodologies d’opérations. Ceux qui connaissent ces schémas, par exemple en s’appuyant sur l’expertise en matière de renseignement sur les menaces, c’est-à-dire la connaissance du modus operandi des attaquants, peuvent établir des priorités sur les bonnes choses et actionner les bons leviers pour protéger leurs réseaux des plus grandes menaces.
Première tactique d’attaque utilisée : les attaques par ransomware sont en hausse
3 attaques sur 10 recherchent un gain financier. Il s’agit de méthodes telles que l’extorsion, la rançon, le vol de cartes de paiement et les transferts illicites. Les hackers prennent beaucoup de temps pour préparer les attaques par ransomwares (sauf dans certains cas connus d’opérations éclaires) . Ils se déplacent souvent dans les réseaux de leurs victimes sans se faire remarquer, jusqu’à ce qu’ils frappent enfin. Ils apprennent à connaître les systèmes en détail et identifient les zones du réseau qui sont vitales pour la survie de l’entreprise et dont la manipulation est particulièrement douloureuse. Il existe également une augmentation des groupes de hackers spécialisés qui se regroupent pour tirer le meilleur parti de leurs forces respectives et mener des attaques encore plus complexes. Cette coopération peut devenir un problème si les différents groupes se battent alors que la rançon a déjà été payée.
Les tentatives d’extorsion à multiples facettes nuisent à la réputation des établissements de crédit
La deuxième étape est la menace de publier des informations secrètes. Il en résulte une importance stratégique pour l’institution victime de chantage : si les hackers alertent directement la presse et le public sur le fait qu’ils sont en possession d’informations importantes, cela est également compromettant pour les clients de l’institution, avec le potentiel de causer des dommages durables à sa réputation. Annoncer la divulgation d’informations sensibles peut être plus dangereux qu’une extorsion discrètement gérée. Les entreprises financières doivent alors faire face à un challenge interdisciplinaire qui inclut non seulement le département informatique et le conseil d’administration, mais aussi les relations publiques et le département juridique, entre autres.
Autres tactiques d’attaque : des exploits de type « Zero-Day » au web skimming
Outre les attaques par ransomware, différents groupes de hackers utilisent souvent les attaques suivantes lorsqu’ils cherchent à cibler le secteur financier :
- Les exploits Zero Day sont généralement des failles de sécurité dans les logiciels, mais l’entreprise n’en est pas encore consciente et il n’y a donc pas de correctif ou de mise à jour pour elles. Les hackers utilisent leur avantage en termes de connaissances pour infiltrer des malwares dans le réseau via la vulnérabilité.
- Les attaques de la chaîne d’approvisionnement sont l’une des tendances les plus récentes. La spécialisation croissante des attaquants et la fusion de groupes de hackers individuels aux compétences différentes leur ont ouvert de nouvelles possibilités. Au lieu d’attaquer une banque, par exemple, ils infiltrent une entreprise dont le logiciel est utilisé par le plus grand nombre possible d’établissements de crédit. Les hackers pénètrent ensuite de nombreuses autres institutions via cette chaîne d’approvisionnement.
- Dans le cas du web skimming, les hackers hameçonnent les détails de paiement des clients dans les boutiques en ligne ou les sites de paiement, puis leur volent de l’argent. Cela se fait généralement par le biais d’une attaque de la chaîne d’approvisionnement, où le code malveillant est exécuté sur le site web d’un vendeur en ligne via un fournisseur tiers préalablement infiltré. Comme les données bancaires de leurs clients sont ainsi dérobées, les établissements de crédit eux-mêmes sont également touchés par cette attaque.
- Le vol de crypto-monnaies intéresse les hackers à double titre : ils volent la crypto-monnaie pour s’enrichir, mais ils utilisent aussi les mouvements difficilement traçables des crypto-monnaies afin de blanchir de l’argent. Les victimes de ces vols sont non seulement les propriétaires de Bitcoin, Ethereum et Cie, mais aussi leurs émetteurs.
Les établissements de crédit peuvent se défendre
Les hackers informatiques attaquent souvent les systèmes informatiques en plusieurs phases. Ils doivent localiser un point d’entrée, trouver les bons sous-systèmes, voler et chiffrer des données, introduire des malwares, et ce n’est qu’ensuite qu’ils peuvent frapper un grand coup. Ces étapes peuvent être appelées le « cycle de vie de l’attaque ». La contre-réponse doit alors également être multi-étape. En sachant comment les groupes de hackers actifs opèrent les spécialistes de la sécurité informatique peuvent mieux protéger les entreprises financières contre les malwares infiltrés – et leur donner les moyens de protéger leurs systèmes. En faisant appel à des experts externes, les responsables de la sécurité peuvent s’assurer qu’ils testent ces systèmes et obtiennent le savoir-faire dont ils ont besoin pour contrer une menace de plus en plus sophistiquée. Cela présente non seulement un avantage technique, mais aussi un avantage psychologique important. Les établissements de crédit ne sont alors plus des victimes, mais des acteurs actifs qui renforcent leur cyber-résilience et protègent durablement leurs données sensibles – et celles de leurs clients. Il est important de mesurer son efficacité sécuritaire, de bien comprendre les méthodologies et techniques utilisées par les attaquants et de s’entraîner encore et encore, techniquement et opérationnellement pour réagir au mieux le jour où cela se produira.
David GROUT, Mandiant.
Crédit photo : DR (photo d’illustration)
[cc] Breizh-info.com, 2022, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine