Gli attacchi cyber: nuovo rischio sistemico per le banche

Le banche stanno vivendo una rivoluzione digitale che può renderle fragili dei confronti degli hacker. Questa estate l’indiana Cosmos Bank è stata vittima di un attacco di nuovo tipo: gli hacker hanno installato un software malware sul server di distribuzione e sono riusciti a rubare l’equivalente di $ 13,5 milioni in sole due ore. In due ore hanno lanciato oltre 14.000 operazioni fraudolente nei bancomat di 28 paesi diversi. Gli hacker hanno usato fraudolentemente il sistema di trading interbancario SWIFT. La cyber insurance è un mercato in forte crescita.

Edouard Ledereret Thibaut Madelin
Les banques vivent une révolution digitale qui peut fragiliser leurs défenses face aux hackers. Une part non négligeable des inspections de la BCE porte désormais sur la sécurité informatique.
Cet été, l’établissement indien Cosmos Bank a été victime d’une attaque d’un nouveau genre : des hackers ont installé un logiciel malveillant sur son serveur de distributeurs de billets et sont parvenus à siphonner l’équivalent de 13,5 millions de dollars en deux heures à peine. Le temps de lancer plus de 14.000 opérations de retraits frauduleux à des distributeurs répartis dans 28 pays différents. Au passage, les hackers se sont servis frauduleusement du système de transaction interbancaire SWIFT, révèle la plainte de la banque, citée alors par l’agence Reuters.

Nervosité des autorités
Aux yeux des gendarmes financiers, les hackers pourraient représenter un danger aussi important pour la stabilité financière que les « subprimes », il y a dix ans. Dans un système financier interconnecté, leurs attaques représentent un risque systémique. La Banque centrale européenne (BCE) a récemment durci le ton, au point que désormais une part non négligeable de ses inspections sur place – directement dans les sièges des banques – porte sur la sécurité informatique. Depuis août 2017, les banques sont en outre tenues de lui déclarer les incidents subis. Par ailleurs, si elle soutient pleinement les tests d’intrusion de hackers professionnelsréalisés par les banques, l’institution réfléchit à un contrôle plus direct de ces « stress tests ». Une piste en discussion serait qu’elle définisse le périmètre du test ou participe à la sélection du prestataire chargé de mener l’attaque fictive. L’autorité bancaire européenne (EBA) a, quant à elle, mis en chantier cette année des « lignes directrices » qui donneront aussi le « la ».

Autre initiative, l’ACPR – l’Autorité française de contrôle des banques et des compagnies d’assurances – a publié un document de réflexion qui liste précisément les risques informatiques et doit servir de base à la stratégie de défense de banques. La nervosité des autorités témoigne d’une menace accrue. « Les attaques montent en intensité, à l’image des intrusions vécues par SWIFT. Jusqu’à il y a deux ans, personne, à part les Etats, n’avait connu un tel niveau de sophistication dans les attaques. Il peut s’agir de hackers formés par un Etat qui ensuite se reconvertissent dans un but crapuleux », prévient Yves Le Floch, directeur commercial de la cybersécurité pour Sogeti.

Potentiellement plus vulnérables
A l’origine de cette mobilisation : les banques vivent une transformation digitale qui les rend potentiellement plus vulnérables. « Chaque application bancaire, et même chaque version, peut devenir un point d’entrée pour un hacker. De même, la mise en commun des données de la banque ou d’un nuage (cloud) présente également un risque d’intrusion. Ce risque est renforcé par les attentes des clients qui demandent des usages proches de ce qu’offrent les Gafa », reprend Yves Le Floch. Enfin, c’est bien sûr l’interconnexion entre les acteurs bancaires, ou via des plates-formes de compensation, qui rend une attaque risquée. Au point qu’en France depuis 2015 certaines banques figurent au rang des « Opérateurs d’importance vitale » (OIV) comme l’énergie. Cela signifie qu’elles sont tenues de dresser des défenses renforcées devant leurs systèmes les plus critiques. Les banques ne rechignent pas. « Le secteur bancaire est historiquement le plus mature en cybersécurité. Les établissements y mettent les moyens et ont aussi tendance à collaborer entre eux, et avec les autorités dans un esprit de place : ils progressent collectivement », remarque Yves Le Floch.
Il reste toutefois difficile de connaître le nombre d’incidents dont elles sont victimes. Une banque peut déceler plusieurs milliers de simples « événements » par jour, comme un client ayant renseigné un mauvais mot de passe, jusqu’à une attaque caractérisée.

Le marché de la cyberassurance promis à une croissance rapide
Laurent Thévenin

Selon le réassureur Munich Ré, le volume mondial des primes de cyberassurance pourrait doubler d’ici à 2020.
En pleine émergence, le marché de la cyberassurance est promis à une accélération imminente. Encore très américain, il reste d’une taille relativement modeste, avec 3,5 à 4 milliards de dollars (2,99 à 3,4 milliards d’euros) de primes brutes émises au niveau mondial en 2017, selon des chiffres avancés ce mois-ci par Munich Ré. D’après les projections du géant allemand de la réassurance, il pourrait doubler de taille d’ici à 2020, pour atteindre entre 8 et 9 milliards de dollars. Et, en 2025, il devrait s’élever à 20 milliards de dollars.

« La demande pour la prévention et l’assurance grandit au fur et à mesure que les entreprises prennent conscience de leur exposition et recherchent une protection contre les conséquences financières des cyberrisques », expliquait Munich Ré à l’occasion des Rendez-vous de septembre, le grand raout annuel de la réassurance qui se tient à Monte-Carlo. Son concurrent, Hannover Re, faisait lui aussi état d’une augmentation de la demande pour de telles couvertures, « pas seulement de la part de grands groupes, mais aussi de la part de PME ».Les cyberattaques géantes de 2017 – WannaCry, NotPetya ou le piratage informatique dont a été victime l’agence américaine de notation de crédits personnels Equifax – ont marqué les esprits. Et elles devraient se répéter. Dans une étude publiée cette semaine par le courtier en réassurance Willis Re et réalisée auprès de 700 experts de 100 compagnies d’assurances, 60 % s’attendent à ce que de tels événements se produisent au moins une fois tous les cinq ans.

Un risque en pleine évolution
Les assureurs et les réassureurs avancent toutefois avec prudence. Ils se retrouvent en effet face à un risque à la fois nouveau et en pleine évolution, ce qui rend d’autant plus compliqué sa tarification. Mais, surtout, ils doivent composer avec une exposition bien plus grande que celle portée dans les seuls contrats de cyberassurance.
Une attaque informatique peut avoir des répercussions sur d’autres contrats d’assurance. Un incendie provoqué par un court-circuit suite à l’intrusion d’un hacker dans le système d’information d’une entreprise sera ainsi indemnisé par le contrat d’assurance dommages aux biens.
Ce « cyber silencieux » est considéré par les experts interrogés par Willis Re comme « un risque plus élevé que jamais ».

Fonte: