La digitalisation du secteur financier augmente le risque de cyberattaque. En 2021, 1 cyberattaque sur 2 menée au sein de la zone euro a abouti, comme le révèle un document de la Banque centrale européenne.
Digitalisation et externalisation font augmenter le risque cyber
Si les banques sont dans l’obligation de signaler aux autorités toutes les cyberattaques dont elles sont victimes, elles évitent généralement d’en parler publiquement. La Banque centrale européenne a publié mi-décembre une étude sur le risque cyber pesant sur ces établissements, et plus précisément sur les cyberattaques recensées en 2021.
L’an dernier, 1 cyberattaque sur 2 n’a pu être évitée. La part de cyberattaques ayant abouti était beaucoup plus faible avant la crise sanitaire, avec 41 % de « réussite » en 2019, mais plus élevée en 2020, avec 57 % de cyberattaques menées à bien.
La digitalisation du secteur financier traditionnel, indispensable pour permettre aux banques de faire face à la concurrence des fintechs et des GAFA, a augmenté son exposition au risque cyber.
Ainsi, comme le recommande la directive sur les services de paiement (DSP2), l’open banking amène les établissements bancaires à partager les données de leurs clients avec divers acteurs financiers. Les banques font aussi appel à des prestataires pour déplacer leur infrastructure dans le cloud, ce qui augmente le risque de cyberattaque. Enfin, la pandémie de Covid-19 a entraîné un recours massif au télétravail, qui n’est plus aussi systématique qu’au plus fort de la crise sanitaire, mais qui perdure au moins 2 jours par semaine dans nombre d’entreprises, intensifiant le risque cyber.
Les attaques DDoS n’épargnent pas les banques
Les cyberattaques les plus fréquentes sont les attaques DDoS (Distributed Denial of Service), aussi appelées attaques par déni de service. Ces attaques ont pour but de nuire à l’entreprise visée en bloquant l’accès à son site, ce qui peut entraîner des pertes financières considérables. Les hackers utilisent des réseaux de bots venant sur solliciter le système via des requêtes trop nombreuses ou un trafic trop important, et exigent parfois des rançons pour rendre le site de nouveau accessible.
Les attaques par « tierce partie », c’est-à-dire celles visant les fournisseurs ou les prestataires des banques, constituent aussi une réelle menace. Selon l’étude de la Banque centrale européenne, ce type de cyberattaque est en augmentation dans le secteur financier.
Si l’externalisation des services et des données augmente le risque cyber pesant sur les banques, il existe aussi des failles de sécurité en interne. C’est pourquoi la BCE surveille de près les incidents survenant sur des systèmes informatiques qui ne font plus l’objet de mises à jour en raison de leur ancienneté. En hausse entre 2019 et 2020, ces incidents se sont stabilisés en 2021.
La sécurité informatique fait partie des priorités de la BCE pour 2022-2024, car le risque de déstabilisation de l’ensemble du secteur financier est réel en cas de mauvaise gestion des cyber incidents visant les banques.
Des inspections menées dans les établissements de la zone euro au cours des dernières années ont révélé, selon la BCE, diverses failles : les incidents ne sont pas tous détectés, certains systèmes informatiques n’offrent pas une protection suffisante, et les banques ne sont pas toujours assez préparées à faire face aux cyber incidents.
Pour réduire le risque cyber, les superviseurs relèvent leur niveau d’exigence vis-à-vis des banques. La banque espagnole Abanca en a très récemment fait les frais : alors qu’elle subissait une cyberattaque en 2019, elle avait attendu 2 jours au lieu des 2 heures réglementaires pour alerter la BCE. Celle-ci lui a infligé la semaine dernière une sanction financière de 3,15 millions d’euros.