– Par rapport à l’enquête conduite, quel constat général faites-vous sur l’évolution des menaces touchant les institutions financières ?
Un des principaux enseignements de notre étude, c’ est la généralisation des attaques informatiques dirigées contre les processus métiers. Dans le milieu bancaire, on peut estimer que les infrastructures sont aujourd’hui bien sécurisées. D’une part, les hackers ont acquis une bonne connaissance des processus métiers dans le secteur financier, d’autre part, ils se concentrent désormais sur le détournement d’applicatifs. Ils ont parfaitement assimilé le fait qu’accéder aux applicatifs eux-mêmes est la meilleure façon de dérober de l’argent. L’an dernier, cette tendance était déjà nettement perceptible. Aujourd’hui elle se confirme et prend de l’ampleur.
– De votre point de vue, les institutions financières ont-elles suffisamment intégré ce que l’on pourrait appeler la culture du risque informatique ?
Dans le monde de la banque, la culture du risque est un souci permanent dont la sécurité des systèmes d’information est un aspect essentiel. Cela dit, des progrès doit encore être accomplis au sein même des institutions financières, sur le plan du management de la sécurité. En particulier, la relation entre les entités métiers et les services informatiques doit être améliorée, afin, justement, de mieux répondre aux menaces technologiques. Sécuriser un applicatif nécessite une forte interaction entre responsables métiers et informaticiens. Par ailleurs, lors des phases de recettes d’applicatifs, la collaboration entre MOA et MOE manque parfois de rapidité et de réactivité. Face aux menées des cyberdélinquants, il faut pouvoir s’organiser et réagir très rapidement.
– A tort ou à raison, le phishing est aujourd’hui devenu le symbole de la délinquance informatique bancaire. Mais d’autres menaces moins médiatisées, ne sont-elles pas plus préoccupantes ?
Plusieurs observations sur ce point. Les attaques par phishing se sont en effet multipliées et on peut dire que toutes les grandes banques en ont été victimes. Si leur impact est finalement assez limité au plan financier, en revanche, les dégâts en termes d’image peuvent s’avérer dévastateurs. A mon avis, c’est là le véritable effet négatif du phishing. Les banques sont du reste très vigilantes et mettent en place des stratégies de gestion de crise et de communication afin de rassurer leurs clients, professionnels ou particuliers. Autre point: si le phishing constitue une menace bien réelle, les malwares connaissent un très fort développement en Europe. Là encore, les choses ont changé: l’attaque par malware n’est plus un acte de vandalisme mais un système visant à prendre le contrôle d’une machine à distance, à déployer des keyloggers afin de subtiliser des données critiques, à servir de relais SMTP pour activer des spammings, voire même, dans certains cas, à déposer sur les postes, des fichiers illicites (pédopornographie, fichiers piratés). Autrement dit, les malwares sont employés pour mener des attaques à la fois multiples et complexes.
– Existe-t-il aujourd’hui des disparités entre les différents continents en matière de lutte contre les risques informatiques et technologiques, ou au contraire, assiste-t-on à une convergence ?
La sensibilisation de tous les acteurs concernés reste bien sûr l’exigence essentielle en matière de sécurité informatique, ce qui nous ramène à la question de la culture du risque. En Europe, j’estime qu’il existe un bon niveau de maturité au sujet de la gouvernance de la sécurité technologique et de l’organisation des RSSI et des DSI. Mais l’Europe doit vraiment progresser dans ses stratégies de sensibilisation et de responsabilisation des individus eux-mêmes. Sur le continent américain, l’existence de réglementations plus nombreuses, précises et contraignantes constitue un atout alors que les utilisateurs sont davantage sensibles au thème de la sécurité informatique. Cela dit, on ne doit pas généraliser sur le cas européen car dans les pays scandinaves, pour ne prendre qu’un seul exemple, les procédures de banque en ligne comportent des dispositifs d’authentification forte. Les banques nordiques font un gros travail pour informer et former leurs clients aux technologies de sécurité informatique. A mon sens, les institutions financières françaises feraient bien de s’inspirer de leurs homologues d’Europe du Nord.