BFM Business
Assurance Banque

Pourquoi les banques françaises sont vulnérables aux cyberattaques

Pour la Banque de France, plusieurs incidents récents de grande ampleur montrent le caractère de plus en plus sophistiqué de ces attaques informatiques et l’importance des risques associés.

Pour la Banque de France, plusieurs incidents récents de grande ampleur montrent le caractère de plus en plus sophistiqué de ces attaques informatiques et l’importance des risques associés. - www.elbpresse.de-Licence creative commons-Wikimedia

La Banque de France estime "urgent" que les dirigeants des groupes bancaires français prennent la mesure des risques en matière de cybersécurité. Elle les incite à renforcer l'arsenal de leurs sociétés contre les attaques informatiques.

Le système financier français est-il à la merci d'ennemis aussi invisibles que redoutables, incarnés par les pirates informatiques? Dans son rapport d'évaluation des risques et vulnérabilités du système français. La Banque de France tire la sonnette d'alarme. "La dépendance du secteur bancaire à l’informatique et le mouvement d’externalisation de fonctions sensibles le rendent plus vulnérable aux risques opérationnels, et notamment aux cyberattaques" estime la banque centrale française.

Son rapport invoque "plusieurs incidents informatiques récents de grande ampleur montrant le caractère de plus en plus sophistiqué de ces attaques et l’importance des risques associés" tel celui ayant affecté en début d'année, le réseau interbancaire Swift, pourtant ultrasécurisé (cf encadré ci-dessous).

Les banques elles-mêmes sont conscientes de la menace qui les guette. La Société Générale indique que "la volumétrie des attaques qui visent le groupe est multipliée chaque année par deux à dix fois le volume de l’année précédente".

Mais, pour la Banque de France, ce sont les directions générales des institutions françaises qu'il faut encore convaincre de renforcer leur arsenal contre les cyberattaques.

La BCE va jouer au gendarme

"Il devient urgent que les dirigeants de banques prennent la pleine mesure des risques en matière de cybersécurité et que les dispositifs de sécurité soient renforcés. La sensibilisation des dirigeants est primordiale afin qu’ils intègrent ces risques dans la stratégie d’entreprise et allouent les budgets nécessaires à la mise en place de dispositifs visant à réduire les risques liés à la cybersécurité" explique le rapport de la Banque de France.

Elle incite fortement les banques françaises à adapter leur dispositif de sécurité informatique en profondeur. Outre la supervision adéquate des prestations qu'elles confient à des prestataires (développement d'applications, centre d'appels), elles sont invitées à tester des plans d’urgence, leur permettant de poursuivre leur activité bancaire, en cas d'attaques informatiques de grande ampleur.

Comme si cela n'était pas suffisant, la banque de France prévient que la BCE va jouer au "gendarme" chargé de vérifier le niveau de sécurité des systèmes informatiques. La banque centrale européenne a diligenté des missions sur la cybersécurité depuis début 2015, dont plusieurs dans des groupes français. La BCE a aussi initié en février 2016 la collecte d’incidents de cybersécurité significatifs auprès de quelques banques et prévoit d’étendre ce dispositif à tous les établissements significatifs en 2017.

Le cas d'école du piratage du réseau interbancaire Swift

Alors qu'environ 2,5 milliards d’ordres de paiement transitent annuellement via le réseau Swift, qui compte 9.600 banques, le transfert frauduleux de 81 millions de dollars au détriment de la Banque centrale du Bangladesh en février 2016, a constitué une première alerte de grande ampleur. Cette perte a été rendue possible par l’envoi d’ordres de transfert via le réseau Swift.

Cette attaque informatique a profité de la vulnérabilité de certains équipements de la banque connectée localement au réseau Swift. Selon la Banque de France, cet incident met en évidence plusieurs points faibles :

-la sous-estimation des risques par les dirigeants,

-un système d’information insuffisamment sécurisé, en particulier une gestion inadéquate des droits d’accès des administrateurs des systèmes,

-des dispositifs de contrôle défaillants.

Frédéric Bergé