Des clefs USB infectées disséminées sur les parkings des entreprises, des fausses applications mobiles qui viennent remplacer celles des banques en un clic, ou encore des envois de mails infectés à des personnes clefs… Les pirates informatiques rivalisent d’imagination pour s’infiltrer au coeur des systèmes informatiques des banques. Et pour les établissements, la menace ne fait que se renforcer : en 2013, le nombre d’attaques de « phishing », c’est-à-dire l’envoi de courriels frauduleux à des clients pour obtenir leurs données bancaires, visant spécifiquement les établissements financiers, banques, sites d’e-commerce ou solutions de paiements en ligne, a grimpé de près de 50 % en un an, pour atteindre près de 104 millions, selon les chiffres collectés par le spécialiste de la sécurité informatique Kaspersky Lab auprès de 60 millions d’utilisateurs dans le monde. Cibles privilégiées, les banques le sont plus que jamais : elles ont concentré plus de 22 % du total des attaques l’an passé, contre seulement 11,92 % en 2012.
En France, les établissements ne sont pas épargnés. « Le nombre d’attaques est phénoménal. Entre 2011 et 2014, leur occurrence a été multipliée par 12 », explique Raymond Bunge, directeur systèmes d’information des réseaux de banque de détail en France à la Société Générale. Plus nombreuses, les attaques sont aussi plus virulentes, puisqu’elles peuvent cibler, via des sites localisés à l’étranger, plusieurs points centraux des établissements de façon simultanée.
Comment explique-t-on une telle poussée de la menace ? Dans les banques, le responsable tout désigné est la banque en ligne. « Pendant des années, les banques ont renforcé la sécurité de leurs systèmes d’information sur le modèle du château fort, mais désormais elles doivent ouvrir des brèches dans leurs murs pour permettre l’accès à distance aux services de banque en ligne, ce qui les rends forcément plus vulnérable aux hackers », fait valoir Olivier Morbe associé au BCG.
Pour les établissements bancaires, toute la difficulté consiste donc à moderniser leurs systèmes d’information. Pour ce faire, ils doivent changer d’optique et revoir leur sécurité davantage sur « le modèle de l’aéroport où pour chaque accès à une information sécurisée, une accréditation est nécessaire et contrôlée », estime encore Olivier Morbe. Des investissements massifs ont déjà été engagés dans ce sens. La banque britannique, Lloyds Banking Group, a ainsi dépensé 175 millions d’euros en 2013 pour moderniser son système d’information, tandis que Deutsche Bank a indiqué qu’elle engagerait 1 milliard d’euros sur des projets similaires à l’horizon 2015.
Mais l’équation demeure complexe : « En ce moment, nous sommes tous dans une course de vitesse pour fermer les portes sans véritablement les fermer. Aucune banque ne peut se résoudre à réduire son accès en ligne, la perte de client serait immédiate », résume Raymond Bunge.
Dans ce contexte, les banques veillent à se prémunir contre tout risque d’image, s’attachant à garder la confidentialité de ces attaques. En France, les établissements ne sont tenus de signaler que les incidents dits « significatifs », auprès de l’Autorité de contrôle prudentiel et de résolution (ACPR), soit toute fraude « entraînant une perte ou un gain d’un montant brut dépassant 0,5 pour cent des fonds propres de base » de la banque, précise l’ACPR. A la manoeuvre sur le sujet spécifique de la cybersécurité, l’Agence nationale de la sécurité des systèmes d’information devrait toutefois renforcer son rôle de vigie sur le secteur financier à partir de 2015, avec l’entrée en vigueur de la loi de programmation militaire.
Mais il faut aussi que les banques soient plus transparentes dans leur lutte contre les attaques. « Révéler des failles dans la sécurité est souvent perçu comme quelque chose susceptible d’affecter la réputation d’une entreprise. Cette réticence doit être mise de côté », pour éviter de menacer la stabilité financière, a fait valoir Jacob Lew, secrétaire américain au Trésor, la semaine dernière.