Mardi 3 mars s’est tenue, dans les prestigieux locaux de l’Ecole militaire de Paris, une conférence organisée par l’IHEDN et ENSAE Alumni sur les risques cyber, avec des orateurs de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), de Tracfin, de l’Autorité des Marchés financiers (AMF), ainsi que la responsable de la conformité de la Banque transatlantique. Nous souhaitons à travers ce compte-rendu partager avec nos lectrices et lecteurs les principales idées développées au cours de cette conférence.

UNE HISTOIRE ANCIENNE

La cyber-criminalité constitue un phénomène ancien, en particulier en matière boursière où elle peut prendre la forme de délit d’initié, de manipulation de cours ou de diffusion de fausse information. On citera à ce sujet la fausse annonce de la mort de Napoléon 1er au London Stock Exchange en 1814, qui a donné lieu à une hausse boursière dont les auteurs de l’annonce ont profité en revendant ensuite avec profit les actions qu’ils avaient précédemment achetées. Un peu plus tard, entre 1834 et 1836, c’est un délit d’initié qui était commis par les frères Blanc en piratant le télégraphe de Chappe avec la complicité d’un employé de ce télégraphe, pour connaître la clôture de la bourse de Paris et intervenir sur la bourse de Bordeaux avant que l’information n’y parvienne.

Les techniques des délinquants ont évidemment considérablement évolué depuis, et plusieurs affaires ont récemment défrayé la chronique, d’importants vols de crypto-monnaies à des virements frauduleux via le système Swift subis par Cosmos Bank, banque coopérative indienne, ou à l’attaque informatique dont Travelex a été victime. Dans ce dernier cas, la menace a été découverte le soir du 31 décembre 2019 et la société britannique de change a alors été obligée de mettre fin momentanément à ses services en ligne par mesure de précaution afin de protéger ses données.

LES COÛTS DE LA CYBER-CRIMINALITÉ

Le coût du risque cyber revêt différentes formes : coût direct en termes de perte de chiffre d’affaires, mais aussi coût de remédiation, car les systèmes piratés doivent être améliorés pour éviter la reproduction d’attaques similaires, sans oublier les provisions pour contentieux lancés par des clients dont les données confidentielles auraient pu être divulguées. En outre, l’établissement piraté subit généralement un coût en termes de réputation, et sa note peut être dégradée par les agences de notation.

On estime le coût de la cyber-crimimalité à environ 645 Mds$ par an, soit près de 1 % du PIB mondial. Cette estimation est basée sur l’impact d’une cyber-attaque sur le cours d’une société cotée, mais elle n’intègre pas le coût réputationnel, difficile à chiffrer.

QUI SONT LES CYBER-CRIMINELS ?

L’image du hacker isolé dans son garage et en tenue de jogging est souvent contredite par l’observation du rôle prééminent de groupes criminels très organisés et structurés, qui peuvent d’ailleurs être liés à certains gouvernements. Un panel d’experts nommé par le Conseil de Sécurité des Nations Unies a ainsi estimé l’an dernier que la Corée du Nord était à l’origine des cyber-attaques dont la banque Cosmos a été victime, dans l’objectif de transférer des fonds de manière illégale afin de contourner les sanctions internationales dont ce pays est l’objet.

Par ailleurs, même si l’origine de cette action n’a pas été formellement identifiée, on soupçonne des activistes d’être à l’origine de la publication en novembre 2016 d’un faux communiqué de presse selon lequel la société Vinci aurait commis une erreur de 3,5 milliards d’euros sur ses comptes qui aurait entraîné le licenciement de son directeur financier. Bien que démentie après quelques minutes, cette fausse information a déclenché une chute du cours de la société concernée de 18 %, qui a ensuite été corrigée, mais a pu momentanément affecter l’image de l’entreprise victime. Seule l’agence d’information financière Bloomberg, qui avait immédiatement diffusé l’information sans la vérifier, a dans cette affaire été sanctionnée par l’AMF, qui lui a infligé fin 2019 une amende de 5 millions d’euros.

Les cyber-attaques peuvent ainsi avoir différentes motivations. Ce peut être bien sûr la recherche d’un gain financier, par exemple par le rançonnage, mais elles peuvent également répondre à des objectifs de sabotage, d’activisme ou à la volonté d’une entreprise hostile de se doter d’une cyber-infrastructure à moindre coût.

QUELS SONT LES CHEMINS DE COMPROMISSION ?

Les attaquants profitent généralement de la vulnérabilité de systèmes informatiques internes, mais l’humain est le chemin de compromission le plus facile, via notamment des opérations de Phishing. On évoque ainsi le cas d’un fichier intitulé « Bonus.docx » utilisé pour récupérer les adresses IP d’utilisateurs, qui a été ouvert par 30 % des professionnels d’une grande banque, pourtant formés à la cybersécurité, qui l’ont reçu. La tentative d’intrusion dans le système d’une banque peut aussi, comme cela s’est déjà produit, servir de manœuvre de diversion pour mobiliser les équipes informatiques de la cible, alors qu’une autre action est menée par ailleurs, par exemple pour déclencher des ordres de versement de cash sur des distributeurs de billets, que des « mules » prévenues viennent alors récupérer. Les données personnelles dérobées peuvent aussi être ensuite utilisées pour mener des campagnes d’achat de titres auprès des titulaires des comptes piratés, poussant ainsi à la hausse des cours des titres concernés.

Les clients des établissements financiers constituent un chemin de compromission fréquemment utilisé, et l’on a pu voir des attaques utilisant des adresses IP de clients que les pirates avaient réussi à récupérer. Les départements des banques en charge de la conformité ont ainsi pour mission de surveiller, protéger, et bien sûr déclarer les opérions suspectes.

L’AMF observe également que la sécurité des opérations de trading est bien moindre que celle des opérations de crédit. Alors qu’on estime à plus de 50 % les opérations de marchés déclenchées par des algorithmes de trading, un piratage de ces algorithmes ou un ralentissement des systèmes de transaction peuvent faire perdre des sommes considérables aux acteurs concernés.

Les organismes publics producteurs d’indicateurs économiques sensibles, susceptibles d’impacter l’évolution des marchés financiers, peuvent également être soumis à des risques de délit d’initié. Avec le développement du trading à haute fréquence qui essaie de tirer parti de variations de cours sur des périodes très courtes, le potentiel de gains tirés de la détention de ces statistiques s’est accru, ce qui nécessite de mieux sécuriser le chemin de l’information financière produite.

ET LES VICTIMES ?

Les victimes sont des entreprises de toutes régions – l’Asie semble toutefois particulièrement touchée – et tous secteurs, mais le secteur financier représente environ 20 % des attaques, à travers des fraudes ou extorsions de fonds, des attaques de distributeurs automatiques de billets, de faux ordres de virements ou des vols de crypto-actifs. A titre d’exemple, la banque centrale du Mexique a reconnu en 2018 que des cyber-attaques avaient visé le système de paiement interbancaire mexicain, aboutissant au détournement de plus de 15 millions de dollars selon les déclarations faites à l’époque.

Les institutions publiques elles-mêmes peuvent parfois être touchées, y compris les banques centrales, par exemple celle du Bangladesh ou celle de Russie victime en 2016 de pirates informatiques qui sont parvenus à dérober des dizaines de millions de dollars en s’introduisant dans son système informatique via l’utilisation de l’identifiant d’un de ses clients. Le risque d’une panique bancaire ne peut être exclu si une banque centrale majeure devait être piratée.

Ainsi, 80 % des déclarations de soupçons transmises à Tracfin, élément important dans la communauté du renseignement financier, concernent le secteur financier, et en particulier des opérations en lien avec les crypto-actifs, en plein essor, et dont la traçabilité est moins facile que celle d’opérations financières plus traditionnelles.  Il peut s’agir de la vente de produits illégaux sur le « darkweb », par exemple pour effectuer des achats d’armes, de la revente de coordonnées bancaires volées, et du blanchiment des revenus générés par l’achat d’or en bitcoins. Le représentant de Tracfin cite également le cas la création de faux bitcoins par un informaticien qui créait des jeux de rôle et en mettait à disposition une version gratuite téléchargeable.

COMMENT RÉDUIRE LES RISQUES ?

Face à ces menaces, toute entreprise se doit d’effectuer une analyse des risques auxquels elle est soumise, et d’identifier les actions à entreprendre en cas de piratage, par exemple au cas où certaines données confidentielles deviendraient publiques, la rapidité de la réaction étant un critère important de maîtrise des coûts engendrés.

Les différents acteurs publics ont évidemment un rôle important à jouer. L’ANSSI s’est ainsi défini trois grandes missions:

• appui à la réponse à apporter à un problème donné (rôle de pompier),
• défense (audit et détection des risques)
• formation et sensibilisation

Tracfin souligne de son côté l’importance de la création d’une culture de la conformité chez les nouveaux acteurs, notamment les GAFA américaines ou BAXT chinoises. Son représentant rappelle à cette occasion que les professions assujetties à la réglementation LCB/FT de lutte contre le blanchiment et la fraude sur les transactions, vont au-delà des professions financières : cette réglementation concerne également les prestataires de services de prestation de monnaie électronique, les entreprises de services de paiement ou celles qui proposent une gestion de compte en crypto-actifs.

Quant à l’AMF, outre son rôle de veille active et sa participation aux groupes de travail internationaux et européens pour lutter de manière coordonnée contre la cybercriminalité financière, elle propose des actions de formation et de sensibilisation des acteurs régulés ou non, et mentionne parmi ses priorités la régulation de la finance digitale.

Enfin, au sein des établissements financiers, les dispositifs de conformité, dont les principaux objectifs sont le respect de la réglementation et la préservation des données, se sont considérablement renforcés.