Banques & Assurances

Contexte des Établissements financiers

La cybercriminalité est devenue une menace prépondérante pour l’ensemble des entreprises, dépassant aujourd’hui largement la criminalité classique. Avec la révolution numérique, les établissements financiers sont maintenant plus que jamais soumis à ce type de menace qui a été citée 2 fois (« vol de données ou d’argent » et « blocage d’opérations ou d’infrastructure ») parmi les 5 premiers risques mondiaux aux côtés des risques géopolitiques.

Le nombre d’intrusions dans les systèmes informatiques des établissements financiers a triplé entre 2012 et 2017, selon une étude menée par Accenture et l’institut de recherche américain Ponemon (03/2018) auprès de 254 entreprises dans sept pays (France, Italie, Japon, Etats-Unis, Allemagne, Italie, Australie).

Les superviseurs (ACPR, ABE, ANSSI…) apportent une attention particulière à ce sujet qui est pris en compte comme un risque systémique. Les établissements financiers sont invités à intégrer ce type de risque dans le calcul des fonds propres en quantifiant les scénarios de risques Cyber ainsi que dans leurs plans de continuité d’activité et à renforcer les contrôles sur les systèmes.
Au-delà de ces mesures nécessaires, il est fondamental d’apporter un niveau de protection des systèmes adapté à ces nouvelles menaces.

Types de menaces

Ces dernières années, 2 cas célèbres ont défrayé la chronique. Le premier concerne le vol de plus d’un milliard d’euros dans une centaine d’institutions financières d’une quarantaine de pays (attaque Carbanak, dont le cerveau a été arrêté en 2018). La deuxième est l’attaque de la banque centrale du Bangladesh via SWIFT.
La plupart des attaques de ce type sont basées sur la prise de contrôle des postes de travail d’employés qui sont ensuite utilisés pour rebondir sur des systèmes vulnérables ou pour passer des ordres de paiement à l’aide des outils habituels de l’institution financière, après une période d’observation silencieuse de plusieurs semaines (Carbanak).

L’illustration la plus célèbre de ce cas est NotPetya qui a provoqué l’arrêt complet de plusieurs entreprises dans plusieurs pays en rendant inopérante tous les systèmes informatiques (postes de travail et serveurs). L’attaque a été foudroyante, une grande entreprise française a perdu autour de 10000 systèmes en moins de 2 heures.

Ce type d’attaque est basé sur le même principe que les ransomware (demande de rançon après chiffrement des fichiers) sauf qu’elle ne propose pas de clé de déchiffrement. NotPetya a exploité les attaques dites “latérales” (qui se propagent directement d’un système infecté vers un système adjacent sain), ce qui a permis de décupler la vitesse d’infection.

tehtris protège le secteur BANQUE & ASSURANCE

Face aux nouvelles techniques sophistiquées d’attaques, en amélioration permanente, les défenses classiques, telles que les pare-feus, les systèmes anti-intrusion ou encore les antivirus, ont montré leurs limites. Notamment lorsqu’ils sont contournés pour rendre une attaque indétectable à l’intérieur de flux autorisés. Il faut donc un système de défense adapté aux nouvelles formes d’attaques, connues ou inconnues.

C’est ce que propose TEHTRIS au travers de son arsenal de cyberdéfense eGambit qui a pour objectif d’être l’arme fatale contre les cyberattaques en combinant les fonctions d’EDR (Endpoint Detection and Response), avec celles de détection d’intrusion a posteriori : audit du poste de travail, corrélation des événements (SIEM) aussi bien sur le réseau que sur les systèmes, mise en œuvre de “pot de miel” (ou honeypot = serveurs factices qui permettent de détecter un intrus sur le réseau). De plus eGambit permet, en amont, de détecter les vulnérabilités qui pourraient être exploitées sur les systèmes.