Les banques face aux cyberattaques

Menace Comme la BCGE, de nombreux établissements sont visés par des pirates

Si des moyens existent pour y faire face, le risque zéro, lui, est illusoire

La cyberattaque dont a été victime la Banque Cantonale de Genève (BCGE) au début du mois de janvier a défrayé la chronique. Des journaux du monde entier, des Etats-Unis à Tahiti, ont évoqué l’incident, obligeant la banque cantonale à mettre en place une cellule de crise pour répondre aux nombreuses sollicitations.

C’est que l’affaire n’est pas banale. Des pirates informatiques – «hackers» dans le jargon – sont parvenus à mettre la main sur des données confidentielles appartenant à la banque cantonale en attaquant son site internet. Ou plutôt, comme elle l’a expliqué dans un communiqué, un «site servant d’interface et d’outil de communication avec la clientèle et les personnes intéressées aux services de la banque». En tout, plus de 30 000 messages de clients, avec nom, adresse, numéro de téléphone (mais sans le numéro ni le montant du compte), ont été subtilisés.

Une fois ces données volées, les pirates se sont transformés en maîtres-chanteurs, exigeant 25 000, puis 10 000 euros de la banque pour qu’ils ne les publient pas sur la Toile. Sans succès. Considérant les informations volées comme «non critiques et peu exploitables ou obsolètes», consciente que rien ne pourrait empêcher les hackers de reprendre leur chantage plus tard en utilisant les mêmes données, la BCGE a refusé de céder aux menaces. Et prévenu elle-même les clients concernés. Les pirates, eux, ont tenu leur promesse et publié des milliers de données sur un site internet de partage.

Les conséquences économiques des cyberattaques ne se limitent pas à la perte d’actifs financiers ou à des questions de propriété intellectuelle. Comme le rappelle l’Association des banques britanniques (BBA) dans un rapport sur les cybermenaces publié l’été dernier – au moment même où JPMorgan Chase se faisait voler des dizaines de millions de données informatiques –, les attaques portent aussi et surtout atteinte «à la réputation et à l’image de l’entreprise».

A l’ère du digital et du e-commerce, les banques ne sont bien sûr pas les seules concernées par le piratage informatique. Domino’s Pizza ou Numericable ont été attaqués par les mêmes hackers que la BCGE. En 2011, Sony s’est fait pirater le portail de sa PlayStation, utilisé par 77 millions de joueurs dans le monde. Les gouvernements américain et britannique ont même prévu de simuler une attaque massive cette année, qui viserait des agences gouvernementales mais aussi la Banque d’Angleterre et des institutions commerciales.

Avec les millions de données sensibles dont elles disposent, les banques représentent néanmoins une cible de choix aux yeux des pirates. Et elles le savent. Les établissements britanniques investissent chaque année, à eux seuls, 700 millions de livres (environ 910 millions de francs) dans la cybersécurité, selon des données officielles.

«Il a fallu attendre l’affaire Falciani pour que les banques se mettent à investir massivement dans la sécurité informatique, respectivement dans des solutions de lutte contre la perte et le vol de données, souligne toutefois l’avocat valaisan Sébastien Fanti. Elles font aujourd’hui ce qu’elles auraient dû faire hier.» Celui qui est aussi préposé à la protection des données du canton du Valais poursuit: «Certaines banques ont toujours de graves problèmes de sécurité. J’en ai vu qui ont encore leurs serveurs dans une salle de conférences.»

Ce qui inquiète surtout Sébastien Fanti, ce sont les amendes auxquelles les banques risquent d’être confrontées lorsque la nouvelle réglementation européenne sur la protection des données aura été transposée à la Suisse. «Aujourd’hui, la BCGE risque théoriquement une amende de la part de la Finma (lire ci-dessous), explique-t-il. Mais à l’horizon 2017-2018, quand le droit européen aura été repris chez nous, on parlera d’amendes pouvant atteindre 5% du chiffre d’affaires brut annuel. Les banquiers, qui savent très bien calculer, s’apercevront vite que l’investissement massif en termes de sécurité informatique est infime à l’aune du risque de sanctions.»

Alors que doivent faire les banques? La Centrale fédérale d’enregistrement et d’analyse pour la sûreté de l’information (Melani), dont les équipes sont venues en aide à la BCGE pour analyser la brèche et suggérer des améliorations dans son système de sécurité, insiste sur la nécessité d’échanger un maximum. Avec les banques mais aussi pour les banques entre elles. Il s’agit de partager des informations sur les tentatives d’attaques, «très fréquentes», les adresses IP des ordinateurs utilisés par les pirates, etc. Melani organise ainsi, deux fois par an, une table ronde avec ses membres, des entreprises suisses considérées comme étant des «infrastructures vitales du pays», dont font partie de «nombreuses banques».

Contacté, Max Klaus, responsable adjoint de Melani, tient toutefois à souligner que la «grande majorité des établissements financiers en Suisse sont très bien protégés» contre les cyberattaques. «Les grandes banques ont toutes des équipes consacrées à la sécurité informatique, explique-t-il. Des équipes qui n’hésitent pas à nous prévenir en cas de problème.»

A l’inverse, quand il s’agit de tester la sécurité de leurs systèmes, les banques font en règle générale appel à des acteurs externes. Comme Philippe Oechslin et sa société Objectif Sécurité, basée à Gland. «Pour trouver les failles, il faut un regard externe», souligne ce dernier. Avant de livrer ses conseils pour faire face aux attaques ciblant des applications accessibles sur Internet, «un grand classique». Premièrement, il faut faire preuve de la plus grande vigilance lors de la programmation des applications. «Les pirates chercheront toujours à exploiter la moindre faille dans le système», souligne-t-il. Ensuite, il faut faire auditer les applications avant de les rendre accessibles aux clients. «Il faut les tester, les retester et les tester encore, poursuit-il. A chaque mise à jour mais aussi de manière récurrente.» Enfin, il conseille de mettre en place des pare-feu applicatifs. «Leur rôle est de bloquer les attaques qu’ils arrivent à détecter», précise-t-il.

Malgré tout, Philippe Oechslin reconnaît qu’une banque ne pourra jamais se protéger à 100%. «La sécurité est un processus continu et les pirates vont toujours faire évoluer leurs attaques», conclut-il. La BCGE, elle, assure dans un communiqué que l’incident «s’est produit hors des périmètres hautement sécurisés de la banque». Et que «son dispositif de sécurité de base s’est montré robuste».

«Il a fallu l’affaire Falciani pour que les banques investissent massivement dans la sécurité informatique»

«La sécurité est un processus continu et les pirates vont toujours faire évoluer leurs attaques»