Les entreprises opérant dans le secteur des services financiers ne sont pas étrangères aux diverses formes de criminalité et de fraude financières. Toutefois, au fil du temps, les règles du jeu ont changé et les acteurs de la menace ont adapté leurs tactiques pour mieux s'adapter au monde numérique. Les cybercriminels utilisent désormais différents types de fraude et d'extorsion, ainsi que des sociétés d'intrusion directe pour se remplir les poches.
La gravité de la menace que représente la cybercriminalité pour les entreprises offrant des services financiers peut être illustrée par le coût d'une violation de données dans le secteur financier. Selon le Rapport 2020 sur le coût d’une violation de la confidentialité des données d’IBM, le coût moyen d'une violation de données dans le secteur des services financiers s'élève à 5,85 millions de dollars US, contre 3,86 millions de dollars US pour l'ensemble des personnes interrogées dans le cadre de son enquête, tous secteurs confondus.
En outre, le secteur financier reste une cible attrayante pour les mauvais acteurs, notamment en raison du type et de la quantité d'informations qu'il collecte auprès de ses clients. En cas de violation réussie, les données pourraient être utilisées pour commettre une fraude à l'identité ou être vendues sur les marchés du web noir, ce qui pourrait entraîner une atteinte à la réputation de l'entité violée ainsi que des dommages pécuniaires et de réputation pour les clients concernés.
Le rapport 2020 de Verizon sur les enquêtes relatives aux atteintes à la protection des données estime que 63 % des attaques perpétrées contre les institutions financières sont le fait d'acteurs externes motivés par le gain monétaire. Dans ces cas, les organisations peuvent s'attendre à ce que les cybercriminels emploient des attaques de bourrage de cotes, des attaques d'ingénierie sociale, des fraudes, des attaques DDoS et des logiciels malveillants.
La pandémie de COVID-19 a exacerbé les risques, notamment parce que de nombreuses entreprises ont été contraintes de se tourner vers le travail à distance, ce qui pose ses propres problèmes. Comme le changement a été si soudain, les entreprises n'ont peut-être pas eu assez de temps pour mettre en place correctement des politiques de cybersécurité qui permettraient de remédier aux éventuels points faibles dus au fait que les employés travaillent soudainement à domicile.
Il est clair que les entreprises doivent renforcer leurs mesures de sécurité afin de réduire les risques d'être victimes de la myriade d'attaques lancées. En effet, une récente enquête d’ESET menée auprès de 10 000 consommateurs et dirigeants d'entreprises dans diverses régions du monde a révélé que 45 % des entreprises avaient été victimes d'une brèche.
Le facteur humain
Les employés sont la pierre angulaire de leur organisation, il ne devrait y avoir aucun doute à ce sujet. Cependant, comme le veut le vieil adage, « l'erreur est humaine ». Le rapport d'IBM a révélé que l'erreur humaine est l'une des trois principales causes de violations de données, représentant 23 % des violations.
Les erreurs commises par les employés peuvent prendre différentes formes : ils peuvent être victimes de phishing ou d'attaques d'ingénierie sociale plus ciblées, ou ils peuvent mal configurer un système. Les deux premières erreurs sont particulièrement menaçantes en raison de la transition vers le travail à distance, rendue possible par la pandémie. Comme les entreprises n'étaient pas préparées à cette transition rapide et inattendue, au lieu de pouvoir déployer un plan bien pensé, beaucoup ont été obligées d'agir de manière réactive, ce qui a fait que les travailleurs nouvellement à distance n'ont pas reçu de formation supplémentaire en matière de cybersécurité.
Les attaquants pourraient utiliser l'un des crimes en ligne les plus préjudiciables financièrement - une arnaque de compromis de courriel d'affaires (BEC). Lors d'une attaque BEC, le chapeau noir cible sa victime à partir du compte de courrier électronique compromis d'un membre du personnel de plus haut niveau, ou d'un membre du personnel d'un partenaire commercial, lui demandant d'effectuer une tâche légitime comme l'achat et l'envoi d'articles ou le virement de paiements ; cependant, au lieu d'une adresse ou d'un compte bancaire légitime, le fraudeur ajoute le sien, escroquant ainsi l'entreprise de son argent. Les cibles peuvent également recevoir un courriel frauduleux contenant un lien ou une pièce jointe cachant un logiciel malveillant qui, s'il est téléchargé, infestera leur ordinateur et pourrait même se propager sur le réseau.
Pour réduire les risques que l'un de ces scénarios se produise, les entreprises doivent fournir à leurs employés une formation adéquate en matière de cybersécurité. Des exercices permettant aux employés d'apprendre à repérer les tentatives d'hameçonnage ou d'ingénierie sociale devraient être organisés régulièrement. En outre, une bonne mesure consisterait à donner régulièrement aux employés des conseils pour travailler à distance en toute sécurité, ainsi que des indications sur la manière d’utiliser d'outils de vidéoconférence en gardant la sécurité à l'esprit, ou sur la manière de sécuriser adéquatement l'accès à distance aux systèmes de l'entreprise.
En prenant les mesures nécessaires, l'entreprise peut désormais se protéger contre les dommages monétaires et les atteintes à sa réputation à l'avenir. Un avantage supplémentaire serait que ces pratiques de cybersécurité s'avéreront utiles longtemps après la fin de la pandémie, car tout le monde ne sera pas pressé de retourner travailler au bureau.
Le facteur technique
Si la formation de vos employés est un aspect important du renforcement de votre cybersécurité, elle n'est qu'une pièce d'un puzzle plus vaste. Le poids de la défense contre les cybermenaces doit être supporté par des solutions techniques mises en œuvre dans toute l'infrastructure de votre entreprise. Bien que certains puissent mettre en doute la nécessité d'investir des sommes importantes, il vaut toujours mieux espérer le meilleur mais prévoir le pire. Toujours selon l'enquête ESET, 28 % des entreprises n'investissent pas activement dans les nouvelles technologies pour aider à sécuriser les finances ou du moins ne savent pas si elles le font.
Toute entreprise, quelle que soit sa taille, devrait disposer d'un plan de continuité des activités en cas de cyberattaque. Un plan adéquat devrait toujours inclure des sauvegardes de données et, si le budget le permet, toute une infrastructure de sauvegarde ; ces éléments peuvent s'avérer utiles, notamment en cas d'attaque par un logiciel de rançon. Toutefois, pour que les sauvegardes soient efficaces, elles doivent être mises à jour régulièrement et testées fréquemment pour s'assurer qu'elles fonctionnent correctement.
Tous vos systèmes d'exploitation et logiciels doivent être mis à jour et corrigés régulièrement. Si vous employez un professionnel ou disposez d'un service dédié à la cybersécurité, il gérera très probablement lui-même ces mises à jour ou configurera vos systèmes de manière à ce qu'ils soient automatiquement mis à jour avec la dernière version disponible. La même chose devrait être faite si vos systèmes sont gérés par un service tiers. L'importance de cette étape ne doit pas être sous-estimée, compte tenu des ravages causés par le tristement célèbre WannaCryptor, également connu sous le nom de WannaCry, qui s'est propagé via des machines non patchées.
Les attaques par déni de service distribué (DDoS) qui visent à paralyser la capacité d'une cible à fournir des services sont une autre menace à laquelle les entreprises peuvent être confrontées. Si une entreprise est victime d'une attaque par déni de service distribué, ses systèmes seront inondés de demandes, ce qui les submergera et les mettra hors ligne. Cela pourrait facilement se traduire par des centaines de milliers de dollars de pertes de revenus pour l'entreprise visée. Pour réduire les risques, les entreprises doivent faire appel à des services de réduction des attaques par déni de service et à un fournisseur d'accès Internet disposant d'une bande passante, d'équipements et de compétences suffisants pour gérer ces attaques et limiter l'afflux de trafic.
Pour conclure
Bien que les organisations financières restent une cible lucrative pour la plupart des cybercriminels, elles peuvent encore renforcer suffisamment leurs défenses pour réduire la possibilité d'être victimes de la plupart des menaces. Toutefois, pour mettre en place des mécanismes de défense suffisamment solides, les entreprises doivent adopter une approche globale et équilibrée, qui consiste à investir à la fois dans la formation des employés et dans des solutions technologiques et des plans de continuité des activités adéquats.