COVID, CYBER, CONFORMITÉ ET ESG : LE TOP 4 DES RISQUES DU SECTEUR FINANCIER
Selon un nouveau rapport d’Allianz Global Corporate & Specialty (AGCS), intitulé Financial Services Risk Trends: An Insurer’s Perspective, les établissements financiers et leurs administrateurs évoluent dans un monde en rapide mutation, marqué par des risques nouveaux et émergents, générés par leur exposition cyber, due à leur dépendance à la technologie, au durcissement de la réglementation (conformité) et à la crise de la Covid-19. Dans le même temps, de nombreuses parties prenantes examinent de plus en plus attentivement leur comportement et leur culture en matière de développement durable, de pratiques d’emploi, de diversité et d’inclusion, et de rémunération des dirigeants. Dans son rapport, AGCS met en évidence les principales tendances de risques pour les banques, sociétés de gestion, fonds de capital-investissement, assureurs et autres acteurs du secteur des services financiers. D’après le classement du Baromètre des risques 2021 d’Allianz, qui analyse les opinions de plus de 900 professionnels, les incidents cyber, la pandémie et l’interruption d’activité sont les trois principaux risques. Arrivent ensuite les évolutions législatives et réglementaires, concernant notamment les questions ESG et le changement climatique. Les évolutions macroéconomiques, telles que la hausse du risque de crédit et l’environnement de taux d’intérêt bas, se placent en cinquième position. Les conclusions du baromètre des risques sont confirmées par l’analyse d’AGCS, effectuée sur 7 654 sinistres survenus dans les services financiers au cours des cinq dernières années, et s’élevant à quelque 870 millions d’euros. Les incidents cyber, y compris d’origine criminelle, se classent en première position par le montant des pertes, suivis d’autres causes majeures de sinistres, comme la négligence et les actions dérivées, intentées par les actionnaires. L’impact de la Covid-19 Les établissements financiers redoutent les effets probables des mesures mises en place par les gouvernements et les banques centrales contre la pandémie : baisse des taux d’intérêt, augmentation de la dette publique, ou réduction progressive des aides et prêts aux entreprises. D’importants ajustements ou corrections des marchés (actions, obligations ou crédit) pourraient multiplier les litiges avec les investisseurs et les actionnaires. La hausse du nombre de défaillances d’entreprises pourrait aussi peser sur les bilans de certains établissements financiers. Les risques cyber : une exposition élevée malgré un important investissement dans la sécurité La Covid-19 offre également un terrain favorable aux délinquants qui profitent de la crise, avec le développement rapide et imprévu du télétravail, du commerce électronique et du numérique. Malgré un fort investissement en cyber-sécurité, les entreprises de services financiers sont une cible attrayante. Elles font ainsi l’objet de nombreuses cyber-menaces, telles que la compromission d’e-mails, le ransomware, le “jackpotting” – ou piratage de distributeurs automatiques – et l’attaque de chaînes d’approvisionnement. La récente affaire SolarWinds, qui a visé des banques et des organes de l’administration, a mis en évidence la vulnérabilité du secteur financier aux pannes de système, en raison de sa dépendance aux prestataires de services tiers. La plupart des établissements financiers utilisent aujourd’hui des logiciels cloud, ce qui accroît leur dépendance à un petit nombre de prestataires. Lorsque la situation tourne mal, ils sont exposés à des risques élevés d’interruption d’activité, mais aussi de responsabilité civile. Les prestataires de services tiers peuvent constituer le maillon faible de la cyber-sécurité. Une banque cliente a récemment subi une importante violation de données, parce qu’un prestataire tiers n’avait pas supprimé des informations personnelles avant de mettre un matériel au rebut. La façon dont les établissements financiers pilotent les risques liés au cloud s’avérera essentielle à l’avenir. Ils transfèrent déjà une grande part de leurs responsabilités en matière de cyber-sécurité à des tiers. Les risques de conformité liés à la cyber-sécurité, aux crypto-monnaies et au changement climatique Dans son rapport, AGCS fait état d’une évolution radicale dans la vision réglementaire de la confidentialité des données et de la cyber-sécurité, au cours de ces dernières années. Celle-ci a entraîné un foisonnement de règles auxquelles les banques doivent se conformer. Contrôles plus stricts, amendes et pénalités plus élevées, mise en cause de la responsabilité civile, actions en justice… les conséquences d’une violation de données peuvent être considérables. Après plusieurs pannes de système touchant des banques et des sociétés de services de paiement, les régulateurs s’intéressent de plus près à la continuité d’exploitation, à la résilience opérationnelle et à la gestion du risque de responsabilité civile. Les entreprises doivent non seulement veiller à leur cyber-sécurité, mais aussi mettre en œuvre une politique de conformité et de confidentialité. Les applications des nouvelles technologies – intelligence artificielle (IA), biométrie et monnaies virtuelles – pourraient créer d’autres risques et responsabilités, notamment en matière de conformité et de réglementation. En ce qui concerne l’IA, plusieurs enquêtes du régulateur américain ont déjà été ouvertes pour des préjugés implicites dans les algorithmes d’évaluation du risque de crédit. Un certain nombre d’actions en justice visent également la collecte et l’utilisation de données biométriques. Par ailleurs, l’acceptation grandissante des monnaies virtuelles et autres crypto-monnaies en tant que classe d’actifs présente des risques opérationnels et réglementaires pour les établissements financiers. L’éventualité de bulles d’actifs s’ajoute aux préoccupations concernant le blanchiment de capitaux, les attaques par ransomware, les risques de responsabilité civile, voire les questions ESG, telles que la consommation d’énergie liée au “minage” ou à la création de crypto-monnaies. Enfin, la croissance des investissements sur les marchés actions, encouragée par les réseaux sociaux, provoque des suspicions de vente abusive, qui constitue déjà l’une des principales causes de sinistres d’assurance. La montée en puissance des questions ESG Les banques et les marchés financiers apparaissent comme d’importants acteurs du changement pour lutter contre le réchauffement climatique et encourager le développement durable. Là encore, c’est la réglementation qui impose son rythme. Depuis 2018, plus de 170 dispositions sur les ESG ont été introduites dans le monde, dont une grande partie en Europe. Pour les prestataires de services financiers, la profusion des normes, l’hétérogénéité des approches entre pays et le manque de données disponibles soulèvent des difficultés majeures sur le plan opérationnel et de la conformité. « En ce qui concerne les critères ESG, les services financiers sont en avance sur de nombreux autres secteurs. Ces questions resteront toutefois un facteur important
LES 5 PRINCIPALES MENACES DES CYBERCRIMINELS VISANT LE SECTEUR BANCAIRE
Selon une étude VMware Carbon Black : le secteur bancaire a connu une recrudescence d’attaques informatiques des cybercriminels en 2020. Désormais sur un système ouvert, l’infrastructure est fragilisée et ce secteur doit faire face à des méthodes de plus en plus sophistiquées. Aujourd’hui, les institutions financières sont confrontées à une vague de logiciels malveillants développés sur mesure ainsi qu’à l’attaque sans fichier (fileless attack), désormais répandue. C’est ce que confirment les auteurs de la dernière enquête du bureau d’études spécialisé VMware Carbon Black menée auprès des responsables de la sécurité informatique des plus grandes institutions financières du monde, les cybercriminels ont profité des brèches favorisées par le recours accru au télétravail pour multiplier les attaques. « Les logiciels malveillants sont souvent utilisés dans des campagnes plus longues et plus complexes. L’objectif est d’exploiter les outils natifs du système d’exploitation pour rester invisible ou prendre pied sur un système (parfois un partenaire de la chaîne d’approvisionnement) pour se rendre sur une cible plus importante et plus lucrative », lit-on dans ce rapport. Voici quelques chiffres clés extraits de cette enquête : 38 % des institutions financières ont connu une augmentation d’attaques par Island Hopping, (piratage d’une société tierce en relation avec la cible). Cette technique, qui s’apparente à une réelle prise d’otage, détruit également la stratégie de marque des institutions financières en attaquant directement leurs clients. La moitié d’entre elles ont observé une augmentation des fraudes par virement électronique, que ce soit via des attaques du type « l’homme du milieu » ou « man in the middle attack » (MiTM) ou de phishing. La même proportion a subi des attaques qui ciblaient les stratégies de marché. Les cybercriminels ont appris que l’actif le plus précieux d’une banque est l’information non publique sur le marché, qui peut être utilisée pour faciliter les attaques numériques d’initiés. Le piratage de l’ordinateur portable d’un gestionnaire de portefeuille permet aux cybercriminels de devenir omniscients. Voici les cinq principales menaces selon VMware Carbon Black : 1. Emotet, un cheval de Troie qui se propage principalement par le biais d’e-mails de spam contenant des documents ou des liens malveillants activés par des macros documents ou des liens malveillants activés par des macros. 2. Dridex, encore un cheval de Troie bancaire qui agit comme un voleur d’identifiants bancaires, un système de diffusion de ransomware et un système de contrôle d’accès à distance. 3. Trickbot est une menace qui cible le secteur financier, fournissant des modules qui prennent en charge le vol d’identifiants bancaires et de crypto-monnaies, ainsi que des ransomwares. 4. Qbot est également connu sous le nom de Qakbot. C’est une menace polyvalente qui prend en charge un certain nombre de modules (de l’accès à distance à l’authentification). 5. Hancitor est une menace moins connue qui a fait son retour au début de l’année 2021. Elle agit principalement comme un mécanisme de livraison pour une pléthore d’autres menaces. Elle a souvent utilisé des documents DocuSign pour inciter la victime à activer les pièces jointes malveillantes. Dans ce contexte délétère, 82 % des institutions financières interrogées prévoient d’augmenter leur budget de 10 à 20 %.La majorité des RSSI s’efforcent de combler leurs lacunes en matière de modernisation contextuelle et applicative. Leurs priorités d’investissement sont les suivantes : Détection et réponse étendues (XDR) (24 %) Le renseignement sur les menaces (23 %) Sécurité des Workloads (21 %) Sécurité des conteneurs (18 %). Pour VMware Carbon Black, la cybersécurité est devenue un impératif de protection de la marque. La confiance dans la sécurité et la fiabilité du secteur financier en dépendent. Mais ce secteur laisse trop trainer de données sensibles… Source : Itsocial
COMMENT BIEN INVESTIR DANS LA CYBERSÉCURITÉ ?
For a long time, some large companies, not all of them, did not sufficiently consider the importance of cybersecurity strategies. They have learned the hard way that it is better to invest to protect themselves than to suffer attacks. Today, while large companies are mobilizing the necessary budgets to protect themselves against cyber-attacks, in France, SMEs and ETIs still invest little in cybersecurity . These companies are less aware of the risks that accompany a cyber-attack , and consider that the protection of IS is a lesser issue for them since their notoriety, less important than large companies whose setbacks were still recently mentioned in the press, will not make a difference. they are the target of hackers . Mechanically, they therefore often wait to be victims of ransomware to understand that cybersecurity also concerns them. However, the GDPR has changed the situation. From now on, companies are legally obliged to reveal any security breach that would affect them to the general public and to the CNIL. Protecting oneself has therefore become an image issue for both small and large companies. However, this investment, while unavoidable, represents a non-negligible cost and new budgets. To assume them, two profiles emerge: some release lines and the corresponding budgets immediately, others want a financing plan over 3 to 5 years. In any case, each company must be able to invest according to its portfolio. Following the many technological developments , has the way of investing evolved ? The budgetary envelopes dedicated to cybersecurity have not changed drastically, but the way of investing is no longer the same. Indeed, the value of hardware has decreased, and software is gradually being replaced by software as a service (Saas). From an accounting point of view, these two types of investment are different: we no longer buy equipment, with a fixed cost that can be scaled ; now we are moving to a software subscription model . This new way of consuming cybersecurity tools is part of a context of the advent of outsourced solutions : more and more companies want to adopt a payment corresponding to a service. This evolution towards a SaaS mode is explained in particular by a modification of the infrastructures: where it was enough to protect a server on a defined zone a few years ago, today, in the era of mobile phones, tablets, and connected objects (the car fleet for example) the challenge for companies is to protect their nomadic users (whether they are their employees or their customers). What are the business benefits of investing in cybersecurity? Investing in cybersecurity in SaaS mode has many advantages for companies, including a lower investment cost since there is no structure to finance. In addition, the purchasing departments can request monthly payments according to the subscription, to stagger the expenditure if necessary. The challenge is to regulate these new practices by supporting publishers and resellers who are facing a sudden change in business model. When a publisher is accustomed to selling licenses and receiving the fee the moment the sale is made, switching to a subscription can cause significant cash flow problems: in 14/15 months, the working capital requirement is equivalent with a turnover of approximately one year! It is therefore necessary to put in place specific contracts to overcome this and help them to preserve their cash flow during this change. Of course, the two models can coexist. The publisher alone has the key to this development: it is he who drives this trend on the market . Microsoft did it for its Office suite, Cegid switched to a licensing model… The BFR issue is the same for resellers, moving from one model to another. It is necessary to support both publishers and its network of integrators in this development by adapting to their needs and creating specific tailor-made contracts (payment plans, so-called « subscription » or » subscriptions »). Source: DAF-MAG
LES CYBERATTAQUES CAPITALISENT SUR LE CORONAVIRUS
Vol d’informations personnelles, d’argent, infection des ordinateurs avec des logiciels malveillants : les criminels profitent de la peur liée à l’épidémie pour mener des pratiques frauduleuses. Ils ont tout d’un message d’information sur le Covid-19. Mais il s’agit en réalité de virus informatiques. Via de faux e-mails des autorités de santé, de fausses notes internes en entreprise ou encore de fausses alertes de retard de livraison, les cybercriminels tentent dans le monde entier d’exploiter la peur liée à l’épidémie pour s’infiltrer sur les réseaux informatiques des entreprises et des particuliers. Tant et si bien qu’aujourd’hui plusieurs spécialistes indiquent avoir rarement vu de campagnes de spams prendre une telle ampleur… Fait rare, l’Organisation mondiale de la santé (OMS) est récemment sortie de son rôle de médecin en chef face à l’épidémie pour parler de cybersécurité, en mettant en garde contre les fraudeurs qui se font passer pour elle. « Le coronavirus est devenu le thème de prédilection des attaques par mail, dit carrément Loïc Guezo, le directeur stratégie pour l’Europe du Sud de l’éditeur de logiciels de sécurité Proofpoint. Certains messages sont envoyés à des centaines de milliers de personnes en même temps. » Des e-mails d’apparence légitime Les méthodes des cybercriminels sont bien connues des experts. « Les pirates suivent très bien l’actualité », souligne Michel Lanaspeze, le directeur marketing en Europe de Sophos, un autre éditeur de technologie du secteur. Ils cachent leurs liens vérolés et leurs pièces jointes malveillantes dans des e-mails d’apparence légitime qui captent l’attention du destinataire en évoquant les sujets qui l’intéressent le plus. « L’ingénierie sociale a la cote car la psyché humaine reste le maillon faible de tout système de sécurité… », écrivent les experts de Fortinet dans une note. En France, les experts de la plate-forme gouvernementale « cybermalveillance.gouv », dont le rôle consiste uniquement à recevoir des signalements de citoyens, n’ont pas constaté de hausse du nombre de signalements. « Mais nous nous y attendons », note Jean-Jacques Latour, responsable de l’expertise en cybersécurité. Une seule alerte jusqu’ici à propos d’un faux site de vente de masques de protection qui a débité ses clients sans honorer une seule commande. Des logiciels d’exfiltration de données Partout dans le monde, des arnaques sont signalées. Ici un e-mail envoyé par un transporteur et dont la pièce jointe était supposée indiquer le report d’une date de livraison en raison du ralentissement de l’activité dans les ports en Chine. Cliquer sur la pièce jointe déclenche l’installation d’un logiciel d’exfiltration de données. Là des messages qui invitent leurs destinataires à répondre à des campagnes de dons pour la recherche sur la maladie afin d’hameçonner les données personnelles des internautes. Ou encore un email avec en tête OMS dressant une liste de précautions à prendre pour éviter l’infection et lançant par la même occasion l’installation d’un logiciel aspirant automatiquement tous les mots de passe préenregistrés sur l’ordinateur… Un peu partout, des autorités réagissent. En Chine, la Commission chinoise de réglementation des banques et des assurances a signalé plusieurs arnaques qui ont touché des banques nationales. De son côté, l’OMS recommande de ne pas cliquer directement sur les liens présents dans ses e-mails mais de se rendre directement sur son site web, de ne jamais transmettre un mot de passe pour avoir accès à des informations publiques et de vérifier l’adresse e-mail de l’expéditeur. Source : Les Echos
ALLIANZ – SE PROTÉGER DES CYBERATTAQUES : UN ENJEU VITAL POUR LES ENTREPRISES
Les cyberattaques deviennent de plus en plus complexes avec des répercussions parfois catastrophiques : atteinte à l’image, paralysie des infrastructures, conséquences économiques et financières… Devant la multiplication des attaques, les entreprises prennent conscience de ce risque stratégique, mais certaines sont encore insuffisamment préparées. Une récente étude de PWC a montré que 4.165 cyberattaques ont été détectées en France pour un montant moyen de pertes financières estimé à 1,5 million d’euros. Les principaux cyber risques en entreprise La motivation des cyber attaquants n’est pas seulement financière. Hacker, cracker, militant, fraudeur externe ou interne, espion… Les profils des malfaiteurs sont multiples et les intentions variées. Déstabilisation Prise de contrôle du système d’information, divulgation de données, défiguration de sites : les attaques de déstabilisation visent à nuire à l’image de l’entreprise. Espionnage Conduit par des groupes structurés, l’espionnage a pour but de capter de l’information stratégique. Il est par principe discret et l’entreprise peut s’en rendre compte très tardivement. Sabotage Il vise à rendre inopérant tout ou partie d’un système d’information via une attaque informatique. Il provoque une désorganisation plus ou moins coûteuse à réparer. La cyber criminalité Le « rançongiciel » (ou ransomware) introduit sur l’ordinateur de la victime un logiciel malveillant qui chiffre ses données et demande une rançon en échange du mot de passe de déchiffrement. Surtout ne jamais payer ! Autre technique, le « hameçonnage » (ou phishing) consiste à demander via un courriel d’apparence légitime, les coordonnées bancaires ou les identifiants de connexion à des services financiers, afin de dérober de l’argent… 10 règles simples pour limiter les risques d’attaque informatique Choisir des mots de passe complexes : 12 caractères (composés de majuscules, minuscules, chiffres, caractères spéciaux) sans lien avec ses noms, date de naissance… et différent pour chaque accès Mettre à jour régulièrement logiciels et système d’exploitation : navigateur, antivirus, bureautique, pare-feu Effectuer des sauvegardes fréquentes : quotidiennes de préférence ou hebdomadaires, sur des supports ou systèmes distincts de votre système d’information Se méfier du WI-FI : sécuriser l’accès au WI-FI de l’entreprise et éviter de se connecter au WI-FI public à l’extérieur, non sécurisé Séparer compte « utilisateur » et compte « administrateur » : n’ouvrir que des comptes utilisateurs aux salariés Ne pas mélanger personnel et professionnel : ne pas utiliser de clés USB ou disques durs externes personnels sur un terminal professionnel et inversement Ne jamais ouvrir les mails douteux : ne pas cliquer sur une pièce jointe, liens ou messages d’un expéditeur inconnu sans vérifier sa provenance Naviguer sur des sites officiels : privilégier la saisie de l’adresse du site dans la barre d’adresse du navigateur Rester prudent lors des déplacements : se limiter aux données nécessaires à la mission, surtout à l’étranger Être aussi prudent avec les smartphones, tablettes, objets connectés moins bien sécurisés que les ordinateurs Votre entreprise est victime d’une attaque, comment réagir ? Déconnecter les machines compromises du réseau sans les éteindre Alerter immédiatement le responsable sécurité SI ou le prestataire informatique disposant du label CERT-FR (centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) Sauvegarder les fichiers importants sur des supports de données isolés Porter plainte auprès d’un service de Police ou de Gendarmerie Réinstaller entièrement le système d’exploitation et appliquer tous les correctifs de sécurité avant de le reconnecter Source : https://www.allianz.fr/assurances-professionnels-entreprises/allianz-et-moi/conseils-pratiques/cyber-risques/ Pour en savoir plus, contactez nos services
COMMENT LES CYBERATTAQUES IMPACTENT L’ACTIVITÉ DES ENTREPRISES
Phishing, malwares, « attaque au président »… 8 entreprises sur 10 ont subi des cyberattaques ces douze derniers mois, selon un sondage OpinionWay pour le Cesin. Le Cesin (Club des experts de la sécurité de l’information et du numérique) publie la 4e édition de son baromètre de la cybersécurité des entreprises en France. 174 membres, dont 84% de RSSI de grandes sociétés et administrations, ont été interrogés. Selon le sondage OpinionWay pour le Cesin, 80% des organisations ont été la cible d’une ou plusieurs cyberattaques au cours des douze derniers mois. Malgré ce taux élevé, le nombre d’attaques est resté stable par rapport à l’an dernier pour une majorité (53%). En revanche, la proportion d’entreprises déclarant un impact négatif sur leur activité a augmenté de 10 points à 59%. Le ralentissement de la production (pour 26% des organisations visées) et l’indisponibilité temporaire d’un site web (23%) sont les effets des cyberattaques sur « le business » les plus souvent cités. Les retards de livraison (12%), la perte de chiffre d’affaires (11%) et l’arrêt de la prodution « pendant une période significative » (9%) arrivent ensuite. HARPONNAGE ET INGÉNIERIE SOCIALE Les entreprises visées ont été la cible de cinq types différents d’attaques en moyenne en douze mois. Le phishing (hameçonnage) ou spear phishing (harponnage) est le type d’attaque le plus souvent constaté (73%). Les cyber-escrocs utilisent donc encore largement l’email ou tout site web contrefait pour obtenir et détourner des données personnelles à l’insu d’individus et de corporations. Les escrocs peuvent également cibler spécifiquement des personnes dans l’entreprise et se faire passer pour un dirigeant afin d’obtenir un virement bancaire. Cette « arnaque au président » est citée par 50% du panel. Elle devance ainsi les attaques par logiciels malveillants (malwares) et rançongiciels (ransomwares) (44% des reponses respectivement). Suivent les techniques d’ingénierie sociale utilisées pour tromper le chaland (40%). CLOUD, IA, IOT Le partage accidentel ou intentionnel de données sensibles n’est pas le seul gros risque à gérer pour les RSSI. LeShadow IT l’est aussi. Ainsi, les professionnels de la sécurité des systèmes d’information s’inquiètent également de la diffusion de services cloud hors contrôle de l’IT et de l’utilisation d’applications non approuvées (64%). En outre, 80% des RSSI estiment que la sécurisation des données stockées dans le cloud requiert des solutions spécifiques en plus des outils fournis par des prestataires. Ils s’intéressent aussi aux solutions de protection ou de détection basées sur l’intelligence artificielle (IA). 56% déclarent que de telles solutions sont déjà déployées et en production. 33% envisagent de le faire. Toutefois, lorsqu’il est question de décision et de remédiation, 55% des répondants estiment que l’IA ne doit pas décider à la place de l’humain. Les RSSI qui redoutent de nouvelles failles liées à l’Internet des objets (IoT) en entreprise, veulent donc garder le contrôle. 5% DU BUDGET IT Qu’en est-il des budgets alloués pour gérer le risque ? Dans 59% des entreprises interrogées, la sécurité représente moins de 5% du budget IT. Toutefois, près de 6 organisations sur 10 prévoient d’augmenter les budgets alloués à la protection des cyber risques dans les mois à venir. Par ailleurs, 84% des entreprises souhaitent acquérir de nouvelles solutions techniques (84%) dans ce domaine. Enfin, une entreprise sur deux envisage d’augmenter les effectifs dédiés. Mais la pénurie de profils en sécurité freine les recrutements pour 91% des répondants. Source : https://www.cesin.fr/article-cybersecurite-comment-les-cyberattaques-impactent-lactivite-des-entreprises-siliconfr.html Pour en savoir plus, contactez nos services
LE TOP 10 DES MÉTHODES DE HACKING
Top 10 des méthodes de hacking les plus utilisées (IT Social) 1. Ingénierie sociale (phishing) 2. Compromission de comptes (sur la base de mots de passe faibles) 3. Attaques web 4. Attaques de clients de l’entreprise ciblée 5. Exploits avec des mises à jour de serveurs connus 6. Terminaux personnels non sécurisés 7. Intrusion physique 8. Shadow IT (ex : utilisation personnelle de services Cloud à des fins professionnelles) 9. Attaque d’une infrastructure outsourcée en ciblant un fournisseur de services externe 10. Attaque de données hébergées sur le Cloud Source : IT Social – Le Top 10 des méthodes de hacking