Cyber-menaces: les entreprises financières peuvent-elles manœuvrer suffisamment vite?

Le crime organisé cherche à monétiser le vol des identifiants de compte et à en prendre le contrôle, en exploitant parfois des infrastructures de paiement ou de messagerie. Dans une récente affaire très médiatisée, des pirates informatiques ont pénétré dans les systèmes de SWIFT et ont volé 81 millions de dollars sur le compte de la banque centrale du Bangladesh à la Banque de réserve fédérale de New York.

Des rivaux stratégiques tels que la Russie, la Chine, la Corée du Nord, l’Iran et d’autres cherchent à obtenir des données spécifiques, dupliquent leurs modèles commerciaux et perturbent le fonctionnement des marchés. Les attaques par déni de service distribué contre le secteur financier américain en sont un exemple typique. Les attaques auraient été l'œuvre d'un groupe parrainé par un État-nation. En mars 2016, le ministère de la Justice américain a inculpé sept Iraniens qui, selon un communiqué du bureau du procureur américain, «étaient employés par deux sociétés informatiques iraniennes, ITSecTeam (« ITSEC ») et Mersad Company (« MERSAD »), ont été parrainés par le corps des gardes de la révolution islamique d’Iran ».

«Les sociétés de placement font face à un certain nombre de défis différents, souvent différents des banques et des processeurs de paiement», a déclaré John Carlson, chef du personnel du Centre de partage et d'analyse de l'information des services financiers (FS-ISAC). "Les adversaires s'attaquent à différents éléments du secteur pour différentes raisons."

L'argent dépensé pour protéger le secteur des services financiers est en nette augmentation. En 2020, les organisations de tous les secteurs devraient dépenser 101,6 milliards de dollars en logiciels, services et matériel de cybersécurité, selon International Data Corporation (IDC). Cela représente une augmentation de 27% par rapport aux 73,7 milliards de dollars que les organisations devaient dépenser en cybersécurité en 2016. Selon IDC, le secteur bancaire devrait dépenser plus que tout autre en cybersécurité en 2016; À lui seul, JP Morgan a annoncé son intention, en août 2015, de doubler son budget pour le porter à 500 millions de dollars.

«L'ensemble de l'organisation informatique subit une pression énorme pour protéger ses actifs», déclare Aubrey Chernick, PDG du Centre national de coordination de crise et de continuité (NC4), basé à El Segundo, en Californie. "Aucune banque ne veut nuire à sa réputation en publiant un article sur ses cyber-divulgations, et pourtant, il est presque impossible de ne pas avoir ce genre de choses."

Plusieurs cadres de cybersécurité pour le secteur des services financiers contiennent des recommandations générales sur ce que les entreprises devraient faire pour analyser les menaces et y répondre – si nombreuses que cela conduit à la fatigue du cadre. Pour n'en nommer que quelques-uns: l'Institut national des normes et de la technologie dispose du cadre NIST; le Conseil d'examen des institutions financières fédérales fournit l'outil d'évaluation de la cybersécurité sur son site Web; et la World Banque Centraleeration of Exchanges est dotée du groupe de travail Global Exchange Cyber ​​Security.

En octobre 2016, les pays du G7 ont publié leurs huit éléments fondamentaux de la cybersécurité pour le secteur financier. Le même mois, la Réserve fédérale américaine, la Banque Centraleeral Deposit Insurance Corporation et le Bureau du contrôleur de la monnaie ont annoncé leurs propres règles communes. Ces dernières s’appliquent à toutes les sociétés financières qui acceptent des dépôts et ont au moins 50 milliards de dollars d’actifs, y compris des banques régionales, des entreprises de cartes de crédit, de grands assureurs et des chambres de compensation.

À cette fin, les sociétés financières construisent des forteresses informatiques pour se protéger contre les menaces informatiques. De nombreux fournisseurs fournissent du matériel, des pare-feu, des progiciels, des services de conseil et d’autres services professionnels dans ce qui est devenu une industrie de plusieurs milliards de dollars.

Parce que les attaques se présentent sous différentes formes, les entreprises ont généralement une politique de sécurité en place, mise en œuvre par une approche de défense par couches. Cette stratégie implique des tactiques et des procédures de sécurité telles que les pratiques de sécurité par mot de passe, les contrôles de sécurité techniques, l'analyse en temps réel des informations sur les menaces et la formation des employés à la cyber-sensibilisation. Pourtant, il est important de regarder au-delà de ce qui se passe dans une entreprise à ce qui se passe entre entreprises.

«Le partage d'informations sur la cybermenace avec d'autres entreprises peut être problématique», déclare Chernick. "Ils ne veulent pas le partager dans de nombreux cas pour des raisons juridiques, et ils ne veulent certainement pas que la concurrence découvre qu’ils ont eu une attaque."

Pour résoudre les problèmes juridiques et de confidentialité, le gouvernement américain a adopté la loi sur la cybersécurité des informations et le département de la Sécurité intérieure (DHS) a mis au point son initiative de partage automatisé des indicateurs. En outre, les centres de partage et d'analyse d'informations (ISAC) permettent aux organisations de partager des informations sensibles de manière anonyme par le biais d'un intermédiaire de confiance. FS-ISAC, l'entité du secteur des services financiers, compte des milliers de membres, y compris des banques et des gestionnaires d'actifs de toutes tailles.

FS-ISAC facilite le partage d'informations sur les vulnérabilités, les incidences, les menaces et les campagnes de plusieurs types d'adversaires, notamment le crime organisé, les États-nations et les hacktivistes. Il organise également des exercices qui permettent d'examiner plus en profondeur les interdépendances entre les institutions et les autres secteurs, notamment les secteurs de la vente au détail, des services juridiques, de l'électricité et des communications. Ces exercices permettent une coordination plus efficace avec les forces de l'ordre – en particulier le FBI et les services secrets américains – pour faire face aux attaques émanant d'États-nations.

En tant que membre du groupe de risque de l'industrie des valeurs mobilières, l'organisation dispose d'un conseil de courtiers, d'un conseil de gestion d'actifs et d'un conseil d'investisseurs alternatifs pour les fonds de couverture, les sociétés de capital-risque et les sociétés de capital-investissement. Ces conseils sont des communautés de praticiens de confiance qui ont leurs propres conversations sur des menaces, problèmes et problèmes de conformité réglementaires spécifiques.

«Ces activités améliorent la résilience des membres du FS-ISAC et leur capacité à comprendre l’évolution de l’environnement, ce qui détermine le type de contrôles qu’ils doivent mettre en place», déclare Carlson. «Nous pouvons collaborer en tant que communauté et déterminer la meilleure façon de réagir aux différents événements au fur et à mesure qu'ils se déroulent ou qu'ils gagnent en importance."

Le secteur des services financiers a réalisé 13 exercices de simulation de cybersécurité auprès de chefs de file des secteurs public et privé en 2015. L'un des exercices a montré que, dans certains scénarios, des problèmes pouvaient être soulevés quant à l'intégrité des données en raison d'une attaque de malware destructrice contre une institution financière. ou fournisseur de services. Les dirigeants du secteur privé ont décidé qu'il fallait faire davantage pour maintenir la confiance des investisseurs et des déposants face aux cyber-risques.

En réponse, l'ensemble du secteur a collaboré à un ensemble de normes pour stocker, chiffrer et formater les informations sur le courtage et le solde des comptes de dépôt afin que d'autres institutions puissent y accéder en cas de scénario extrême. Cette collaboration est connue sous le nom d’initiative Sheltered Harbour. FS-ISAC est la personne morale qui le gère et sa participation est ouverte à toutes les institutions financières.

Le Centre d'analyse systémique et de résilience financière est une autre initiative importante. Il est conçu pour les organisations financières que le gouvernement américain a désignées comme faisant partie de l'infrastructure critique dans un décret de 2013 de l'administration Obama. En 2016, les PDG de ces organisations ont décidé de créer une entité relevant de FS-ISAC, qui met davantage l'accent sur le partage d'informations, ainsi que sur une analyse et un engagement plus approfondis avec le gouvernement, en particulier les organismes chargés de l'application de la loi.

Récemment, les attaques par ransomware dans les services financiers et d’autres secteurs ont augmenté. Dans une telle attaque, un adversaire accède aux systèmes, crypte les données critiques, puis demande une rançon (souvent en Bitcoin) pour décrypter et restituer les données. En réponse, FS-ISAC s'est associé à d'autres ISAC, au FBI, au Service secret et à divers fournisseurs de technologies pour organiser 16 ateliers «Ransomware 101» aux États-Unis. Plus de 3 000 hommes et femmes d'affaires ont assisté à ces événements dans le but de sensibiliser davantage aux menaces liées aux ransomwares et d'informer les organisations sur les moyens de les prévenir et de les combattre.

La FS-ISAC organise également des conférences téléphoniques et publie des documents sur les meilleures pratiques rédigés par des experts en cybersécurité. Les membres partagent des informations de différentes manières, notamment via un portail membre sécurisé, via des listes de distribution par courrier électronique et via le partage automatisé d'indicateurs entre ordinateurs. Tous les partages sont régis par les règles de fonctionnement et les accords de partage de la FS-ISAC et filtrés au moyen de cercles de confiance et du protocole Traffic Light (méthode d’étiquetage à code de couleur pour la sensibilité des informations). Une grande partie du partage se fait de manière anonyme.

Bien entendu, la saisie manuelle d'informations dans un portail ne sera jamais suffisante pour faire face à toutes les menaces. En 2014, FS-ISAC et Depository Trust & Clearing Corporation se sont associés pour créer Soltra (une société désormais détenue par NC4), qui permet de partager les informations sur les cyber-menaces dans un format structuré et automatisé.

Essentiellement, FS-ISAC rassemble les informations sur les menaces et NC4 fournit un mécanisme pour le partage anonyme d'informations, ce qui est utile pour les autres entreprises et prend en charge les différents cadres de cybersécurité. Les entreprises peuvent recevoir plus de 1 000 alertes par jour. Certaines sont fournies sous forme de documentation descriptive fournissant des informations sur la menace, tandis que d'autres sont plus structurées.

Centripetal Networks est une autre société qui collabore avec FS-ISAC pour opérationnaliser l’intelligence des menaces pour le secteur financier et pour former le personnel. Au cours de son premier mandat, le président Obama a demandé un interrupteur marche / arrêt pour Internet pouvant être déployé au niveau des FAI pour protéger les États-Unis contre une attaque étrangère. La technologie de Centripetal Networks a été développée pour résoudre ce problème grâce à un projet DHS, similaire aux types de projets réalisés par la Defense Advanced Research Projects Agency. La solution n'a pas été déployée pour des raisons de confidentialité. Elle a donc été reconditionnée et vendue aux entreprises.

«Au niveau des FAI, l'appareil devait être extrêmement rapide», explique Parnell. "Nous ne voulions pas introduire de latence dans le réseau, mais nous voulions être en mesure de supprimer d’énormes bandes d’Internet s’il y avait une attaque contre les États-Unis."

La solution vérifie chaque paquet de données à haute vitesse et recherche tout type de trafic correspondant aux informations sur les cyber-menaces. La propriété intellectuelle comprend deux parties: l’algorithme à grande vitesse et un appareil spécialement conçu à cet effet. Centripetal Networks conçoit et fabrique la plupart des composants utilisés dans la construction de l’appareil (y compris la carte mère, l’architecture et les blocs d’alimentation) aux États-Unis.

«Nous ne pouvions pas simplement acheter un appareil en Chine et utiliser cet algorithme haute vitesse sans nous rendre compte que cela pourrait avoir un impact sur la chaîne logistique», déclare Parnell. «Le secteur financier aime la boîte parce que nous avons le plein contrôle de la fabrication du matériel, ainsi que de l’algorithme haute vitesse.»

Les boîtes rapides se trouvent aux points d’accès des entreprises. Ils recherchent des types de trafic spécifiques, qui sont soit bloqués, soit journalisés, puis examinés ultérieurement par un analyste. Les boîtiers sont déployés dans les entreprises de premier plan et les plus petites. Bien que la force de Centripetal Networks se soit révélée être compatible avec les 50 plus grandes sociétés financières, une preuve de concept réussie a récemment été réalisée avec une petite banque pour garantir que la solution fonctionne à plus petite échelle.

Centripetal Networks a également récemment réalisé une évaluation de la menace dans un grand fonds de couverture. Il a installé une appliance physique dans l’entreprise afin de contrôler le trafic transitant par le réseau. Ensuite, il a interprété les données et fourni des rapports hebdomadaires comprenant des informations contextuelles et des suggestions pour remédier aux infections.

Selon une étude réalisée en 2015 par Frost & Sullivan, le déficit mondial de professionnels qualifiés en cybersécurité atteindra 1,5 million dans cinq ans. Un ensemble de compétences hybrides étant nécessaire pour ce rôle, de nombreux types d'experts participent aux efforts de prise de décision, de résolution de problème et de réaction. Les avocats déterminent la quantité d'informations pouvant et devant être partagée avec d'autres, y compris les agences gouvernementales. Le personnel des communications d'entreprise gère le risque de réputation et répond aux questions des clients concernant l'efficacité de la réaction aux cyber-événements.

Les professionnels de la finance peuvent également appliquer leurs connaissances et leurs compétences, en particulier s’ils ont une formation en gestion informatique. Ils peuvent contribuer à combler le fossé de compréhension entre le conseil d'administration et l'organisation opérationnelle, ainsi qu'entre l'organisation informatique et l'entreprise. Lorsqu'une entreprise financière est piratée, il peut s'avérer nécessaire de mettre un serveur hors ligne, ce qui pourrait perturber l'activité. Ce type de décision peut devoir être pris par une équipe interdisciplinaire.

«Il n’existe pas de réseau parfaitement sécurisé», déclare Parnell. «Vous devez être en mesure de déterminer le niveau de risque acceptable que votre entreprise autorisera, en équilibrant le coût de la sécurité et l'impact que votre organisation est disposée à accepter.»

Cet article a été initialement publié dans le numéro de mars 2017 de.

Si vous avez aimé cet article, n'oubliez pas de vous abonner à la Investisseur entreprenant.

Tous les messages sont l'opinion de l'auteur. En tant que tels, ils ne doivent pas être interprétés comme un conseil en investissement, et les opinions exprimées ne reflètent pas nécessairement les vues du CFA Institute ou de l’employeur de l’auteur.

Crédit d'image: © Getty Images / Bannosuke