Cybersécurité : le G7 fixe des lignes directrices pour la finance

Le groupe des sept plus grandes puissances économiques (G7) vient d’annoncer la définition de règles de sécurité informatique de base pour protéger le secteur des services financiers contre les attaques. Et cela alors que celui-ci apparaît de plus en plus directement visé par les cybercriminels.

Cela aurait pu servir de signal d’alarme : à l’été 2014, JPMorgan Chase a été la cible d’une vaste opération de piratage. Neuf autres banques américaines auraient également été visées par des pirates soupçonnés d’être plus ou moins liés au gouvernement russe. Mais non. Il aura apparemment fallu deux ans et plusieurs détournements conduits via des systèmes connectés au réseau Swift pour que le réveil survienne, dans la douleur pour certains.

A commencer par le RSSI de Swift. Récemment, il a ainsi déclaré : « nous avons été surpris par l’écart entre les compétences des attaquants et les pratiques de cybersécurité dans l’industrie bancaire ».

D’autres ont dû l’être moins. A commencer par l’Autorité Bancaire Européenne dont le président a avancé, au printemps, l’idée d’un stress-test visant à éprouver la cybersécurité des banques de l’Union. Les banques britanniques avaient déjà fait l’objet d’un tel exercice. En France, l’ACPR s’est ouvertement inquiétée de la maturité réelle dans la banque et l’assurance. Et pour la patronne du gendarme des marchés boursiers américains, les menaces informatiques constituent le principal risque sur le système financier mondial.  

Les attaques visant les clients du réseau et d’autres institutions financières ont ainsi finalement alarmé les membres du G7 au point de déclencher une réaction collective. Leurs recommandations doivent être rendues publiques par les autorités locales de chaque pays, indique Reuters. Mais il ne devrait pas encore s’agir d’obligations réglementaires, du moins pas partout ni pour toutes les entreprises.

Le Trésor américain évoque ainsi un effort d’encouragement des régulateurs et des organismes financiers à appréhender la sécurité informatique dans une perspective de gestion des risques. De quoi peut-être laisser à d’autres le soin de jouer la carte de l’autorité, à commencer par Swift. Ce dernier vient d’annoncer des règles de sécurité visant à réduire les risques de détournement frauduleux de son système de messagerie interbancaire.

Les banques devront évaluer elles-mêmes leur conformité à ces règles, mais Swift prévoit de procéder lui-même à des audits, de signaler aux régulateurs concernés les banques non conformes, ou encore de « sélectionner aléatoirement les clients qui devront fournir des assurances complémentaires pour par leurs auditeurs internes ou externes ».

En France, les entreprises du secteur des services financiers classées OIV sont concernées par la législation en vigueur sur les systèmes d’informations d’importance vitale. L’arrêté sectoriel les concernant n’a toutefois pas encore été publié.

Cette annonce du G7 semble en tout cas tomber à point nommé. Symantec vient en effet d’identifier Odinaff, un nouveau cheval de Troie utilisé pour conduire des attaques sur des institutions financières par un groupe lié à Carbanak. Selon l’éditeur, ce logiciel malveillant a notamment été utilisé contre des utilisateurs du réseau Swift.

Avec nos confrères de ComputerWeekly.