Recrudescence des cyberattaques dans la finance : quelles tactiques choisir pour une défense moderne ?

D’après le Panorama des menaces informatiques publiées par l’ANSSI en mars 2022, le nombre de cyberattaques a connu une hausse significative de 37% l’année dernière. De puissants groupes de cybercriminels, véritables multinationales, offrent leurs services au crime organisé mondial pour mener ses activités illégales, d’extorsion ou de blanchiment d’argent. Ces cyber cartels sont plus structurés que jamais, et jouissent de davantage de protection et de ressources provenant d’États-nations qui les considèrent comme des atouts nationaux.

Compte tenu des menaces qui pèsent désormais sur les établissements financiers, ces derniers doivent se préparer à l’évolution des tactiques des assaillants, qui ne se contentent plus d’exploiter les systèmes et données mais cherchent désormais à détruire.

Les tensions géopolitiques bouleversent le monde virtuel

Les cybercriminels ciblant le secteur financier mènent souvent leurs attaques dans le but de détruire des preuves et ainsi contrer les opérations de réponse aux incidents. Cette année, 63% des établissements financiers ont d’ailleurs enregistré une hausse de ce type d’activité — une augmentation de 17% par rapport à l’année dernière. Ces attaques sont lancées pour détruire, mettre hors d’état ou détériorer les systèmes des victimes en chiffrant leurs fichiers, en supprimant leurs données, en détruisant leur stockage, en coupant leurs connexions ou en exécutant du code malveillant.  A cela s’ajoute les tensions géopolitiques : récemment, nombre d’établissements financiers ont reconnu que la Russie représentait une inquiétude grandissante. Certains logiciels malveillants destructeurs, à l’image de HermeticWiper, ont d’ailleurs été lancé suite à l’invasion de l’Ukraine par la Russie.

L’année du RAT

Les établissements financiers n’ont pas toujours été en mesure de prévenir cette récente recrudescence des ransomwares. En effet, 74% des responsables de la sécurité ont subi une ou plusieurs attaques de ce type au cours des douze derniers mois, et 63% de ces victimes ont payé la rançon.

L’une des raisons pour lesquelles les organisations criminelles traditionnelles sont devenues de loyaux clients du dark web est l’existence d’un écosystème soutenu financièrement de kits de ransomwares prêts à l’emploi. Des organisations cybercriminelles, telles que le spécialiste des ransomwares Conti, permettent à leurs associés de lancer des attaques sur des industries aussi critiques que celle du secteur financier avec une très grande facilité.

Le Panorama des menaces informatiques de l’ANSSI alerte sur la prolifération des ransomwares. Ces derniers, alliés à des logiciels d’accès à distance (RAT) aident les assaillants à prendre le contrôle des systèmes puisque ces outils permettent aux cybercriminels de persister au sein de l’environnement et de mettre en place un serveur intermédiaire pour cibler d’autres systèmes. Après avoir obtenu cet accès limité, les assaillants s’efforcent généralement de le monétiser en utilisant les données de leur victime dans le cadre de schémas d’extorsion (double ou triple), ou en s’accaparant les ressources de services cloud à l’aide d’attaques de cryptojacking.

Manipulation des marchés financiers

Les organisations cybercriminelles ont pris conscience que l’atout le plus précieux pour tout établissement financier réside en des informations non publiques relatives au marché. Deux tiers (66%) des dirigeants interrogés ont été victimes d’attaques ciblant leurs stratégies de marché, et un quart (25%) affirment que leurs données commerciales sont la principale cible des cyberattaques menées à l’encontre de leur société.

Les cybercriminels seraient donc plus à la recherche d’un espionnage économique que d’un simple braquage. Leur objectif est de cibler des informations ou stratégies d’entreprise susceptibles d’affecter le cours de l’action d’une société devenue publique. Ces informations peuvent alors être utilisées pour pratiquer des délits d’initié numériques et prendre de l’avance sur le reste du marché.

La meilleure attaque, c’est la défense

La sécurité est une des principales préoccupations des dirigeants du secteur financier. La majorité des établissements ont prévu d’augmenter leurs budgets dédiés de 20-30% cette année, et considèrent le fait d’investir dans des capacités étendues de détection et de réponse aux incidents (XDR) comme une de leurs priorités.

Tout responsable de la sécurité sait que la meilleure attaque consiste à mettre en place une défense solide. La chasse aux menaces modernes devrait être pratiquée une fois par semaine afin d’aider les équipes à détecter des comportements anormaux, les assaillants étant en effet susceptibles d’occuper longtemps le système d’une organisation de façon clandestine. Seuls 51% des établissements financiers procèdent à de telles opérations sur un rythme hebdomadaire.

Face à des dangers en constante évolution, la cybersécurité est un paramètre essentiel pour protéger l’intégrité des marques. Les établissements financiers ne pourront inspirer la confiance qu’en évitant, maîtrisant et répondant efficacement aux cybermenaces modernes. Puisque les instances dirigeantes introduisent de nouvelles réglementations et imposent de lourdes amendes, il est temps pour les acteurs du secteur de prendre une longueur d’avance sur les organisations cybercriminelles.

Aller à la source
Author: