Nomad_Soul - Fotolia
Les banques, cibles de 85 attaques sérieuses par an en moyenne
Les RSSI des banques apparaissent confiants. Trop peut-être, car une nouvelle étude montre que près d’un tiers des attaques les visant réussissent.
Près de 80 % des responsables de la sécurité informatique des banques se déclarent confiants dans leur stratégie globale de cybersécurité, selon un sondage réalisé par Accenture auprès de 275 d’entre eux dans le monde entier. Et cette confiance trouve son origine dans leurs capacités à mesurer l’impact d’une brèche (51 %), à en identifier la cause (51 %), à gérer le risque financier induit par un événement de cybersécurité (50 %), et à surveiller les brèches (48 %). Mais surtout, les sondés estiment très majoritairement que leurs stratégies produisent les effets recherchés pour protéger les données de leurs clients (93 %), les informations de l’entreprise (89 %), pour prévenir les interruptions de service (78 %), ou encore protéger la réputation de l’entreprise (76 %). Et pour ne rien gâcher, plus des trois quarts des sondés pensent avoir bien réussi à faire intégrer la sécurité informatique dans la culture de l’entreprise. De quoi faire de nombreux jaloux parmi les RSSI.
Mais voilà, cette confiance est-elle véritablement justifiée ? Pas sûr. En moyenne, ce sont 85 attaques ciblées qui visent les banques chaque année. Et 33 % d’entre elles sont couronnées de succès. Pire : 59 % des sondés reconnaissent qu’il faut « des mois » pour découvrir une brèche. Et 14 % vont jusqu’à estimer à un an ou plus le temps nécessaire pour cela. Qui plus est, les équipes internes ne seraient à l’origine de la découverte que de 64 % des brèches. Selon 99 % des sondés, ce sont des employés qui ont découvert les brèches passées inaperçues auprès des équipes de sécurité. Pour Accenture, « clairement, les entreprises de services financiers devraient se poser quelques questions en profondeur au sujet de leurs approches de cybersécurité ».
Et cela commence par l’alignement des stratégies de sécurité sur les risques. Car 48 % des sondés estiment que la menace interne est celle qui est susceptible d’avoir l’impact le plus important. Et ils sont 52 % à indiquer ne pas avoir pleinement confiance dans leur capacité à la détecter. Pour autant, 62 % des sondés indiquent concentrer leurs efforts sur le renforcement de la sécurité périmétrique, contre les attaquants externes.
Accenture n’est pas le premier à s’interroger sur la posture de sécurité réelle des banques. A l’automne dernier, Swift a prévenu ses clients que la menace visant leurs systèmes connectés à son réseau était loin d’être passée. Mais avant, l’autorité de contrôle prudentiel et de résolution (ACPR), l’organe français de supervision de la banque et de l’assurance, rattaché à la Banque de France, alertait à la suite d’un sondage : « en recoupant les réponses et en comparant avec les constats des contrôles sur place, il apparaît qu’un grand nombre d’entreprises semblent surévaluer leur niveau de maturité ». Un peu plus tôt, Andrea Enria, président de l’autorité bancaire européenne, avait évoqué l’idée d’un stress-test de la sécurité informatique des banques du Vieux Continent.