La cible ne change pas, mais les méthodes si. Selon le dernier rapport Modern Bank Heists de VMware, les institutions financières sont depuis quelques années confrontées à des cyber-menaces de plus en plus complexes et les gangs de cybercriminels évoluent en permanence. En effet, si, à l’origine, ces groupes s’étaient surtout spécialisés dans les fraudes aux virements bancaires, ils ciblent désormais des stratégies de marché, prennent le contrôle de comptes de courtage et s'introduisent dans les banques, indique ce rapport pour lequel VMware a interrogé 130 RSSI et responsables de la sécurité du secteur dans différentes régions, notamment en Amérique du Nord, en Europe, en Asie-Pacifique, en Amérique centrale et du Sud et en Afrique.

Ses conclusions viennent conforter les observations d'autres experts en sécurité. « Les services de renseignement, dans le cadre de leur mission d'enquête visant à protéger les systèmes de paiement et les infrastructures financières de la nation, ont constaté une évolution et une augmentation des fraudes cyber complexes », a expliqué Jeremy Sheridan, ancien directeur adjoint des services secrets américains. « Le défaut persistant de la sécurité des systèmes connectés à Internet offre des opportunités et une méthodologie », a-t-il ajouté.

Le ransomware Conti, parmi les plus répandus

Les ransomwares continuent de préoccuper les entreprises. Et pour cause : 74 % des responsables de la sécurité interrogés ont déclaré avoir subi une ou plusieurs attaques au cours de l'année écoulée, et 63 % ont affirmé avoir fini par payer une rançon. Le ransomware Conti s'est révélé le plus répandu. 63 % des personnes interrogées reconnaissent avoir subi un plus grand nombre « d’attaques destructrices » au cours desquelles les cybercriminels détruisent les données et les preuves de leur intrusion, soit en augmentation de 17 % par rapport à l'année dernière. Ces attaques impliquent des variantes de logiciels malveillants qui détruisent, perturbent ou dégradent les systèmes des victimes en procédant au chiffrement des fichiers, à la suppression des données, à la destruction des disques durs, à l’interruption des connexions ou à l'exécution de code malveillant.

Même si 71 % des personnes ayant participé à l'enquête ont constaté une augmentation de la fraude aux virements bancaires au sein de leur entreprise, nombre d'entre elles ont déclaré que les cybercriminels cherchaient désormais à accéder à des informations non publiques sur les marchés. Deux institutions financières sur trois (66 %) ont subi des attaques visant des données liées aux stratégies de marché. « Les stratégies de marché les plus ciblées sont les positions de portefeuille à long terme, les informations confidentielles sur les fusions et acquisitions et les déclarations d’introduction en bourse », a expliqué Tom Kellermann, responsable de la stratégie de cybersécurité chez VMware. « La manipulation moderne des marchés s'aligne sur l'espionnage économique et peut être utilisée pour numériser les délits d'initiés », a-t-il ajouté.

Des attaques sur l’horodatage et via des partenaires MSP en hausse

De plus, les responsables de la sécurité de 63 % des institutions financières interrogées ont déclaré avoir connu une augmentation des prises de contrôle de comptes de courtage, contre 41 % l'année dernière. Les attaquants utilisent de plus en plus des identifiants de connexion compromis pour se déplacer librement dans le réseau et accéder aux comptes de courtage. Les répondants à l'enquête ont également déclaré avoir observé des attaques de type Chronos, un terme emprunté au dieu grec du temps, qui consistent à manipuler l'horodatage des opérations sur titres. 77 % des institutions financières ont signalé des attaques Chronos et 44 % de ces attaques visaient des positions de marché. « Même si l’étendue des dommages causés par les attaques Chronos n’est pas important, la manipulation de l’horodatage sape la sécurité, l’intégrité, la confiance dans le secteur financier », a déclaré M. Kellermann. « Les institutions financières doivent surveiller de près l'horodatage et s'assurer que les équipes de sécurité sont préparées à protéger l'intégrité temporelle ».

Les attaques dites par « Island Hopping » sont devenues l'une des tendances les plus menaçantes, 60 % des instituts financiers interrogés ayant été victimes de ce type d’attaque, en progression de 58 % par rapport à l'année dernière. Dans le cadre de ces attaques, les cybercriminels étudient les interdépendances des institutions financières pour identifier le fournisseur de services managés (MSP) utilisé. Ils peuvent ainsi viser ces entreprises pour atteindre la banque ciblée via l’Island Hopping. Autre préoccupation importante depuis ces dernières années : celle des échanges de cryptomonnaies, environ 83 % des personnes interrogées ayant fait part de leur inquiétude quant à leur sécurité.

Quels moyens de défense pour les RSSI des entreprises financières ?

Le rapport recommande aux RSSI et aux responsables de la sécurité plusieurs solutions pour se défendre contre ces attaques :

- Intégrer du NDR et EDR : la détection et la réponse du réseau (Network Detection and Response, NDR) doivent s'intégrer à la réponse et à la détection aux points d'extrémité (Endpoint Detection & Response, EDR) pour pouvoir disposer d’une surveillance continue, et en temps réel, des systèmes et détecter et analyser les menaces potentielles.

- Appliquer la micro-segmentation : restreindre les mouvements latéraux en appliquant des frontières de confiance améliorera la détection.

- Déployer des leurres : utiliser des technologies de déception pour détourner l'intrus.

- Mettre en œuvre le DevSecOps et la sécurité des API : introduire la sécurité au début du cycle de vie du développement des applications.

- Automatiser la gestion des vulnérabilités : hiérarchiser les risques pour se concentrer sur les vulnérabilités à haut risque.

« Des investissements dans la sécurité des API et de la charge de travail sont nécessaires, et il faut accentuer le dialogue entre les équipes de surveillance et les équipes chargées de la sécurité de l'information pour contrecarrer l’usage d’informations sur des transactions à venir, également appelé front running numérique », a déclaré le responsable de la stratégie de cybersécurité chez VMware. « Le RSSI doit également rendre compte au CEO et informer régulièrement le conseil d'administration afin d'assurer la fluidité des discussions et la transparence ».