Quand les cyber-attaques se sophistiquent de plus en plus…

Cinq question à Tim Hermans, directeur de la Banque Nationale de Belgique (BNB), afin d’y voir plus clair sur ce phénomène qui prend de l’ampleur.

Quelle est l’ampleur de la cybercriminalité à l’égard du système financier?

TIM HERMANS. Les cyberattaques sur le système financier sont devenues une réalité quotidienne, en Belgique comme dans le monde entier. Des groupes comme Lazarus liés à la Corée du Nord sont connus pour mener ce genre d’attaques visant à perturber son bon fonctionnement. Les techniques utilisées s’affinent et ces attaques sont de plus en plus sophistiquées. Le risque opérationnel pour une banque, une compagnie d’assurance ou une infrastructure de marché (Swift, Euroclear) a toujours existé, mais ce risque est devenu crucial aujourd’hui en raison de la digitalisation des institutions financières et de l’économie en général.

Que fait la BNB pour lutter contre le phénomène?

En tant qu’institution, grâce à nos systèmes de défense automatiques, nous bloquons chaque jour des milliers de mails liés à du phishing. En tant qu’autorité de contrôle, nous menons aussi des inspections dans les institutions financières pour vérifier si nos attentes en matière de continuité opérationnelle sont respectées. Ces inspections sont menées par des équipes de plusieurs personnes et peuvent durer plusieurs semaines. Et puis, pour tester la résilience des systèmes informa- tiques, nous faisons aussi de l’ethical hacking.

C’est-à-dire…?

Avec l’aide d’une entreprise privée, nous définissons des scénarios d’attaque: pénétrer dans une banque, effectuer des transactions, trouver des informations secrètes, etc. Ensuite un hackeur éthique essaie de réaliser ces attaques. L’objectif est de renforcer la cybersécurité des institutions financières. Cela s’inscrit dans le cadre du programme Tiber (pour Threat Intelligence-based Ethical Red Teaming) qui a été mis en place dans toute la zone euro. Après les Pays-Bas, la Belgique a été le deuxième pays à l’implémenter. Les résultats de ces opérations sont partagés avec la Sûreté de l’Etat et les Renseignements militaires.

La crise du Covid a-t-elle augmenté les risques?

Oui. Si le télétravail à grande échelle réduit les risques sanitaires, il augmente par contre le risque cybernétique. Ne serait-ce que parce que la disponibilité physique réduite des informaticiens rend plus difficile la résolution des incidents.

Les banques sont-elles suffisamment protégées?

Les attaques ont beau augmenter et sont devenues de plus en plus sophistiquées, elles n’ont heureusement jamais conduit à un incident majeur. Les banques prennent le risque cyber très au sérieux et ont énormément investi au cours des dernières années. Cela étant, la fonction en charge de la cybersécurité n’a pas encore le même niveau de maturité prudentielle que d’autres faisant partie des comités de direction. Des discussions vont être entamées avec le secteur à ce sujet.