Pourtant bien réglementé, le secteur de la finance n’échappe pas aux menaces cyber, notamment en raison des évolutions géopolitiques et de la sophistication croissante des attaquants. Alors que le secteur financier figure parmi les cinq les plus touchés par les ransomwares, la protection des données financières n'a jamais été aussi cruciale.
Category
🗞
NewsTranscription
00:00Grand rendez-vous cyber aujourd'hui avec Nariman Lavey, bonjour, vous êtes ingénieur en
00:09cybersécurité pour la société Filigrane qui est une des pépites françaises dans la cyber,
00:14spécialisée dans le développement de plateformes de cybersécurité, puis vous êtes l'autrice d'un
00:18rapport qui m'a beaucoup intéressé sur le renforcement de cette cybersécurité dans
00:22le secteur financier. À côté de vous, notre expert fidèle Jérôme Billoy, bonjour Jérôme,
00:27associé cybersécurité et confiance numérique au sein du cabinet de conseil français en management
00:32de transformation WaveStone. Alors j'ai prévu beaucoup de sujets pour vous, je voulais qu'on
00:36commence avec ce beau lancement en fait du 17 cyber. Alors ce qui m'a permis un peu de me
00:43mettre quelques chiffres en tête, en 2023 278 703 infractions liées aux numériques ont été
00:51enregistrées par les forces de sécurité intérieure, c'est un chiffre qui est évidemment
00:54en constante augmentation, qui touche tout le monde. Alors par exemple, saviez-vous que 47% des
01:01victimes de préjudices financiers en ligne sont âgées de moins de 44 ans ? Je trouve que ça permet
01:07de remettre un peu les choses dans l'ordre. Quant aux atteintes numériques à la personne,
01:12en revanche c'est quand même plutôt attendu, elles visent principalement, bien majoritairement
01:17des femmes. Toutes ces statistiques elles ont rendu quand même l'action publique essentielle
01:21au travers de cybermalveillance.gouv.fr et donc qui se renforce cette action avec ce 17 cyber,
01:27ça va être un nouveau réflexe d'urgence en fait Jérôme ? Tout à fait, c'est un moyen simple
01:32d'accéder à un support, à une aide lorsqu'on est en tant que particulier ou petite structure
01:37victime d'un incident cyber. Alors ils disent même une collectivité, une entreprise peut
01:43faire appel à ce service, c'est pas vraiment un numéro comme le 17 ? Oui, c'est un service en
01:48ligne qui permet en fait d'avoir avec quelques questions simples finalement une caractérisation
01:53de sa situation, de pouvoir trouver des solutions opérationnelles, techniques mais aussi d'avoir
01:58accès à des policiers ou à des gendarmes pour potentiellement pouvoir déposer plainte. Donc
02:02c'est vraiment une plateforme qui cette fois-ci intègre et va faciliter justement le support dans
02:07ces moments de stress parce que finalement quand on est victime d'une cyberattaque, qu'elle soit
02:11une fraude, que ce soit un vol de données, une mise en cause sur internet etc, il y a beaucoup
02:16de stress, on sait pas trop vers qui se retourner et là c'est bien, il va y avoir un réflexe simple,
02:19c'est le 17 cyber. 17 cyber donc qui en fait qui connecte plein de plateformes, ça peut être même
02:24si on n'est pas sûr d'avoir été cyberattaqué pour savoir si on est face à un danger. Vous avez
02:30réagi comment en voyant ce service ? Vous vous êtes dit c'est vraiment pour les particuliers qui
02:34savent pas s'en sortir ou c'est vraiment utile ? Non, mon réaction c'est d'avoir beaucoup de fierté
02:38quand on puisse mettre ça en place, surtout à l'ère où on est vraiment aux prémices de
02:45l'intelligence artificielle générative qui va générer ces photos, va générer ces vidéos qui
02:49seront essentiellement utilisées aussi pour le cyber harcèlement. Et donc comme vous l'avez dit,
02:54plus de 60% des victimes sont des femmes qui sont impactées. Donc oui, superbe initiative qui a été lancée.
03:03Question en aparté, est-ce que ça aurait pu être utile à Jean-Noël Barraud ? Je suis pas sympa.
03:07Non, je voulais faire référence au piratage de son smartphone. Donc le ministre des affaires
03:13étrangères s'est fait pirater son smartphone a priori en cliquant sur un lien sur Telegram.
03:20Est-ce qu'on a plus d'informations, Jérôme, là-dessus ? Les informations restent parcellaires et je pense que
03:24lui seul détient la vérité de tout ce qui s'est passé. Effectivement, ce qui se dit c'est qu'il
03:28aurait reçu un message frauduleux sur lequel il aurait malencontreusement cliqué. Il faut quand même
03:34le dire, ça peut arriver à tous, même à moi récemment. Et après, ça aurait donné accès
03:42à une partie de son téléphone qui aurait pu être réutilisée pour envoyer des messages à
03:46d'autres personnes dans la sphère diplomatique. Et c'est là où peut être le risque. Effectivement,
03:49c'est que quand c'est des profils de ce type-là qui sont touchés, il y a des conséquences qui
03:53peuvent être plus fortes que pour des particuliers. Oui, ça peut être à la fois collecter des données
03:58mais aussi jouer de l'usurpation d'identité. Telegram, c'est un vecteur à risque principalement
04:06aujourd'hui dans la cyber, selon vous ? Ah oui, Telegram, c'est là où se retrouvent maintenant
04:12beaucoup de ce qu'on appelle les marketplaces, donc les marchés où on va finalement vendre
04:16les outils, vendre des données, vendre des accès, des identifiants. Donc oui, c'est vraiment devenu
04:22une source pour tout la sphère cybercriminelle. Il faut être particulièrement prudent, même si
04:28on a l'impression que l'application rentre un peu dans le rang. L'arrestation à son arrivée en France
04:32de Pavel Durov, le fondateur de Telegram, a effectivement changé la posture de la plateforme.
04:37On a vu un changement en profondeur dans justement sa coopération avec les services de police,
04:42avec la modération des contenus qui étaient très laxistes préalablement et qui là s'est vraiment
04:48renforcée. Donc de là à dire que c'est une plateforme maintenant complètement de confiance,
04:51non, parce qu'il y a encore beaucoup de flou sur le niveau de sécurité qu'elle procure réellement.
04:57On parle beaucoup des messages chiffrés, etc. Mais sur Telegram, c'est beaucoup du marketing
05:01et assez peu de preuves finalement de ce réel chiffrement, de cette réelle confidentialité
05:05des échanges. Donc voilà, il y a d'autres plateformes certainement à prioriser pour ces usages.
05:10Les usages aussi sensibles et confidentiels que ce que font les ministres par exemple ?
05:14Le problème c'est que les ministres aussi doivent réagir et interagir avec d'autres personnes qui, eux, peuvent être sur Telegram.
05:21Et on sait que dans un certain nombre de pays, Telegram est l'application fortement dominante.
05:25Donc il peut aussi avoir un besoin métier, entre guillemets, d'interagir sur Telegram.
05:29Mais c'est complexe dans ces situations-là.
05:32Alors on passe à notre autre sujet, c'est la menace cyber dans le secteur financier.
05:36Donc Nariman, vous avez publié un rapport pour Filigrane sur le sujet.
05:41Est-ce que le secteur financier, qu'on imagine quand même hyper au fait des risques cyber, est particulièrement bien protégé ?
05:49Est-ce qu'il est particulièrement exposé au contraire ?
05:52Oui, alors effectivement le secteur financier, là on est vraiment sur des entreprises qui vont avoir du budget.
05:59Qui vont pouvoir allouer autant de ressources cyber, donc des équipes cyber.
06:05Mais aussi s'assurer toutes les couches de protection nécessaires, les outils nécessaires.
06:11Qui, aussi un secteur qui est extrêmement régulé, on parle de Dora, du RGPD, du SEC aux Etats-Unis.
06:17En contrepartie, c'est aussi un secteur qui, selon les chiffres de cette année,
06:26on a 50% des entreprises, donc des institutions financières, qui ont payé les rançons quand ils sont attaqués par des rançons GCN.
06:35C'est incroyable !
06:36C'est énorme et ce qui rend en fait ce marché aussi très lucratif.
06:40Donc on va vouloir, ça motive les acteurs, les cybercriminels à continuer ce ciblage.
06:4750% qui payent la rançon, alors c'est parce qu'on se retrouve face à des situations inexplicables, j'imagine.
06:55On doit aussi faire face à des attaques beaucoup plus perfectionnées, peut-être, que dans d'autres secteurs.
07:02Ce chiffre, effectivement, il est très élevé. Je pense qu'il se trouve aussi, certainement, de très nombreux pays et de très nombreuses zones géographiques.
07:06Oui, c'est mondial, globalement.
07:07Parce qu'en fait, il faut voir qu'il y a quand même un vrai niveau de différence dans le niveau de sécurité entre les différentes zones géographiques des différents pays et en fonction du poids de la régulation.
07:15C'est vrai qu'aujourd'hui, en Europe et aux Etats-Unis, on a un régulateur qui, maintenant, a mis le paquet sur le cyber, qui a des exigences qui sont très fortes,
07:23qui amènent à augmenter même le niveau de jeu dans les banques, avec une boucle positive, finalement, d'amélioration.
07:29Par contre, c'est sûr qu'il y a des plus petits acteurs financiers qui sont moins régulés.
07:33Il y a, dans d'autres pays, des situations à risque.
07:36Et effectivement, une banque, à un moment, si elle perd l'accès à ce qu'on appelle son cœur bancaire, c'est-à-dire là où il y a tous les flux financiers qui passent et où il y a le solde, finalement, de tous les clients.
07:45Parce qu'il faut voir que l'argent, aujourd'hui, c'est juste des fichiers sur des serveurs.
07:48Ça n'a plus d'existence physique.
07:50Donc c'est sûr que si c'est bloqué, si, potentiellement, on n'a pas fait ce qu'il fallait en amont et qu'on peut le perdre, à un moment, effectivement, on peut être dans l'extrême solution de payer la rançon.
08:00Et ça, malheureusement, qu'est-ce que ça fait ? Ça entraîne encore plus de cybercriminalité.
08:04– Est-ce que vous constatez que les menaces sont plus sophistiquées dans le secteur bancaire ?
08:09– Dans le secteur bancaire, oui.
08:11Surtout les menaces étatiques, donc particulièrement nord-coréennes, qui vendent, je le rappelle, la Corée du Nord est un État qui fait des campagnes à but 100% lucratif.
08:25Donc là, le but, c'est de financer le régime nord-coréen, financer les programmes nucléaires.
08:30Et donc, ils se spécialisent dans des attaques très sophistiquées de compromission de la chaîne d'approvisionnement.
08:37Et donc, oui, ces attaques-là sont de plus en plus présentes, de plus en plus sophistiquées et elles font énormément de mal au secteur.
08:45– Et alors, juste, quand on parle d'institutions financières, on pense aux grandes banques classiques.
08:50Mais est-ce que dedans sont comprises toutes ces sociétés qui se lancent dans les crypto-monnaies, les crypto-actifs, j'imagine ?
08:56Et est-ce que ce sont elles qui sont particulièrement vulnérables ?
09:00– Tout à fait, les crypto-monnaies et la finance décentralisée, c'est ça qui va être principalement ciblé dans ce contexte-là.
09:09– Donc, on a besoin de règlements, parce qu'on attend quand même…
09:12On parle de DORA, mais pour l'instant, nous, on ne l'a pas encore mis dans notre loi française.
09:16– Oui, alors DORA s'applique quand même déjà.
09:19La loi française qui va arriver pour finir, finalement, d'implémenter DORA fait quelques petites modifications.
09:24Les banques n'ont pas attendu et là, sont vraiment dans le mouvement,
09:28avec des avancées certaines sur leur résilience, pour résister effectivement à des cyberattaques
09:33ou à des événements aussi néfastes qui pourraient provenir de multiples sources,
09:36pour s'assurer de la continuité du service financier, parce qu'on en a besoin.
09:40C'est clair que tous les jours, on a besoin de pouvoir payer, on a besoin d'argent,
09:43on a besoin de recevoir son salaire par exemple, donc il ne faut pas que ça s'arrête.
09:47– Et puis, on parlera du règlement MICA, mais ce sera après.
09:49Je vous propose qu'on s'intéresse à une attaque qui secoue les télécoms aux États-Unis.
09:55C'est le FBI qui a identifié des activités malveillantes spécifiques ciblant le secteur des télécoms.
10:01C'est assez nouveau ça, Jérôme ?
10:03– Alors là, on est vraiment sur une escalade d'attaques qui est sans précédent, à mon sens,
10:08avec déjà des premières découvertes sur des téléphones des membres de la campagne de Trump
10:13et de Harris aux États-Unis qui ont été ciblés.
10:16Après, on découvre aussi que la plateforme d'interception légale,
10:19c'est-à-dire celle qui permet aux forces de police d'écouter des téléphones aux États-Unis de manière légale,
10:23a elle aussi été piégée. Donc, on voit jusqu'où ça peut aller.
10:26On sait qui est écouté, pourquoi, peut-être même un certain nombre de conversations.
10:31Et là, plus on creuse et plus on voit que la compromission, elle est profonde, elle est large.
10:35Les autorités américaines, aujourd'hui, disent ne pas savoir
10:38quand est-ce qu'elles auront à nouveau confiance dans leur réseau télécom.
10:41– Parce qu'en fait, ce n'est pas au niveau du téléphone de l'utilisateur que l'attaque s'est jouée.
10:46Elle s'est jouée vraiment sur les opérateurs de télécoms.
10:49On ne sait pas exactement lesquels, d'ailleurs.
10:50– Oui, c'est ça qui est très fort, c'est qu'on avait l'habitude d'avoir le piratage d'un téléphone,
10:55d'une personne, peut-être de dizaines de personnes.
10:57Là, c'est vraiment une compromission du réseau télécom,
11:00des antennes qu'il faut passer la 4G, ce qu'on appelle des routeurs
11:04qui sont un peu les échangeurs d'informations entre les câbles de fibre optique, etc.
11:08Et ces équipements, eux, ils voient passer tout, absolument tout.
11:11Et normalement, ils sont sous le contrôle des opérateurs.
11:13Et là, de manière insidieuse, des attaquants, probablement d'origine chinoise,
11:17ont réussi à prendre pied sur ces équipements, à se cacher assez en profondeur,
11:22au point même qu'il a évoqué que certains équipements ne peuvent pas être nettoyés,
11:25qu'il va falloir même les remplacer.
11:27Et c'est pour ça que les délais vont être très longs.
11:30– Et on a donc le gouvernement, l'agence américaine de cybersécurité et de sécurité
11:37qui invite chacun à beaucoup de vigilance, du particulier, justement, au chef d'État.
11:43Est-ce que ce type d'attaque pourrait arriver aussi en Europe ?
11:46– Bien sûr, bien sûr, tout à fait.
11:48– On n'est pas à l'abri ?
11:49– Non, on n'est pas à l'abri, c'est les mêmes équipements, c'est le fonctionnement.
11:53Ah si, il y a déjà eu des attaques en profondeur.
11:54– Sur les opérateurs, chez nous ?
11:56– Oui, et il y a déjà eu ce qu'on appelle du pré-positionnement,
11:58c'est-à-dire des attaquants qui s'installent et qui se font très discrets
12:01pour pouvoir ressortir le jour où ils veulent.
12:03Donc ça, c'est connu.
12:04Et c'est même connu d'ailleurs que tout le monde le fait, même les États-Unis.
12:08On s'en souvient peut-être maintenant à l'époque de Snowden,
12:10qui avait écouté Merkel, avait piégé en profondeur
12:13une infrastructure télécom en Belgique.
12:15Donc ça fait partie du jeu de l'espionnage cyber classique.
12:18Par contre là, les États-Unis se sont un peu fait piéger,
12:21un peu surprendre on a l'impression dans ce cas-là.
12:25– Oui, on est également face à un acteur étatique chinois
12:30qui est aussi sophistiqué, qui utilise des techniques aussi
12:34qui font qu'il reste finalement sous le radar,
12:39et donc l'objectif étant la collecte de renseignements.
12:44Quand on fait de la collecte de renseignements,
12:46ce qu'on veut c'est, après avoir assuré un accès initial,
12:51rester le plus longtemps possible
12:53et donc être le plus discret possible dans ces environnements.
12:56Ce qu'ils arrivent plutôt à bien faire.
12:59– Et on a des outils contre ça ?
13:01– Une fois qu'on a trouvé le premier fil, on tire, on tire, on tire
13:05et on peut remonter effectivement jusqu'à eux.
13:07Par contre, la question qui est toujours la plus difficile
13:09à résoudre en situation de crise,
13:10c'est est-ce qu'on a à nouveau confiance dans nos systèmes ?
13:13Est-ce qu'on est sûr d'avoir tout nettoyé ?
13:16Et en fait, la réponse n'est jamais à 100% oui.
13:18Il y a toujours une zone d'ombre, les systèmes sont tellement grands,
13:20les systèmes sont tellement complexes,
13:22et donc ce qu'il faut c'est parer à ça
13:24par une augmentation du niveau de détection
13:26et finalement regarder vraiment tout ce qui se passe
13:29pour voir s'il y a encore des traces, encore des portes dérobées.
13:32On est vraiment dans le jeu du chat et de la souris,
13:34et comme c'était évoqué avec des acteurs très puissants
13:36et avec des outils finalement développés par eux,
13:41c'est des milliers de personnes qui gèrent ces attaques-là.
13:43Et j'imagine que là aujourd'hui, tout le travail d'enquête
13:47qui se fait aujourd'hui aux Etats-Unis va servir aussi l'Europe.
13:50Il y a du partage d'informations sur ce type d'attaque ?
13:54Oui et non. Alors justement, sur ce cas précis,
13:56donc le groupe, c'est Salt Typhoon, l'enquête est en cours.
14:01Donc Microsoft a parlé de cette compagnie-là,
14:05mais Microsoft n'a pas encore publié les détails techniques
14:08de ce qu'on appelle les indicateurs de compromission.
14:12Donc ils n'ont pas été publiés,
14:15donc vraiment je parle à l'échelle publique,
14:17mais sans doute que ça a dû passer,
14:21en tout cas pour les entreprises d'intérêt qui auraient pu être ciblées.
14:25Ok. Dernier sujet, je voulais vous faire réagir au trophée de la femme cyber,
14:30puisque vous êtes membre du CF6, Nariman,
14:33qui est à l'origine de ces trophées.
14:36Ça s'est passé le 10 décembre à Paris.
14:39Des femmes sont récompensées pour leur travail dans la cybersécurité.
14:43Vous voyez les choses évoluer, vous, Nariman, dans le secteur, dans la mixité ?
14:47Oui, je pense qu'on va quand même dans une bonne direction.
14:50Beaucoup de plus en plus d'entreprises qui font aussi attention à cette parité
14:56au niveau de leur recrutement.
14:59Et puis effectivement, le CF6 est une association qui s'engage
15:05en faisant beaucoup de sensibilisation.
15:07On va auprès des écoles pour montrer qu'on peut être des femmes
15:12et qu'on peut faire de la cybersécurité.
15:14C'est de la sensibilisation, de la formation, du mentorat aussi de personnes,
15:18autant des étudiants que des femmes qui sont en parcours de reconversion.
15:22Donc voilà, les aider, les motiver à rejoindre.
15:27Je me souviens que, Jérôme, vous avez publié un livre
15:30nous expliquant que justement dans la cyber,
15:33ce n'étaient pas des jeunes à capuche uniquement qui travaillaient.
15:36Il y a le sujet de la mixité, mais il y a le sujet même de pouvoir recruter des talents
15:40de partout, de toute origine, de tout profil finalement.
15:43Effectivement, il y a un enjeu très important sur la diversité
15:46et des collaborateurs qu'on peut avoir.
15:48Diversité de l'ensemble des points de vue finalement qui amènent quelque chose.
15:52Parce qu'on est aussi face à des attaquants qui eux-mêmes sont très divers, variés.
15:56Par contre, chez les attaquants, il y a très peu de femmes,
15:58en tout cas ce qu'on peut voir dans les différentes arrestations.
16:02Je ne vais pas leur demander d'amener la parité,
16:05on va laisser tranquille les attaquants.
16:06En tout cas, nous, on y travaille tous et je pense que c'est vraiment quelque chose de positif.
16:12On va d'ailleurs, côté WaveStone, on va essayer de mettre une pierre en plus à l'édifice.
16:15Je fais un petit teaser pour janvier.
16:17On va lancer un prix justement de l'entrepreneuse en cybersécurité
16:22conjointement avec votre co-frère des Echos.
16:24On va lancer ça en janvier, vous l'avez en avant-première aujourd'hui,
16:27on donnera plus de nouvelles.
16:28Félicitations !
16:29Bravo !
16:30Merci beaucoup Nariman Lavey d'avoir été avec nous.
16:33Je rappelle que vous travaillez pour Filigrane et Jérôme Billois pour WaveStone.
16:36Merci également.
16:38Allez, à suivre l'actu des cryptos.