Les sociétés de services financiers britanniques continuent de négliger les fondamentaux, avertit la Banque d'Angleterre

Les entreprises de services financiers britanniques continuent de négliger les fondamentaux, avertit la Banque d'Angleterre.

By Phil Muncaster • 5 mars 2026 • 6 min de lecture

Le secteur des services financiers britanniques est d'une importance capitale. Londres se classe juste derrière New York comme centre financier mondial et le pays est… le plus grand du monde Exportateur net de services financiers, le pays est néanmoins une cible de choix pour les cybercriminels et les acteurs étatiques. Malgré une réglementation parmi les plus strictes, sa cybersécurité laisse à désirer.

Le coût persistant des cyberattaques sur le secteur pour l'économie, et le spectre d'un incident systémique, expliquent pourquoi la Banque d'Angleterre (BoE) continue d'utiliser un cadre de tests d'intrusion appelé CBEST. Malheureusement, son dernier rapport Cela souligne qu'il reste encore beaucoup de chemin à parcourir pour ce secteur.

Ce que le rapport a révélé

L'objectif de CBEST est de simuler les types d'attaques que les banques et autres entreprises du secteur financier subiraient en situation réelle, perpétrées par des groupes criminels sophistiqués, des acteurs étatiques et des employés malveillants. Ces efforts se concentrent sur la compromission de fournisseurs tiers, l'ingénierie sociale et les activités internes, car ce sont les domaines où le secteur a le plus de difficultés à se défendre. Exploitations zero-day, logiciels malveillants personnalisés, automatisation basée sur l'IA et ciblage précis sont tous utilisés dans ces évaluations d'équipes rouges, lors d'attaques simulant des objectifs finaux tels que le cyberespionnage, le gain financier et le sabotage.

Alors, qu'a découvert la Banque d'Angleterre ?

Systèmes configurés de manière incohérente et insuffisamment sécurisés/mis à jour
Absence de chiffrement des données au repos, notamment des identifiants privilégiés
Faiblesse des contrôles de gestion des identités et des accès (notamment mots de passe faibles et/ou stockage non sécurisé des mots de passe)
Contrôles d'accès trop permissifs
Détection et réponse médiocres (par exemple, EDR « mal réglé »)
Surveillance/inspection du trafic inefficace (permettant aux attaquants de se dissimuler dans le trafic légitime)
Une segmentation réseau inefficace (par exemple entre les environnements de développement et de production) amplifie l'impact potentiel des attaques
Personnel susceptible de subir des manipulations d'ingénierie sociale directes et indirectes
Le personnel stocke régulièrement ses identifiants dans des environnements non protégés (par exemple, des partages de fichiers ouverts).
Des protocoles de service d'assistance non sécurisés qui permettent aux pirates d'amplifier leurs efforts d'ingénierie sociale.

Le rapport souligne également que les renseignements sur les menaces au sein des organisations sont insuffisants en matière de planification stratégique, de définition des besoins, de mise en place de cadres de gouvernance et de cartographie des capacités à long terme. Il en résulte un décalage entre les renseignements collectés par les entreprises de services financiers et leurs besoins opérationnels réels. La Banque d'Angleterre affirme que cela engendre des difficultés pour adapter et faire évoluer ces programmes.

Pourquoi ça compte

Les tactiques, techniques et procédures (TTP) déployées par les testeurs d'intrusion de CBEST ont été choisies pour une raison précise : elles reflètent le type de menaces auxquelles les institutions financières sont confrontées quotidiennement ou hebdomadairement. Dans une section du rapport, le Centre national de cybersécurité (NCSC) a averti que le collectif Scattered Spider est connu pour ses techniques d'ingénierie sociale visant à piéger le personnel des services d'assistance informatique afin de réinitialiser les mots de passe et les jetons d'authentification multifacteur (MFA), par exemple. Il est soupçonné d'avoir agi de la sorte durant… Les attaques de ransomware contre les groupes M&S et Co-Op.

Par ailleurs, il a cité le groupe APT chinois Volt Typhoon, qui a compromis de larges portions du territoire américain. infrastructure nationale critique Des réseaux victimes d'attaques clandestines. Une meilleure surveillance et segmentation des réseaux auraient permis de mettre en lumière ces efforts et de limiter la portée des attaques, a affirmé le NCSC.

Les entreprises de services financiers ne doivent pas se contenter de considérer CBEST comme un fondement important pour renforcer leur résilience face aux attaques réelles. Nombre d'entre elles devront également améliorer leur niveau de sécurité au regard des directives de l'UE. Loi sur la résilience opérationnelle numérique (DORA), qui impose de nouvelles exigences strictes à l'ensemble de la chaîne d'approvisionnement bancaire. Les chaînes d'approvisionnement représentent un risque particulier. Le rapport de 2025 affirmait que 58 % des grandes entreprises de services financiers ont subi au moins une attaque de tiers l’année précédente, et qu’un cinquième (23 %) ont été ciblées trois fois ou plus.

What Happens Next?

Dans l’avant-propos du rapport, la Banque d’Angleterre et les autorités de régulation, la FCA et la PRA, ont exhorté les organisations du secteur à s’attaquer aux causes profondes des risques plutôt que d’appliquer des solutions temporaires. Cela implique une approche à la fois technique et culturelle, englobant la prévention, la détection et la réaction.

Plus précisément, la Banque d'Angleterre, la FCA et la PRA souhaitent voir des organisations du secteur :

Mise à jour et configuration des applications critiques et des systèmes d'exploitation
Renforcer la gestion des identifiants, imposer des mots de passe robustes, utiliser l'authentification multifacteur et segmenter les réseaux
Assurer une détection précoce et une surveillance efficace afin de réduire l'impact des attaques
Mise en œuvre de plans de remédiation fondés sur les risques, en collaboration avec les gestionnaires de risques et les auditeurs internes.

Par ailleurs, le NCSC souhaite améliorer la formation du personnel, notamment face aux attaques de phishing générées par l'IA, afin de promouvoir une culture de sécurité positive. Il préconise également une gestion plus rigoureuse des comptes à privilèges (PAM) conforme aux meilleures pratiques, ainsi qu'une surveillance accrue des actifs, en particulier des systèmes informatiques existants, notamment pour faciliter la transition vers la cryptographie post-quantique (PQC).

La segmentation du réseau, le renforcement de la sécurité des dispositifs et la surveillance continue doivent être déployés dans le cadre d'une approche de sécurité « zéro confiance », a-t-on indiqué. Des processus complets de journalisation et de réponse aux incidents peuvent améliorer la résilience des capacités de surveillance et de détection. La chasse aux menaces offre des informations complémentaires importantes permettant de déceler les activités malveillantes les plus sophistiquées, a conclu le NCSC.

Démarrer

Par où commencer, alors, pour les entreprises de services financiers ? Carl Hunt, directeur de Beyond Blue, affirme que la détection est un bon point de départ.

« Cela implique d'améliorer la détection et la réponse aux incidents sur les terminaux, mais aussi de corréler les événements sur les différents vecteurs d'attaque probables au sein de l'organisation afin de détecter les comportements anormaux », explique-t-il à IO (anciennement ISMS.online). « Pour ce faire, il est indispensable de bien comprendre les actifs critiques, les vecteurs d'attaque et d'optimiser les règles de détection. »

L'aspect humain de la réponse est un autre aspect crucial que les équipes de sécurité négligent souvent.

« Les RSSI doivent être habilités à isoler une attaque rapidement, ce qui nécessite une analyse du contexte métier pour prendre les décisions appropriées. C'est un défi particulier lorsque les opérations de sécurité sont externalisées », poursuit Hunt. « Il ne faut pas oublier que lors d'une attaque réelle, les attaquants agissent vite pour atteindre leurs objectifs, contrairement à une simulation comme CBEST où leur progression est plus contrôlée. Une réaction rapide est essentielle pour limiter l'impact. »

Il souligne l'importance cruciale de la segmentation du réseau pour limiter la portée des attaques. « Elle sous-tend également les stratégies de reprise d'activité grâce à la cartographie des systèmes informatiques et des réseaux en fonction des fonctions essentielles de l'entreprise, permettant ainsi un confinement efficace et, finalement, l'éradication complète de l'attaque », explique Hunt.

La bonne nouvelle est que des normes comme l'ISO 27001 peuvent aider les organisations à mettre en place les bases nécessaires pour accélérer l'adoption de ces bonnes pratiques. Elles permettent également d'appliquer l'approche de la cybersécurité fondée sur les risques, de plus en plus attendue par les autorités de réglementation, et ancrée dans une culture d'amélioration continue.

Les entreprises de services financiers britanniques continuent de négliger les fondamentaux, avertit la Banque d'Angleterre.

Ce que le rapport a révélé

Pourquoi ça compte

What Happens Next?

Démarrer

Phil Muncaster

Articles connexes

Ce que le cadre politique national de la Maison Blanche en matière d'IA signifie pour la conformité

La voie de la moindre résistance : pourquoi la défense en profondeur est la meilleure réponse aux menaces du cloud

Respecter la loi sur l'utilisation et l'accès aux données en toute confiance : pourquoi la boucle ISO 27001, 27701 et 42001 est efficace

Plus d'articles de Phil Muncaster

La voie de la moindre résistance : pourquoi la défense en profondeur est la meilleure réponse aux menaces du cloud

Cybermenaces dans un contexte de tensions accrues au Moyen-Orient : à quoi peuvent s’attendre les RSSI britanniques

Le NCSC demande aux infrastructures critiques d’« agir maintenant » : qu’est-ce que cela signifie ?