Comment les entreprises de services financiers devraient répondre à un avertissement de cybermenace du FMI

Par Phil Muncaster • 16 mai 2024

Les organisations de services financiers sont depuis longtemps une cible pour les acteurs malveillants. Qu'il s'agisse de groupes motivés par des raisons financières recherchant des informations personnelles et financières de clients à vendre sur le dark web, ou d'acteurs étatiques déterminés à perturber les infrastructures critiques, les menaces sont désormais bien documentées. Mais cela ne signifie pas pour autant qu’ils sont gérés avec succès. Les banques ont peut-être plus d’argent que la plupart à consacrer à la cybersécurité, mais elles constituent également une cible plus importante.

C'est pourquoi l'industrie devrait tenir compte d'un récent avertissement du Fond monétaire international (FMI) que la probabilité d’une attaque catastrophique ayant des conséquences systémiques a augmenté ces dernières années. Il affirme que l’industrie a perdu 12 milliards de dollars à cause des cyberattaques au cours des 20 dernières années. Heureusement, de nombreuses mesures peuvent être prises pour améliorer la sécurité de base.

Qu’a dit le FMI ?

L’inquiétude est que les choses deviennent plus précaires, à mesure que les investissements numériques élargissent la surface des cyberattaques et que les acteurs malveillants disposant de ressources suffisantes en profitent. Le FMI prévient que les « pertes extrêmes » dans le secteur des services financiers ont plus que quadruplé depuis 2017 pour atteindre 2.5 milliards de dollars. La montée des tensions géopolitiques et la dépendance croissante à l'égard de fournisseurs tiers augmentent l'exposition aux risques de nombreuses organisations, ajoute-t-il.

La plus grande préoccupation du fonds est que les incidents de cybersécurité se propagent à partir d'une seule institution et menacent l'ensemble du système financier mondial, érodant la confiance des clients et/ou perturbant les services critiques. De graves violations de la cybersécurité pourraient même précipiter des paniques bancaires, prévient le rapport.

Cette question est sur le radar des régulateurs depuis un certain temps. C'est pourquoi l'UE a créé le Loi sur la résilience opérationnelle numérique (DORA), qui impacte les entités et leurs fournisseurs informatiques opérant dans la région. En fait, plusieurs des mesures suggérées par le FMI pour améliorer la cyber-résilience dans le secteur recoupent les exigences de la réglementation de l'UE. Ils sont:

Évaluer régulièrement le paysage de la cybersécurité et identifier les risques systémiques possibles, y compris ceux provenant de fournisseurs tiers
Améliorer la cyber-gouvernance, y compris l’accès au niveau du conseil d’administration à l’expertise en cybersécurité
Améliorer la cyber-hygiène grâce aux meilleures pratiques du secteur
Donner la priorité à la communication des données et au partage d’informations pour améliorer la préparation collective
Développer et tester les processus de réponse aux incidents et de récupération

Ian Harragan, co-fondateur d'i-confidential, affirme que la gouvernance est essentielle.

« Une bonne gouvernance de la sécurité aide à orienter une organisation et à garantir qu'elle atteigne ses objectifs. Un aspect important de la gouvernance concerne la réponse aux incidents. Les organisations de services financiers comprennent qu’elles sont une cible pour les adversaires, alors comment peuvent-elles limiter les dommages causés par des violations réussies ? » il dit à ISMS.online.

« Cela peut être réalisé grâce à des plans de réponse aux incidents bien testés, qui exposent comment différents scénarios de cybersécurité pourraient affecter une organisation, puis fournissent des conseils sur la manière de se remettre de l'incident. Cela devrait inclure des attaques à la fois contre leur propre infrastructure et contre leurs fournisseurs.

La chaîne d'approvisionnement est un facteur de risque critique

D'autres experts interrogés par ISMS.online ont également souligné les failles de sécurité potentielles dans les chaînes d'approvisionnement bancaires. Aussi bonne que puisse être la posture de sécurité d'une institution financière, elle peut toujours être violée via une attaque bien ciblée contre un fournisseur, ou même via sa chaîne d'approvisionnement en logiciels. Les exemples ne sont pas difficiles à trouver. UN violation de données chez le fournisseur de services IMS de Bank of America en novembre 2023, les informations personnelles de 57,000 XNUMX clients ont été compromises. Et la tristement célèbre campagne MOVEit a pris au piège des dizaines de banques qui utilisaient le logiciel de transfert de fichiers populaire, notamment Banque Flagstar, où plus de 800,000 XNUMX clients se sont fait voler leurs données.

Dan Potter, directeur principal de la résilience opérationnelle chez Immersive Labs, affirme qu'en tentant de répondre aux demandes des clients pour des expériences plus rationalisées, les institutions financières ont involontairement créé des points de faiblesse. Une coopération plus étroite avec les fournisseurs est de plus en plus importante pour résoudre ces problèmes, dit-il.

« La rapidité est désormais primordiale pour les clients, et les organisations financières doivent constamment innover et créer des expériences numériques fluides. Dans le même temps, les institutions financières doivent également offrir le plus haut niveau de sécurité et de protection des données tout en respectant des normes réglementaires et de conformité toujours plus strictes », a déclaré Potter à ISMS.online.

« Si un seul fournisseur tiers, qui aide plusieurs banques à fournir des services critiques, est touché par une cyberattaque, cela pourrait alors provoquer le chaos sur les marchés financiers. Par conséquent, la collaboration bien établie au sein du secteur des services financiers doit désormais s’étendre à la chaîne d’approvisionnement, et en particulier aux grandes entreprises technologiques.

Sylvain Cortes, vice-président de la stratégie chez Hackuity, est pessimiste quant à la capacité des sociétés de services financiers à gérer efficacement les risques inhérents à leurs chaînes d'approvisionnement en logiciels.

« Un exemple très récent, la porte dérobée xz Utils, démontre que l'utilisation de logiciels open source dans un système de production peut présenter des avantages mais aussi des risques – imaginez une porte dérobée introduite dans presque tous les systèmes Linux du monde ? il dit à ISMS.online.

« Malheureusement, évaluer et couvrir les risques de tiers est extrêmement complexe, voire impossible dans certains cas. Dans le cas de xz Utils, cela aurait obligé toutes les organisations d'utilisateurs de Linux à examiner et analyser l'intégralité de la base de code Linux, ce qui est pratiquement irréalisable.

Le FMI lui-même a ici un rôle potentiel pour rassembler les efforts des gouvernements visant à favoriser le partage d'informations et la recherche dans ce domaine, au profit des organisations mondiales de services financiers, ajoute-t-il.

Les meilleures pratiques ouvrent la voie à DORA

L'une des principales recommandations du FMI est d'améliorer la cyber-hygiène grâce aux meilleures pratiques. C'est là que le respect des normes établies peut jouer un rôle utile, affirme Harragan d'i-confidential.

« Les normes industrielles, comme ISO 27001 ou NIST, fournissent un cadre fiable permettant aux organisations de services financiers d'établir les bases de leur cybersécurité, comme les contrôles clés à mettre en place, et les aident à prioriser leurs activités en cours », explique-t-il.

« Cependant, la plupart des organisations de services financiers utiliseront plusieurs normes, verticales ou cyber-spécifiques, plutôt que de se concentrer sur une seule. Cela leur permet d’adapter leurs efforts à leur propre situation. Adopter une approche mixte des meilleures pratiques en matière de cybersécurité améliore en fin de compte leur résilience globale.

Le reporting est également important car il permet aux organisations de services financiers de s'assurer qu'elles mesurent la sécurité avec précision et d'adapter leurs programmes en fonction du risque le plus élevé, ajoute Harragan. Choisir les bonnes mesures est essentiel ici.

« Les mesures permettent aux organisations d'évaluer systématiquement leurs efforts de sécurité afin de comprendre où ils en sont actuellement en termes d'efficacité, puis de fixer des objectifs quant à l'endroit où elles souhaitent être à l'avenir », poursuit Harragan. "Mais pour mettre en place un programme de mesure efficace, les organisations doivent mesurer ce qu'elles devraient, et pas seulement ce qu'elles peuvent."

Surtout, les banques opérant dans l’UE devront mettre de l’ordre dans leurs programmes de conformité DORA avant la date limite de janvier 2025. Nous espérons que le rapport du FMI ne dira pas aux RSSI du secteur ce qu'ils ne savent pas déjà. Mais cela pourrait les aider à présenter des arguments solides au conseil d’administration.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 3er Février 2026.

La fraude signalée par le WEF est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n'est pas la seule.

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Cinq ans, c'est une éternité en cybersécurité. Pourtant, c'est la durée pendant laquelle le Forum économique mondial (WEF) interroge les PDG pour son rapport mondial sur la cybersécurité…

Phil Muncaster

La cyber-sécurité 27 Janvier 2026

L'importance de la protection de la vie privée : ce que les équipes de conformité peuvent attendre en 2026

L'importance de la protection de la vie privée : ce à quoi les équipes de conformité peuvent s'attendre en 2026

Le 28 janvier est la Journée mondiale de la protection des données – l’occasion de célébrer le droit à la confidentialité et à la protection des données que beaucoup d’entre nous tiennent aujourd’hui pour acquis.

Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

Comment les entreprises de services financiers devraient répondre à un avertissement de cybermenace du FMI

Qu’a dit le FMI ?

La chaîne d'approvisionnement est un facteur de risque critique

Les meilleures pratiques ouvrent la voie à DORA

Phil Muncaster

Articles connexes

Les principaux défis de la gouvernance de l'IA en 2026

Pourquoi les organismes de réglementation et les investisseurs attendent des entreprises qu'elles prennent en compte un triple risque

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Lire la suite de Phil Muncaster

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

L'importance de la protection de la vie privée : ce à quoi les équipes de conformité peuvent s'attendre en 2026

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001