43 % de ces dernières s’estiment menacées par les attaques BPC ciblant les processus métiers.
« La protection des données n’a jamais été aussi capitale, mais le secteur des services financiers est particulièrement sous pression car il doit s’adapter simultanément à deux nouvelles réglementations, le RGPD et la DSP2 (Directive sur les Services de Paiement 2)», explique Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « La finance est un secteur d’activité qui est naturellement soumis à une pression importante. Si l’on ajoute à cela des cyber-attaques ultra sophistiquées dont la quantité et la portée ne cessent de croître, les services informatiques ont fort à faire. »
Les failles internes exploitées par les hackers
L’une des menaces qui préoccupe le plus les répondants est l’attaque de type BPC (Business Process Compromise), par laquelle les cybercriminels cherchent à exploiter des failles au niveau des processus métiers, des systèmes vulnérables et des pratiques sensibles. Dès lors qu’une faille a été identifiée, le hacker modifie une partie du processus à son avantage, sans que l’entreprise ou son client ne s’en aperçoive. 66 % des répondants considèrent ce type d’attaque comme une menace majeure pour leur entreprise, tandis que la moitié d’entre eux déclarent qu’ils ne pourraient pas se permettre de payer une rançon pour récupérer leurs données au cas où celles-ci venaient à être dérobées de cette façon.
« Le piratage de processus métiers est un travail de longue haleine pour les cybercriminels, mais le jeu en vaut la chandelle. En s’infiltrant incognito dans l’infrastructure informatique d’une entreprise, ils peuvent finir par obtenir les informations nécessaires pour transférer d’importantes sommes d’argent, comme cela a eu lieu lors du cyber-braquage de la banque centrale du Bangladesh », poursuit Renaud Bidou.
« Pour lutter contre ces menaces, les entreprises du secteur des services financiers doivent veiller à ce que la cyber-sécurité soit représentée au conseil d’administration. Les équipes de sécurité informatique pourront alors communiquer efficacement avec le reste de l’entreprise sur la complexité des menaces cyber. La cyber-sécurité doit devenir une priorité à tous les niveaux de l’entreprise, du conseil d’administration aux services financiers, en passant par les ressources humaines. Dans le cas inverse, les entreprises courent deux risques : celui d’être victimes d’attaques toujours plus sophistiquées et celui d’enfreindre les réglementations exigeantes que sont le RGPD et la DSP2. »