Selon cette enquête, 43 % des entreprises relevant de ces services s’estiment menacées par les attaques BPC ciblant les processus métiers.
Une récente étude de Trend Micro, montre que les services financiers est confronté à d‘importants défis en matière de cyber-sécurité. Selon celle-ci, 61 % des services informatiques de ce secteur estiment que les menaces cyber pesant sur leur organisation ont augmenté au cours de l’année passée et près de la moitié (45 %) admet avoir des difficultés à suivre le rythme.
L’étude a été réalisée auprès de plus de 1 000 responsables informatiques chargés de la cyber-sécurité en Europe. Elle révèle que près d’un tiers (31 %) d’entre eux ont du mal à faire face aux menaces compte tenu du budget qui leur est imparti. Beaucoup ressentent le poids de cette responsabilité, puisque 34 % indiquent que cette pression s’est traduite par une baisse de leur sentiment de satisfaction professionnelle au cours de la même période.
« La protection des données n’a jamais été aussi capitale, mais le secteur des services financiers est particulièrement sous pression car il doit s’adapter simultanément à deux nouvelles réglementations, le RGPD et la DSP2 (Directive sur les Services de Paiement 2) », « La finance est un secteur d’activité qui est naturellement soumis à une pression importante. Si l’on ajoute à cela des cyber-attaques ultra sophistiquées dont la quantité et la portée ne cessent de croître, les services informatiques ont fort à faire. »
Les failles internes exploitées par les hackers
L’une des menaces qui préoccupe le plus les répondants est l’attaque de type BPC (Business Process Compromise), par laquelle les cybercriminels cherchent à exploiter des failles au niveau des processus métiers, des systèmes vulnérables et des pratiques sensibles. Dès lors qu’une faille a été identifiée, le hacker modifie une partie du processus à son avantage, sans que l’entreprise ou son client ne s’en aperçoive. 66 % des répondants considèrent ce type d’attaque comme une menace majeure pour leur entreprise, tandis que la moitié d’entre eux déclarent qu’ils ne pourraient pas se permettre de payer une rançon pour récupérer leurs données au cas où celles-ci venaient à être dérobées de cette façon.
Si la majorité des répondants s’accorde à dire que les attaques BPC pourraient avoir de graves conséquences sur leur activité, plus de la moitié (51 %) expliquent que leurs dirigeants n’ont pas réellement conscience de ce que représentent ce type d’attaque. En effet, 41 % des sondés indiquent avoir des difficultés à communiquer sur les risques potentiels avec le reste de leur entreprise, quand 34 % n’ont aucun responsable en charge de la sécurité informatique siégeant à leur conseil d’administration.
« Le piratage de processus métiers est un travail de longue haleine pour les cybercriminels, mais le jeu en vaut la chandelle. En s’infiltrant incognito dans l’infrastructure informatique d’une entreprise, ils peuvent finir par obtenir les informations nécessaires pour transférer d’importantes sommes d’argent, comme cela a eu lieu lors du cyber-braquage de la banque centrale du Bangladesh », poursuit Renaud Bidou.
« Pour lutter contre ces menaces, les entreprises du secteur des services financiers doivent veiller à ce que la cyber-sécurité soit représentée au conseil d’administration. Les équipes de sécurité informatique pourront alors communiquer efficacement avec le reste de l’entreprise sur la complexité des menaces cyber. La cyber-sécurité doit devenir une priorité à tous les niveaux de l’entreprise, du conseil d’administration aux services financiers, en passant par les ressources humaines. Dans le cas inverse, les entreprises courent deux risques : celui d’être victimes d’attaques toujours plus sophistiquées et celui d’enfreindre les réglementations exigeantes que sont le RGPD et la DSP2. »
Méthodologie
Cette étude a été réalisée par Opinium pour le compte de Trend Micro. Une enquête en ligne a été menée auprès de 1 125 responsables informatiques chargés de la cybersécurité au Royaume-Uni, en Allemagne, en Espagne, en Italie, en Suède, en Finlande, en France, aux Pays-Bas, en Pologne, en Belgique et en République tchèque.
