A présent que les organisations du secteur financier sont confrontées à des menaces toujours plus avancées, les coûts liés aux cyber-attaques sont en augmentation. Une nouvelle enquête menée par Kaspersky LaB et B2B International dévoile l’ampleur et l’impact de ces attaques. Les sociétés financières essuient une perte moyenne de près d’un million de dollars ($926.000) pour chaque incident de cyber-sécurité auquel elles sont confrontées.
Ce chiffre stupéfiant est publié dans Financia Institutions Security Risks 2016, une enquête menée auprès de professionnels du secteur financier. Cette enquête met l’accent sur les principaux défis en matière de sécurité pour les banques et les institutions financières dans le monde entier ainsi que sur les coûts financiers de cyber-attaques spécifiques. Les types d’incidents les plus coûteux pour les établissements financiers sont les menaces qui exploitent des vulnérabilités dans des systèmes point-of-sale (POS), dans le cadre desquels l’organisation moyenne perd $2.086.000. Elles sont suivies par les attaques sur des appareils mobiles ($1.641.000) et les attaques ciblées ($1.305.000).
La conformité ne suffit pas pour être en sécurité
Dans les banques et les institutions financières, la conformité est la principale motivation pour accroître les investissements dans la sécurité informatique. L’enquête révèle toutefois que 63% des organisations estiment également que la conformité ne suffit pas pour être en sécurité. Autre raison importante pour l’augmentation des dépenses de sécurité : la complexité croissante de l’infrastructure. Une société financière moyenne recourt par exemple à la Virtual Desktop Infrastructure (VDI) et gère environ 10.000 appareils utilisateur final, dont environ la moitié consiste dans des smartphones et tablettes. Une expertise interne insuffisante, des directives du top management et l’extension des activités professionnelles sont d’autres raisons importantes pour accroître le budget. D’un point de vue général, l’investissement dans la sécurité apparaît comme inévitable pour une nette majorité des sociétés financières : 83% d’entre elles s’attendent à une hausse des budgets en sécurité informatique.
Martijn van Lom, General Manager Benelux de Kaspersky Lab: « Compte tenu des pertes financières considérables essuyées après des cyber-attaques, il n’est guère étonnant que les organisations financières veuillent augmenter les dépenses en sécurité. Nous croyons que des stratégies de sécurité fructueuses demandent aux sociétés financières une approche plus équilibrée dans l’attribution de moyens. Par conséquent, cela implique non seulement des dépenses en termes de conformité, mais également davantage d’investissements dans la protection contre les attaques ciblées avancées, une attention accrue pour la sensibilisation personnelle en matière de sécurité et une meilleure compréhension des menaces spécifiques aux secteurs. »
L’enquête montre que les sociétés financières veulent s’attaquer au problème de la sécurité en obtenant davantage d’informations sur les menaces et en faisant réaliser des audits en matière de sécurité. 73% des sociétés interrogées considèrent cette mesure comme efficace. Les organisations du secteur financier sont toutefois moins enclines à recourir à des services de sécurité externes : seules 53% des sociétés interrogées estiment que cette approche est efficace.
Les experts de Kaspersky Lab conseillent aux établissements financiers de tenir compte de cinq considérations importantes en ce qui concerne leurs stratégies de sécurité pour 2017
-Soyez attentifs aux attaques ciblées: Les attaques ciblées visant des établissements financiers seront probablement exécutées par le biais de parties ou entrepreneurs externes. Ces sociétés peuvent souvent présenter des faiblesses au niveau de la protection, voire ne pas avoir de protection du tout, et peuvent être utilisés comme point d’accès pour des maliciels ou des tentatives de phishing.
-Ne sous-estimez pas les menaces moins avancées: Les fraudeurs peuvent frapper de manière massive et, avec l’aide d’outils simples, profiter de l’effet d’échelle. L’ingénierie sociale peut représenter 75% des incidents frauduleux, alors que seuls 17% sont causés par des maliciels.
-Ne faites pas passer la conformité avant la sécurité: Les budgets sont généralement attribués en faveur de la conformité, mais le renforcement de la sécurité et l’instauration de nouvelles technologies de protection requièrent une approche plus équilibrée lors de l’attribution des moyens.
-Effectuez régulièrement des tests de pénétration: Les vulnérabilités invisibles n’en sont pas moins bien réelles. Avec la mise en œuvre d’outils de détection avancés et des tests de pénétration, les vulnérabilités et les incidents seront mis au jour. Pour ce faire, veillez toujours à garder un œil ouvert sur tous les points faibles et toutes les menaces – avant qu’il ne soit trop tard.
-Faites attention aux menaces de l’intérieur: Les cybercriminels peuvent se servir de collaborateurs – ou ces derniers peuvent décider de devenir des cybercriminels. Des stratégies efficaces ne doivent pas se limiter à la protection de périmètre, mais comporter également des techniques capables de détecter les activités suspectes au sein d’organisations.
Kaspersky Lab a mené cette enquête mondiale en collaboration avec B2B International auprès de plus de 800 représentants d’institutions financières dans 15 pays. Les répondants, dont 492 professionnels expérimentés dans l’informatique et le commercial au sein de banques, ont été interrogés quant à leur perception des questions de cyber-sécurité et à la façon dont ils se protègent contre les menaces.
Source : Kaspersky Lab
Les sociétés financières perdent en moyenne un million de dollars par incident de cyber-sécurité
31 mars 2017
