Cyberattaques dans les banques: faut-il garder du cash chez soi ?

Les cyberattaques sont un sujet très sensible dans le secteur bancaire dont le niveau de protection est élevé. Mais la menace s’amplifie. Faut-il pour autant garder quelques billets à la maison en cas de blocage total?

Les cinq jours de cyberattaques, revendiquées par le collectif russe baptisé NoName057 début octobre, ont secoué la Belgique, sans la faire trembler. Les cibles étaient nombreuses: le SPF Economie, la fédération bancaire Febelfin, les ports d’Anvers, Zeebrugge, Bruxelles, Liège, plusieurs communes et même le Centre pour la Cybersécurité Belge (CCB). Il s’agissait d’assauts DDos consistant à saturer les serveurs visés de requêtes pour les paralyser. Celui de Febelfin a tout de même été bloqué pendant plusieurs heures. Les hacktivistes ont déclaré vouloir ainsi «faire taire les propos mensongers du CCB selon lesquels leurs attaques étaient inoffensives». Du côté du centre, on persiste néanmoins: «Il n’y a pas eu d’intrusions ni de vols de données, explique Michele Rignanese, son porte-parole. C’était juste une démonstration de force symbolique. Après quelques heures, tout est revenu à la normale.»

Le risque de cyberattaques n’en reste pas moins de plus en plus préoccupant, en particulier vis-à-vis des établissements bancaires et des institutions financières. La récente mise en garde des banques néerlandaises qui conseillent à leurs citoyens de toujours garder un peu d’argent liquide chez soi en cas de gros problèmes avec l’infrastructure électronique de paiement semble le confirmer. La Norvège et la Suède ont fait de même en nommant clairement le risque de guerre hybride de la part de la Russie. Guerre hybride? Il s’agit de méthodes subversives de combat, telle que les cyberattaques de grande ampleur, la désinformation, les sabotages d’infrastructures critiques, tentatives d’assassinat, etc.

L’actuel secrétaire général de l’OTAN, le Néerlandais Mark Rutte, a encore prévenu, il y a peu, de la menace que cela représentait, reconnaissant que la stratégie de l’organisation atlantique n’était plus adaptée à une confrontation de ce genre. Sur les 500 incidents douteux qui ont eu lieu en Europe ces derniers mois, une centaine peut être attribuée à la Russie dont la guerre hybride bat son plein depuis quelques années. Les pays baltes et du nord du continent sont les plus visés, étant les plus proches du territoire russe, avec souvent des minorités russophones en leur sein. La Chine n’est pas en reste, surtout en termes de cybercriminalité. Quelle que soit la méthode, le but reste de fragiliser les démocraties occidentales, en s’attaquant à leurs points sensibles ou critiques.

L’un d’eux est évidemment le système bancaire et financier. Si divers types de paiement étaient bloqués pendant plusieurs jours, même pour une seule grande banque, les conséquence seraient désastreuses. Or les banques sont ciblées. Dans le rapport 2024 de l’Enisa (European Union agency for cyber security), parmi l’ensemble des secteurs visés, le secteur bancaire et financier concentre 9% des cyberattaques répertoriées entre juillet 2023 et juin 2024, arrivant en troisième position derrière celui des transports (11%) et des administrations publiques (19%). Tous secteurs confondus, les attaques DDos sont la menace principale, soit 41% de l’ensemble des menaces répertoriées, suivies par les ransomware (26%), soit ces logiciels qui bloquent un serveur ou un ordinateur réclamant une rançon pour le débloquer. Viennent ensuite les vols de données (19%). Le rapport est quelque peu différent pour secteur bancaire en particulier: si les attaques DDos constituent le principal de la menace, les tentatives de vols de données y sont un peu plus nombreuses que les ransomware. La sécurité des données est le principal souci des banques.

«Nous sommes soumis à des dizaines de milliers de tentatives d’intrusion par jour», confiait récemment au Figaro un responsable de la cyberdéfense d’une grand banque française. En Belgique, aucun chiffre n’est disponible. «Nous ne disposons d’aucune statistique, assure Charline Gorez, porte-parole de Febelfin. Ce qui est sûr, néanmoins, est que le risque lié aux attaques numériques a évolué ces dernières années.» Idem à la Banque nationale (BNB), l’autorité de surveillance des banques, qui supervise les risques IT de toutes les entités financières du pays et qui nous renvoie vers le CCB. Mais là, pas de chiffres non plus. In fine, seul le rapport Enisa offre quelques pourcentages très généraux, cités plus haut.

Au CCB, Michele Rignanese observe que si aucune attaques de banque en Belgique ne fait la une des médias, c’est que celles-ci n’aboutissent pas. «Nos banques ont un niveau de maturité digital élevé, souligne-t-il. Elles sont à la pointe en termes de cybersécurité. Bien sûr, la sécurité à 100% n’existe pas. On évoque de plus en plus le risque de guerre hybride. Mais, depuis trois ans que je travaille au CCB, je n’ai jamais entendu parler de cyberattaques qui visaient spécifiquement le secteur bancaire en Belgique.» Chez Febelfin, on se veut rassurant aussi. « Les banques font des investissement massifs dans les cybersécurité, affirme Charline Gorez. Des investissements uniques et récurrents, avec du personnel dédié. Nous ne pouvons pas le chiffrer, mais c’est un coût important. Elles sont d’ailleurs régulièrement testées.»

Cet été, la Banque centrale européenne (BCE) a réalisé un test de cyber-résilience auprès de 109 banques directement supervisées par elle, dont quatre belges (Belfius, KBC, Argenta et Crelan). Ce test se concentrait sur la manière dont les banques réagiraient et se remettraient d’une cyberattaque. A l’issue de l’opération, la BCE a pointé «des marges d’amélioration», sans se prononcer sur la robustesse du secteur. On sent que le sujet est délicat. La Febelfin rappelle aussi l’entrée en vigueur en janvier du règlement européen DORA qui vise à harmoniser les règles de résilience opérationnelle numérique de toutes les entreprises, banques comprises. Les banques ont déjà l’obligation d’avoir des plans de continuité de services en cas de problème.

 Il s’agit ici d’harmoniser les mécanismes de gestion de crise permettant rétablir les services rapidement en cas d’attaque, notamment via des systèmes de secours localisés sur d’autres sites géographiques. Une stratégie de défense aussi adoptée par le réseau international Swift, la société de droit belge basée à La Hulpe, utilisée par 11.000 institutions financières pour des milliards de transactions internationales quotidiennes. Cette boîte carrefour, qui est une cible de choix surtout depuis que les banques russes en ont été évincées, a démultiplié ses banques de données dans de véritables bunkers aux Pays-Bas, en Suisse et aux Etats-Unis.

Bref, malgré toutes ces protections, faut-il quand même garder un peu de liquide chez soi au cas où? Le Centre de crise ne l’a pas inclus dans le kit d’urgence qu’il recommande à chaque Belge d’avoir à la maison. Mais il y songe. Selon Febelfin, ce genre de conseil est pour l’instant inutile. «Il n’y a aucun signal ni du gouvernement ni des banques pour prendre une telle précaution, rassure Charline Gorez. Garder de l’argent chez soi, c’est d’ailleurs un risque, surtout pendant les mois sombres en cette période de fête qui enregistre généralement une recrudescence de cambriolages.» La fédération suit cependant la situation au jour le jour, promet-elle.