Le risque cyber concerne l’ensemble du business

Dans le cadre de la Cybersecurity Week, une conférence était organisée le 22 octobre sur le thème de la cybersécurité dans l’industrie financière. L’occasion d’aborder les défis auxquels est confronté le secteur avec Thomas Koch et Lars Weber, respectivement vice-président et président du Trust & Cybersecurity Committee de l’ABBL.

Thomas Koch, Associate Partner et Cybersecurity Leader chez EY Luxembourg

Comme toutes les activités travaillant avec des données sensibles, les services financiers sont particulièrement exposés aux menaces cyber. C’est pour mieux les connaître et permettre aux différents acteurs – même des compétiteurs – d’échanger sur les réactions à adopter face aux éventuelles attaques qu’un « Trust & Cybersecurity Committee » a été mis en place au sein de l’ABBL. Son président, Lars Weber, CISO de la Spuerkeess, et son vice-président, Thomas Koch, Associate Partner et Cybersecurity Leader chez EY Luxembourg, se sont notamment exprimés sur le sujet ce 22 octobre lors d’une conférence organisée conjointement par l’ABBL et EY. « Nous avons réuni une centaine de personnes, ce qui n’est pas si mal au cœur de la Cybersecurity Week, alors que des événements ont lieu plusieurs fois par jour. Cela montre l’intérêt des professionnels du secteur pour ce sujet particulier », relève Thomas Koch.

Tous dans le même bain

Si la cybersécurité est un sujet d’inquiétude pour le secteur, l’industrie financière ne fait toutefois pas l’objet de menaces spécifiques. « Nous sommes tous dans le même bain, puisque nous évoluons dans un même écosystème. Nous sommes globalement tous confrontés aux mêmes types de menaces : attaques par déni de service, hacking au niveau de l’infrastructure, phishing, etc. », détaille Lars Weber. « On peut toutefois relever quelques types d’attaque spécifiques, enchaîne Thomas Koch. C’est le cas des ransomwares comme Emotet. S’il n’est pas encore très développé au Luxembourg, ce malware a déjà fait pas mal de dégâts au niveau mondial. »

Ce qui est sûr, c’est que le secteur financier a déjà atteint un niveau de maturité très important par rapport à la cybersécurité. « Des initiatives comme le European Cybersecurity Act, qui consiste en un ensemble de règles que les entreprises peuvent suivre pour mieux se protéger par rapport aux risques cyber, n’a que peu d’influence sur notre secteur, estime Lars Weber. C’est une bonne chose, car cela attire l’attention sur un sujet important. Mais les entreprises offrant des services financiers au Luxembourg ont déjà atteint un très haut niveau d’exigence par rapport à la cybersécurité, et ce n’est pas ce texte qui va beaucoup changer les choses. » Les deux experts rappellent également que cette exigence a permis de relever le niveau de sécurité d’autres industries, collaborant étroitement avec le secteur financier, comme les assurances, par exemple.

Lars Weber, CISO – Spuerkeess

Un perfectionnement des attaques

Au fil des années, les types d’attaques lancées par les hackers n’ont que peu évolué. Par contre, celles qu’on connaissait déjà hier se sont perfectionnées. « Les attaques phishing classiques, qu’on repérait à des kilomètres car elles étaient truffées d’énormités grammaticales ou orthographiques, c’est du passé, prévient Thomas Koch. Aujourd’hui, elles sont bien plus sophistiquées. Cela implique une meilleure connaissance de la part des personnes en charge de la cybersécurité et une prise en compte de ces problématiques par l’ensemble de la société. » 

En effet, l’amélioration de la connaissance technique des spécialistes IT d’une entreprise n’est pas suffisante. « La clé pour une lutte efficace contre la menace cyber, c’est de mieux travailler ensemble. Les processus internes doivent être organisés pour que la collaboration soit totale, que le travail soit décloisonné et que le risque cyber soit pris en compte par l’ensemble du business », estime Lars Weber. Les deux experts se félicitent d’ailleurs, à cet égard, de constater que la problématique de la cybersécurité remonte aujourd’hui bien souvent jusqu’au conseil d’administration d’une entreprise. « Il y a un réel intérêt à éduquer tous les collaborateurs à la cybersécurité. C’est d’ailleurs le message que nous faisons passer lors des réunions du Trust & Cybersecurity Committee, explique Thomas Koch. Dans l’industrie financière, comme ailleurs, il est fondamental que les experts en cybersécurité fassent passer le message dans tous les départements. »