Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience

Rapport thématique 2025 du CBEST : Ce que les données révèlent sur la cyberfragilité dans les services financiers

Aishwarya Ramani
Responsable marketing des solutions
Illumio Editorial
Janvier 28, 2026
23 min. lire
Le rapport thématique CBEST 2025

La semaine dernière, la Banque d'Angleterre a remis aux banques et aux organismes d'infrastructure des marchés financiers (FMI) des bulletins d'information sur la cybercriminalité.  

Ce bulletin, le rapport thématique du CBEST, avait l'énergie incomparable du professeur McGonagall tirant Harry Potter à l'écart pour lui rappeler - fermement mais équitablement - que ses ambitions de sorcier exigeaient un niveau beaucoup plus élevé.

Tout comme le professeur McGonagall, les régulateurs jouent leur rôle en veillant à ce que des aspirations élevées exigent des normes élevées.

Les entreprises et les infrastructures des marchés financiers ont passé des années à créer des bibliothèques de contrôle, à définir des règles et à s'aligner sur les meilleures pratiques. CBEST montre cependant un écart évident. Les contrôles qui semblent solides sur le papier échouent souvent sous la pression d'une attaque réelle.

C'est la barre la plus haute que les régulateurs ont l'intention de placer.  

CBEST 2025 : une image de vulnérabilité tranquille

Le rapport thématique CBEST est un cadre de test axé sur les menaces qui simule des attaques réelles. Il aide les banques et les FMI à trouver, comprendre et corriger les faiblesses de leur résilience cybernétique.

Le rapport de cette année a identifié des faiblesses dans la cyber-résilience des principales institutions financières britanniques. Ces questions sont apparues dans cinq domaines connexes :

  • Sécurité des infrastructures et des données
  • Identité et contrôle d'accès
  • sécurité du réseau
  • Détection et réaction
  • Culture et sensibilisation du personnel

Ces lacunes ont été mises en évidence par des tests CBEST basés sur les menaces et réalisés dans des environnements d'entreprise réels, par des fournisseurs accrédités sous contrôle réglementaire.

Sécurité des infrastructures et des données

Les résultats montrent que de nombreuses institutions ont du mal à transformer les plans de sécurité en performances cohérentes dans des conditions d'attaque réelles.

Du point de vue de l'infrastructure et de la sécurité des données, le CBEST a constaté des lacunes dans les contrôles de base. Il s'agit notamment d'une gestion incohérente de la configuration, d'un renforcement et d'une correction insuffisants des systèmes et d'une mauvaise protection des données stockées sur les systèmes.

Des simulations d'attaques ont montré que les terminaux sans correctifs à jour ou sans configuration adéquate étaient faciles à exploiter. La faiblesse du chiffrement a également exposé des données sensibles et des informations d'identification privilégiées.

L'ensemble de ces résultats suggère que les processus de gestion des actifs et de configuration ne réduisent pas systématiquement les risques dans les systèmes qui soutiennent les services critiques des entreprises.

Identité et contrôle d'accès

La faiblesse des contrôles d'identité et d'accès a encore réduit la résilience.

Les tests de CBEST ont révélé que certaines entreprises n'appliquaient pas de pratiques rigoureuses en matière de gestion de l'identité. Les questions les plus fréquentes sont les suivantes

  • Mots de passe faibles ou mauvaise application des normes relatives aux mots de passe
  • Stockage non sécurisé des mots de passe, y compris les fichiers en clair
  • Modèles d'accès accordant plus d'autorisations que nécessaire

Les contrôles insuffisants des comptes d'administrateur et de service ont facilité l'escalade des privilèges par les attaquants et leur déplacement latéral une fois qu'ils ont pénétré dans l'environnement.

Ces résultats montrent que les contrôles d'identité peuvent exister sur le papier mais qu'ils ne sont pas appliqués avec suffisamment de discipline dans la pratique. Une application plus stricte de la législation permettrait de limiter la portée des attaques après une première compromission.

sécurité du réseau

Lasécurité et l'architecture des réseaux sont apparues comme des points faibles évidents.

CBEST a constaté que certaines entreprises ne disposaient pas d'une segmentation efficace entre les systèmes critiques. Dans plusieurs cas, les environnements de développement et de production n'étaient pas correctement séparés. L'impact potentiel d'une violation sur les activités de l'entreprise s'en trouve accru.

Détection et réaction

CBEST a également identifié un schéma inquiétant pour les organisations qui s'appuient sur des outils de détection et de réponse des points d'accès (EDR). CBEST a constaté des lacunes en matière de détection, notamment des faiblesses dans la détection des attaques au moyen d'un système EDR bien réglé et dans la détection de l'exfiltration des données. Une surveillance inefficace du réseau et une inspection limitée du trafic ont permis à l'activité de se fondre dans le trafic légitime et ont permis une connectivité sortante à partir d'appareils non surveillés.

Les attaquants ont évité d'être détectés en abusant des informations d'identification, en s'appuyant sur des outils système intégrés et en se déplaçant latéralement sur le réseau sans déclencher d'alertes. Cela a été possible parce que la conception des réseaux autorisait une trop grande confiance implicite.

L'utilisation limitée des contrôles de moindre privilège au niveau du réseau et des services a augmenté le nombre de systèmes que les attaquants pouvaient atteindre. La faiblesse de la surveillance du réseau et l'inspection limitée du trafic n'ont fait qu'aggraver le problème.  

Dans les simulations, les attaquants ont dissimulé leur activité dans un trafic d'apparence normale et ont établi des connexions sortantes à partir de systèmes qui n'étaient pas étroitement surveillés.

Ces résultats montrent qu'il existe un fossé entre la façon dont la segmentation et le moindre privilège sont compris en théorie et la façon dont ils sont mis en œuvre dans les réseaux de production réels.

Les capacités de détection et de réaction ne correspondaient pas non plus aux modèles de menace utilisés dans les exercices CBEST. Les entreprises dont les alertes sont mal paramétrées ont eu du mal à détecter les attaques à temps. La faiblesse des configurations EDR réduit la visibilité sur les comportements malveillants et l'exfiltration de données. Une mauvaise surveillance du réseau a permis aux attaquants de se fondre dans l'activité légitime.

Culture et sensibilisation du personnel

CBEST souligne également que la culture, la formation et la sensibilisation du personnel sont des faiblesses persistantes.

Le personnel était souvent vulnérable à l'ingénierie sociale. Les informations d'identification étaient souvent stockées dans des endroits non sécurisés, tels que des feuilles de calcul ou des systèmes de fichiers partagés. Les processus du service d'assistance comportant des contrôles d'identité limités ont permis à des attaquants simulés d'obtenir ou d'utiliser abusivement des informations d'identification et d'élargir l'accès.

Le vrai problème : les mouvements latéraux incontrôlés

Un thème relie les faiblesses observées dans les résultats du CBEST. Il n'existe pas de méthode fiable pour contenir les mouvements latéraux après une brèche.

Les attaquants ont volé des informations d'identification et se sont déplacés d'un système à l'autre. Ils ont relevé leur niveau d'accès. Dans de nombreux cas, cela s'est produit avant que les outils de détection ne signalent une activité inhabituelle.

Lorsque les réseaux sont plats, ou presque, les attaquants rencontrent peu de résistance. Ils peuvent agir rapidement et silencieusement, sans retard qui donnerait aux défenseurs le temps de réagir.

C'est là que le risque devient systémique. Si un seul compte d'utilisateur ou un seul serveur peut accéder à des services critiques, des correctifs importants ou de meilleures alertes ne peuvent pas résoudre le problème de conception sous-jacent.

CBEST 2025 montre comment les lacunes au niveau de l'identité, de l'infrastructure, de la conception du réseau, de la surveillance et des pratiques du personnel se combinent pour permettre un mouvement latéral.

Une fois que les attaquants peuvent se déplacer librement à l'intérieur du réseau, les défenses périmétriques et la détection réactive ne peuvent pas arrêter la propagation ou limiter les dégâts.

Comment Illumio comble le fossé des mouvements latéraux dans le secteur bancaire

Illumio fonctionne dans le contexte de CBEST pour une raison claire. Elle résout le problème exact que les régulateurs ne cessent de constater : les attaquants peuvent se déplacer librement une fois qu'ils ont pénétré dans le réseau.

CBEST montre que les organisations investissent massivement dans les outils d'identité, la sécurité de l'infrastructure, les pare-feu et la surveillance. Malgré cela, les attaquants parviennent à leurs fins. Ils explorent les systèmes, se déplacent dans le réseau et élargissent l'accès après l'entrée.

Illumio est conçu pour cette réalité. Il crée des frontières solides à l'intérieur du réseau, là où de nombreux contrôles sont les plus faibles.

Au lieu de dépendre de contrôles d'identité parfaits, de correctifs parfaits ou d'une détection parfaite, Illumio limite les mouvements par la conception. CBEST montre clairement que la perfection ne résiste pas à la pression réelle.

Voici pourquoi Illumio se distingue.

1. Il bloque les mouvements latéraux, quelle que soit la manière dont l'attaquant accède au site.

Si les informations d'identification sont volées, si l'authentification multifactorielle (MFA) est contournée ou si un appareil est compromis, Illumio empêche les attaquants d'aller au-delà du premier système.

Contrairement aux pare-feu ou aux outils d'identité, Illumio ne dépend pas d'une configuration parfaite ailleurs.

2. Il permet de segmenter sans redessiner le réseau.

‍CBESTmontre que de nombreuses entreprises peinent à mettre en œuvre la segmentation parce que les approches basées sur les réseaux sont lentes et risquées.

Illumio sépare la segmentation du réseau lui-même. Les entreprises peuvent mettre en place une communication à moindre privilège entre les charges de travail sans modifier les VLAN, les règles de pare-feu ou la configuration du réseau.

3. Il rend le trafic interne visible

‍CBESTtesters exploitent souvent les angles morts du trafic est-ouest. Illumio fournit des vues en temps réel de la façon dont les systèmes communiquent réellement. Cela permet d'exposer les dépendances cachées, les chemins risqués et la confiance inutile sur laquelle s'appuient les attaquants.

4. Il complète le système EDR en contenant ce qui échappe à la détection.

‍Lesoutils de détection et de réponse (EDR) sont très efficaces pour détecter les activités malveillantes sur les postes de travail individuels. Cependant, ils ne peuvent pas empêcher les attaquants disposant d'informations d'identification valides de se déplacer latéralement.

Illumio comble cette lacune en bloquant les chemins dont les attaquants ont besoin. Même lorsque les outils de gestion des points d'accès ne détectent pas les premiers signes de compromission, Illumio empêche un petit problème de se propager dans l'ensemble de l'environnement.

En bref, Illumio s'attaque directement aux faiblesses structurelles révélées par CBEST. Il réduit l'impact lorsque d'autres contrôles échouent.

CBEST montre à quel point de nombreuses institutions sont aujourd'hui exposées. Illumio vous montre comment survivre à cette exposition.

Illumio ne remplace pas les contrôles de sécurité existants. Il compense leurs limites. Lorsque les attaquants contournent ou évitent les autres défenses, Illumio veille à ce que l'environnement tienne. Il contient la brèche, limite les dégâts et favorise le rétablissement.

Pourquoi la résilience prouvée dépend de l'endiguement des brèches

La lecture de CBEST du début à la fin révèle un schéma clair. Une grande partie du système financier dépend non pas d'une résilience avérée, mais de l'hypothèse que les contrôles de sécurité fonctionneront comme prévu.

CBEST indique clairement que les régulateurs attendent de la sécurité qu'elle soit mesurable, testable et intégrée dans la conception du système. Bien que la fragilité ne soit pas nommée directement, les conclusions y font référence tout au long du rapport.

En fin de compte, le message est simple. L'endiguement des brèches est le seul moyen pratique de faire face à ce risque.

Explorez Illumio Insights gratuitement aujourd'hui pour exposer les types de problèmes de sécurité que CBEST ne cesse de découvrir.

Aishwarya Ramani
Responsable marketing des solutions
Illumio Editorial
Janvier 28, 2026
23 min. lire
Banque & Services financiers
Contactez-nous
Partager

Articles connexes

Nouveau rapport du FinCEN sur les rançongiciels : Les banques doivent contenir le risque de matérialité
Isolation des ransomwares

Nouveau rapport du FinCEN sur les rançongiciels : Les banques doivent contenir le risque de matérialité

Découvrez le dernier rapport du FinCEN sur les ransomwares et apprenez pourquoi les banques doivent gérer le risque de matérialité et utiliser le confinement des brèches pour éviter la divulgation et les retombées.

En savoir plus
Banque & Services financiers
Isolation des ransomwares
Deux brèches, une banque : Les leçons de la crise cybernétique de l'ICBC
Cyber-résilience

Deux brèches, une banque : Les leçons de la crise cybernétique de l'ICBC

Découvrez les leçons essentielles tirées de la cybercrise de l'ICBC, où deux brèches majeures - un ransomware aux États-Unis et un vol de données à Londres - ont révélé des vulnérabilités systémiques dans le secteur bancaire mondial.

En savoir plus
Banque & Services financiers
Conformité
10 façons dont Illumio simplifie le confinement des brèches et le rend plus efficace
Segmentation

10 façons dont Illumio simplifie le confinement des brèches et le rend plus efficace

Découvrez comment Illumio simplifie l'endiguement des brèches grâce à un déploiement rapide, une visibilité unifiée et un endiguement en un clic qui font passer la confiance zéro de complexe à sans effort.

En savoir plus
Aucun élément n'a été trouvé.
Dissiper les mythes sur la sécurité des hôtes dans la région Asie-Pacifique
Cyber-résilience

Dissiper les mythes sur la sécurité des hôtes dans la région Asie-Pacifique

Découvrez comment les solutions de micro-segmentation basées sur l'hôte et axées sur le Zero Trust peuvent renforcer vos pratiques de sécurité dans la région APAC et dans le monde entier.

En savoir plus
Aucun élément n'a été trouvé.
Faut-il s'inquiéter d'une trop grande dépendance de la cybersécurité à l'égard de l'IA ?
Cyber-résilience

Faut-il s'inquiéter d'une trop grande dépendance de la cybersécurité à l'égard de l'IA ?

Découvrez pourquoi l'IA est un atout pour la cybersécurité malgré ses faiblesses et comment la combinaison de la puissance de l'IA et de l'intelligence humaine peut atténuer les craintes d'une dépendance excessive à l'égard de l'IA.

En savoir plus
Aucun élément n'a été trouvé.
Il ne faut pas faire confiance à l'IA : Pourquoi comprendre cela peut être transformateur
Cyber-résilience

Il ne faut pas faire confiance à l'IA : Pourquoi comprendre cela peut être transformateur

Découvrez pourquoi le directeur technique et cofondateur d'Illumio pense que la frontière technologique de l'IA "" est plus petite qu'il n'y paraît - et comment cela influence la façon dont nous utilisons l'IA.

En savoir plus
Illumio Labs

Découvrez Illumio Insights dès aujourd'hui

Découvrez comment l'observabilité alimentée par l'IA vous aide à détecter, comprendre et contenir les menaces plus rapidement.
Essayez Illumio Insights