Nouveau rapport du FinCEN sur les rançongiciels : Les banques doivent contenir le risque de matérialité

Il y a de bonnes nouvelles concernant les ransomwares ? Nous le prenons !

Selon un nouveau rapport du Financial Crimes Enforcement Network (FinCEN) du Trésor américain, les banques ont payé 370 millions de dollars de rançons en 2024. Il s'agit d'une baisse significative par rapport au 1,1 milliard de dollars de l'année précédente.  

Cette baisse reflète le renforcement des mesures d'application de la loi contre les gangs de ransomware et la résilience croissante du secteur financier.

La moins bonne nouvelle : le rapport reconnaît que la plupart des incidents de ransomware dans le secteur bancaire ne sont jamais signalés. Pourquoi ? Les lois sur la divulgation des incidents dans le secteur bancaire reposent sur l'importance relative.

Dans ce secteur, c'est la matérialité - l'impact financier, et non la fréquence des attaques - qui détermine si une violation doit être divulguée, signalée aux autorités de régulation ou expliquée au conseil d'administration.  

Il s'agit d'un indicateur de risque et d'une cible mouvante. Si cela limite les informations publiées, cela signifie également qu'il suffit d'une seule infraction pour déclencher des retombées publiques.

C'est pourquoi il est essentiel pour le secteur financier de limiter les brèches. C'est le moyen le plus sûr de s'assurer qu'un cyberincident reste limité et sans gravité avant qu'il ne se transforme en crise commerciale.

Ce billet analyse les dernières tendances en matière de ransomware dans les services financiers, la façon dont la matérialité façonne les obligations de déclaration et la raison pour laquelle l'endiguement est votre meilleure défense contre les risques réglementaires et les atteintes à la réputation.

Tendances des ransomwares dans les services financiers : principales conclusions du dernier rapport

Selon le tout nouveau rapport du Financial Crimes Enforcement Network (FinCEN) du Trésor américain, intitulé Ransomware Trends in Bank Secrecy Act Data Between 2022 and 2024, le secteur des services financiers est le plus durement touché par les ransomwares, avec l'industrie manufacturière et les soins de santé.

Entre janvier 2022 et décembre 2024, les institutions financières ont déposé 7 395 déclarations au titre du Bank Secrecy Act (BSA) liées à 4 194 incidents de ransomware. Ils ont fait état de plus de 2,1 milliards de dollars de paiements de rançons.  

Ces données soulignent l'ampleur des risques encourus par le secteur financier. Avec une forte concentration de données sensibles, de systèmes critiques et d'actifs de valeur, c'est une cible évidente et fréquente pour les attaquants de ransomware.

Il y a des nouvelles encourageantes : les paiements de rançons ont tendance à diminuer. Le paiement médian est passé de 175 000 dollars en 2023 à 155 257 dollars en 2024.

Cependant, le FinCEN prévient que ces chiffres ne reflètent probablement pas toute la réalité. De nombreux incidents ne font jamais l'objet de rapports officiels, ce qui signifie que l'ampleur réelle de l'activité des ransomwares est probablement beaucoup plus élevée.

Toutes les organisations n'étalent pas leur linge sale en matière de ransomware

En réalité, de nombreux incidents de sécurité ne sont jamais signalés, en particulier dans les services financiers. Souvent, il n'y a pas d'obligation de les signaler.

Le FBI estime que seulement 15% de tous les cybercrimes sont signalés, y compris les attaques par ransomware.  

Les règles de notification sont limitées car de nombreuses lois ne s'appliquent que lorsque des données sensibles sont exposées. De plus, les seuils de matérialité sont souvent vagues, ce qui laisse place à l'interprétation et permet à de nombreux incidents de rester dans l'ombre.

Comment la définition de l'importance relative de la SEC influe sur ce qui est publié

Selon les règles de la Securities and Exchange Commission (SEC), les institutions financières cotées en bourse doivent divulguer les cyberincidents "importants" dans un délai de quatre jours ouvrables. Le terme "important" signifie que l'incident pourrait affecter les investisseurs ou la santé financière de l'entreprise.

La difficulté réside dans le fait que la matérialité est subjective. Si les systèmes de base se rétablissent rapidement ou si aucune donnée financière sensible n'est exposée, de nombreuses entreprises décident que l'incident n'est pas significatif et qu'il n'est pas nécessaire de le divulguer.

La plupart des lois relatives à la notification des violations dans le secteur financier ne s'appliquent que lorsque des données personnelles ou des données financières de clients sont concernées.  

Si le ransomware crypte les systèmes mais ne touche pas aux dossiers sensibles, les règles de signalement peuvent ne pas s'appliquer. Dans de nombreux cas, l'incident n'est pas signalé.

Autres éléments à prendre en compte pour la déclaration d'une infraction bancaire

Par ailleurs, les banques privées et les institutions financières non publiques ne sont souvent pas tenues de signaler les cyberattaques.  

Sauf règles spécifiques, ils peuvent choisir de divulguer ou non un incident. Sans pression juridique, de nombreuses attaques restent cachées.

La décision ne concerne pas seulement les règles. Les banques s'inquiètent également des dommages qu'une violation publique peut causer. Ils risquent des amendes, des poursuites judiciaires et une perte de confiance de la part des clients.

Pour éviter cela, certaines entreprises paient la rançon discrètement. D'autres s'appuient sur les sauvegardes pour restaurer rapidement les systèmes.  

Si les opérations reviennent rapidement à la normale, l'incident reste souvent confidentiel, en particulier dans le secteur bancaire où le maintien des services est essentiel.

Pourquoi la matérialité est le véritable risque dans le secteur bancaire

Pour les organisations financières, la matérialité est la seule mesure qui compte lorsque la pression est forte.  

Vous connaissez déjà la chanson : chaque fois qu'un incident se produit, les équipes de sécurité des banques s'interrogent :

• Les liquidités seront-elles touchées ?  
• Les régulateurs vous appelleront-ils ?  
• Le conseil d'administration voudra-t-il des réponses ?

Dans le cas des ransomwares, une seule faille peut faire basculer rapidement le seuil de matérialité. Cela pourrait vous faire passer d'un rétablissement tranquille à un désastre en termes de relations publiques nécessitant la déclaration obligatoire d'une violation.  

Le confinement est la meilleure défense du secteur financier

Il est utile de comprendre l'ampleur du problème des ransomwares dans le secteur bancaire, mais ce n'est pas ce qui intéresse votre conseil d'administration. Ils ne suivent pas le volume global des attaques ni les paiements médians de rançons.

Une seule chose les préoccupe : cette attaque va-t-elle se concrétiser ?

La matérialité est synonyme d'impact sur les entreprises. Si une attaque devient importante, elle peut perturber les systèmes centraux, exposer des données sensibles, porter atteinte à la confiance et déclencher des sanctions réglementaires en vertu de règles telles que la loi sur les opérations numériques et la résilience (DORA) de l'UE et le Conseil fédéral d'examen des institutions financières (FFIEC).

C'est pourquoi il est essentiel de limiter les brèches. Elle limite les incidents, bloque les mouvements latéraux, réduit le rayon d'action et vous maintient en dessous du seuil de matérialité.

L'endiguement permet d'éviter la divulgation d'informations au public. C'est ainsi que vous ne ferez pas les gros titres - et que vous ne serez pas soumis à la fenêtre d'information de quatre jours de la SEC.

Préparez-vous aux attaques de ransomware avec Illumio

Votre équipe de sécurité protège votre réseau comme les défenseurs protègent la zone d'en-but. Le confinement est la meilleure façon d'éviter qu'un cyberincident ne prenne de l'ampleur.

Avec le confinement des brèches d'Illumio, même si les attaquants s'introduisent, les dommages restent limités. Ils ne peuvent pas se déplacer sur votre réseau, atteindre des systèmes critiques ou voler des données sensibles.

Voici ce qu'Illumio vous aide à faire :

• Réduit le rayon de l'explosion. Bloquez les voies d'attaque courantes telles que le protocole de bureau à distance (RDP), le bloc de messages du serveur (SMB) et PsExec dans les systèmes bancaires. ‍
• Arrêtez la double extorsion. Limitez l'accès aux données financières et aux dossiers des clients. ‍
• Restez en conformité. Respectez les règles de la FFIEC, de la DORA et de la SEC en maintenant les violations en dessous du seuil de matérialité.

Vous ne pouvez pas contrôler le moment où les lois changent ou les tentatives des attaquants, mais avec Illumio, vous pouvez contrôler la portée d'une attaque.

Lorsque les enjeux sont matériels, le confinement n'est pas facultatif.

La conclusion du dernier rapport du FinCEN sur les ransomwares concerne ce que ces chiffres ne reflètent pas.

Les rançongiciels ne sont pas près de disparaître et, dans le secteur des services financiers, il suffit d'une seule violation pour franchir le seuil de matérialité et déclencher tout ce qui en découle : surveillance réglementaire, divulgation publique, atteinte à la réputation et pertes financières.

En réalité, les responsables de la sécurité dans les secteurs de la banque et de l'assurance ne sont pas évalués en fonction du nombre d'attaques qu'ils préviennent, mais en fonction de la transformation des incidents en événements commerciaux.  

C'est pourquoi la stratégie doit consister à limiter les brèches. C'est la différence entre une menace contenue et une crise qui fait les gros titres.

Essayez Illumio Insights gratuit dès aujourd'hui pour bénéficier d'une observabilité alimentée par l'IA et d'un confinement en un clic pour votre environnement bancaire hybride multi-cloud.