Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience

Confiance, accréditation, danger : La nouvelle menace d'initiés à laquelle sont confrontées les banques

Aishwarya Ramani
Responsable marketing des solutions
Illumio Editorial
Avril 2, 2026
23 min. lire

Lorsqu'une chose devient la nouvelle norme, elle cesse d'être enregistrée. Les banques sont la cible de cybermenaces. Les acteurs géopolitiques attaquent leurs adversaires. Les intrusions quotidiennes en matière de sécurité font à peine les gros titres.  

Baillez. Nous sommes mardi.  

Voici ce qui n'est pas normal : les attaquants sont déjà à l'intérieur de votre réseau et leur motivation n'est pas l'argent comme nous sommes conditionnés à le croire.  

Le Trésor américain a confirmé en mars 2026 que les informaticiens nord-coréens avaient généré près de 800 millions de dollars en s'installant dans les réseaux d'entreprises américaines sur des listes de paie légitimes. Cet argent a été affecté à des activités militaires et politiques, et non à des gains personnels.  

Dans le même temps, l'Iran a publiquement désigné des banques américaines comme cibles militaires et a déployé des logiciels malveillants de type "wiper" au moyen d'identifiants d'administrateur volés. Il ne s'agissait pas de voler de l'argent, mais de supprimer des serveurs et d'arrêter complètement les opérations.  

Il s'agit de travaux internes, exécutés grâce à un accès qui a été accordé, et non volé.  

L'accès sécurisé est devenu la voie d'attaque et expose une faille que les contrôles de sécurité traditionnels n'ont jamais été conçus pour combler.  

Pour y remédier, les banques doivent s'efforcer de limiter les mouvements latéraux et de contenir les menaces déjà présentes dans leur environnement, et pas seulement d'empêcher l'accès initial.  

L'accès légitime est un vecteur d'attaque majeur

Les menaces d'origine étatique qui ciblent actuellement les banques ont un point commun. L'attaque ne franchit pas vos défenses. Il devient eux.  

Lors de la récente conférence RSA à San Francisco, Andy Ozmet, Chief Technology Risk Officer de Capital One, a averti que des agents nord-coréens s'assuraient un emploi à distance dans des institutions financières américaines en utilisant des identités américaines volées.  

Ils sont soumis à des vérifications d'antécédents, reçoivent des ordinateurs portables d'entreprise et se connectent aux réseaux bancaires avec des identifiants valides délivrés par les institutions elles-mêmes. Le FBI a averti depuis janvier 2025 que ces travailleurs volent également des données propriétaires et se positionnent en vue d'un sabotage à long terme.  

En outre, à la suite des frappes militaires américaines et israéliennes de la fin février 2026, le commandement militaire iranien a publié une déclaration publique désignant explicitement les banques liées aux États-Unis comme des cibles militaires. Quelques jours plus tard, l'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a émis une alerte d'urgence à l'intention des institutions financières, confirmant que le vecteur de menace était déjà utilisé.  

Le groupe Handala Hack, lié à l'Iran, avait fait la démonstration de cette méthode. Ils volent les informations d'identification d'un administrateur par hameçonnage, se connectent à Microsoft Intune avec un accès légitime et effacent des dizaines de milliers de systèmes dans des dizaines de pays.  

Dans les deux cas, les attaquants sont accrédités, fiables et se déplacent librement sur votre réseau.  

L'angle mort auquel les banques n'ont pas remédié

Le rapport mondial 2026 Cost of Insider Risks de l' Institut Ponemon fait état de nombreux cas où des employés de banque ont utilisé un accès légitime pour aider des réseaux criminels. Il s'agit notamment d'un spécialiste de la détection des fraudes qui a partagé des données financières de clients avec un réseau criminel, et d'un employé de banque emprisonné pour avoir blanchi des fonds pour le compte de criminels.

Il ne s'agit pas d'informations d'identification volées. Il s'agissait d'employés dont les antécédents avaient été vérifiés et qui disposaient d'un accès valide. L'hypothèse selon laquelle une identité connue équivaut à un comportement fiable est erronée, et ce depuis des années.  

Ce qui rend le moment actuel structurellement différent, c'est le point d'entrée de cet exploit. Lors de la conférence RSAC 2026, M. Ozmet a expliqué que les recruteurs ont tendance à se considérer comme le visage amical de l'institution plutôt que comme des gestionnaires de risques d'entreprise.  

Il en résulte que le processus d'embauche - le moment où un agent étranger reçoit des informations d'identification valides de la part de votre équipe informatique - se déroule dans un no man's land organisationnel où personne n'est responsable du mandat de sécurité.  

Les banques ont mis en place des défenses à plusieurs niveaux autour de leurs réseaux. Ils n'ont pas construit de défenses équivalentes autour du processus qui détermine qui a accès à ces réseaux en premier lieu.  

C'est l'angle mort. Et il ne s'agit pas d'un fossé technologique. Il s'agit d'un déficit de gouvernance.  

La surveillance des fraudes a été conçue pour détecter les anomalies financières, telles que les transactions inhabituelles, les transferts suspects ou les écarts de comportement par rapport aux habitudes de consommation. Il n'a jamais été conçu pour détecter un agent politiquement motivé qui se présente à l'heure, fait son travail et se déplace latéralement dans vos systèmes avec une parfaite plausibilité.  

Le contrôle des transactions ne permet pas de retrouver un agent nord-coréen qui ne vole pas d'argent. Les contrôles du périmètre ne peuvent pas arrêter un acteur iranien qui possède déjà le mot de passe de l'administrateur.  

Les contrôles dans lesquels la plupart des banques ont investi le plus massivement sont précisément les mauvais outils pour la menace à laquelle elles sont confrontées aujourd'hui.  

Votre régulateur se pose la même question

Le mars 3, 2026 - neuf jours avant que l'Iran ne désigne publiquement les banques américaines comme des cibles militaires - le Département des services financiers de l'État de New York (NYDFS) a envoyé une lettre aux RSSI de toutes les institutions qu'il réglemente.  

Le NYDFS a mis en évidence trois contrôles spécifiques :  

Lisez ces trois contrôles par rapport à tout ce qui précède et l'alignement n'est pas une coïncidence :  

  • Accès au moindre privilège. Cela limite la distance qu'un attaquant accrédité, qu'il s'agisse d'un agent nord-coréen ou d'un acteur iranien dont les droits d'administration ont été volés, peut parcourir une fois à l'intérieur. ‍
  • Surveillance des activités non autorisées. C'est ainsi que vous détectez les mouvements latéraux d'une personne qui a passé le processus d'embauche. ‍
  • Tests de résilience opérationnelle. Ce site vous permet de vérifier - et non de supposer - que votre architecture de confinement fonctionne réellement sous pression.  

Le NYDFS ne décrit pas les exigences futures. Chaque institution réglementée par le NYDFS doit certifier sa conformité à la partie 500 pour le mois d'avril 15, 2026.  

La conversation sur la réglementation et la conversation sur la menace ne font plus qu'un. La plupart des banques les placent encore dans des pièces séparées.  

La question qui compte vraiment

Les banques ont passé des années à construire des murs pour empêcher les menaces d'entrer. Mais ces murs sont inutiles contre un accès légitime. Qu'un agent soit embauché directement, qu'il vole ses références ou qu'il utilise une doublure physique pour un test de dépistage de drogues, il a déjà franchi la porte.  

Voici la question à laquelle chaque RSSI doit pouvoir répondre :  

Si un utilisateur accrédité de votre réseau commençait à se déplacer latéralement en ce moment même, jusqu'où irait-il, à quelle vitesse le sauriez-vous et qu'est-ce qui l'arrêterait ?  

La question n'est plus de savoir si les banques doivent agir pour contenir les mouvements latéraux. Il s'agit de savoir si les banques peuvent montrer qu'elles ont agi - à leur conseil d'administration, à leur autorité de régulation et à elles-mêmes.  

Voyez comment Illumio aide les institutions financières réduire les risques et maintenir la résilience opérationnelle.

Aishwarya Ramani
Responsable marketing des solutions
Illumio Editorial
Avril 2, 2026
23 min. lire
Banque & Services financiers
Contactez-nous
Partager

Articles connexes

Rapport thématique 2025 du CBEST : Ce que les données révèlent sur la cyberfragilité dans les services financiers
Cyber-résilience

Rapport thématique 2025 du CBEST : Ce que les données révèlent sur la cyberfragilité dans les services financiers

Découvrez comment CBEST 2025 met en évidence la cyberfragilité cachée des institutions financières britanniques et pourquoi l'endiguement des brèches est essentiel lorsque les attaquants se déplacent librement après la compromission.

En savoir plus
Banque & Services financiers
Nouveau rapport du FinCEN sur les rançongiciels : Les banques doivent contenir le risque de matérialité
Isolation des ransomwares

Nouveau rapport du FinCEN sur les rançongiciels : Les banques doivent contenir le risque de matérialité

Découvrez le dernier rapport du FinCEN sur les ransomwares et apprenez pourquoi les banques doivent gérer le risque de matérialité et utiliser le confinement des brèches pour éviter la divulgation et les retombées.

En savoir plus
Banque & Services financiers
Isolation des ransomwares
3 moyens pratiques d'obtenir l'adhésion à vos projets de cybersécurité
Cyber-résilience

3 moyens pratiques d'obtenir l'adhésion à vos projets de cybersécurité

Apprenez trois méthodes éprouvées pour obtenir l'adhésion des dirigeants aux projets de cybersécurité en alignant les objectifs, en racontant des histoires qui tiennent la route et en instaurant une véritable confiance.

En savoir plus
Cyber-résilience
La nouvelle ligne de conduite de l'Australie : 5 nouvelles priorités de l'ASD et de l'AICD en matière de sécurité
Cyber-résilience

La nouvelle ligne de conduite de l'Australie : 5 nouvelles priorités de l'ASD et de l'AICD en matière de sécurité

Découvrez ce que les conseils d'administration australiens doivent savoir sur les nouvelles priorités de l'ASD et de l'AICD en matière de cybersécurité pour 2025-26 et comment Illumio aide les organisations à renforcer leur résilience et leur gouvernance.

En savoir plus
Cyber-résilience
Les 4 changements d'état d'esprit nécessaires pour sécuriser l'informatique dématérialisée
Cyber-résilience

Les 4 changements d'état d'esprit nécessaires pour sécuriser l'informatique dématérialisée

Lisez les quatre changements d'état d'esprit que les entreprises doivent opérer pour sécuriser l'informatique dématérialisée.

En savoir plus
Aucun élément n'a été trouvé.
Approches en matière de cyber-résilience, nouveaux outils Illumio et le podcast Hacking Humans
Cyber-résilience

Approches en matière de cyber-résilience, nouveaux outils Illumio et le podcast Hacking Humans

La couverture médiatique d'Illumio en avril montre le travail innovateur qu'Illumio accomplit pour être un chef de file dans l'industrie de la sécurité.

En savoir plus
Aucun élément n'a été trouvé.

Découvrez Illumio Insights dès aujourd'hui

Découvrez comment l'observabilité alimentée par l'IA vous aide à détecter, comprendre et contenir les menaces plus rapidement.
Essayez Illumio Insights