/
Cyber-résilience

Deux failles, une banque : les leçons de la cybercrise de l'ICBC

Fin 2023, une perturbation majeure s'est répercutée sur le marché du Trésor américain de 26 billions de dollars. Les transactions bancaires ont été interrompues. Les systèmes de communication se sont effondrés. Des milliards de dollars étaient en danger.

La source ? Une attaque de rançongiciel a ciblé l'une des plus grandes banques du monde : la Banque industrielle et commerciale de Chine (ICBC).

Moins d'un an plus tard, la banque a été confrontée à une nouvelle faille, cette fois dans sa succursale de Londres.

« L'ICBC a fait face au pire des deux mondes », explique Raghu Nandakumara, directeur principal du marketing des solutions industrielles chez Illumio. « Des interruptions de service ont eu lieu en 2023, suivies d'une violation de données en 2024. »

Les deux incidents ont révélé des vulnérabilités systémiques dans les opérations bancaires mondiales et ont soulevé des questions quant à la résilience du secteur financier face à des cybermenaces sophistiquées.

À y regarder de plus près : anatomie de deux failles

Novembre 2023 : attaque par rançongiciel ICBC aux États-Unis

En novembre 2023, le Groupe LockBit a lancé son attaque calculée par rançongiciel contre l'unité de courtage américaine d'ICBC.

Cette grève a perturbé des systèmes clés essentiels à la gestion des transactions du Trésor américain et au financement des prises en pension.

En conséquence, les autorisations commerciales ont été interrompues et les retards de paiement se sont répercutés sur le marché.

Informations clés sur les impacts opérationnels et financiers

  • Arrêts du système: Les principales plateformes de règlement des paiements et de compensation des transactions étaient inaccessibles pendant des jours.
  • Actions d'urgence: ICBC a injecté du capital dans sa division américaine afin de stabiliser ses activités après avoir contracté une dette de 9 milliards de dollars envers BNY Mellon, soit plus que le capital net de la division.
  • Solutions de contournement: Les employés de la banque utilisaient des clés USB pour traiter les transactions manuellement. Pendant la crise, ils ont utilisé Gmail au lieu de leurs e-mails professionnels, ce qui a soulevé des problèmes de sécurité.

La réponse de la SEC

La Securities and Exchange Commission (SEC) des États-Unis a enquêté sur la violation de l'ICBC en 2023 et a découvert des problèmes de tenue de registres et de communication.

Ils n'ont infligé aucune amende. Mais l'incident l'a clairement montré : la résilience opérationnelle n'est pas négociable.

« La réponse de la SEC a été intéressante : une petite tape sur les doigts en disant « Ne laissez pas cela se reproduire ». Tout en reconnaissant la transparence et la rapidité de la réponse de l'ICBC. » — Raghu Nandakumara

Septembre 2024 : violation de données dans la succursale ICBC de Londres

Moins d'un an plus tard, le groupe de rançongiciels Hunters International a piraté la succursale londonienne de l'ICBC.

Les attaquants ont volé 6,6 téraoctets de données, y compris des informations sensibles sur les clients et des fichiers opérationnels internes.

« Le défi de l'exfiltration de données réside dans l'inconnu : comment les attaquants utiliseront-ils ces données à l'avenir ? » — Raghu Nandakumara

Principaux détails de l'incident ICBC de 2024

  • Demandes de rançon : Les attaquants ont menacé de publier les données si leurs demandes financières n'étaient pas satisfaites.
  • Réputation mondiale : La brèche a mis en lumière les vulnérabilités systémiques de l'ICBC et a soulevé des questions quant à sa sécurité opérationnelle transfrontalière.
« Les failles ICBC de 2023 et 2024 ont révélé des failles critiques dans leurs défenses de sécurité, ce qui montre que, malgré les engagements d'amélioration, le changement ne se produit pas du jour au lendemain. » — Raghu Nandakumara

Le secteur bancaire mondial est-il en danger ?

Comment la faiblesse d'une succursale pourrait-elle mettre en danger l'ensemble d'une institution, et ses opérations mondiales ?

Les failles de l'ICBC, d'abord aux États-Unis puis à Londres, ont montré exactement comment : les attaques ont perturbé les opérations, porté atteinte à la réputation de la banque et révélé des failles critiques dans ses défenses en matière de cybersécurité.

Raghu explique : « Les failles de l'ICBC ont révélé une dure vérité : un seul point faible, dans une succursale ou un système, peut mettre en danger l'ensemble du réseau. »

Les deux failles de l'ICBC ont révélé des faiblesses majeures dans le fonctionnement de ses opérations financières :

  • Dépendances du système: L'attaque américaine a montré à quel point les systèmes commerciaux interconnectés sont fragiles, où un point de défaillance unique peut perturber les marchés du monde entier.
  • Incohérences transfrontalières: La brèche de Londres a révélé des lacunes dans les protocoles de cybersécurité harmonisés.
  • Vulnérabilités liées: Les deux incidents ont révélé les risques opérationnels liés à l'utilisation de solutions temporaires non sécurisées, telles que le trading manuel ou des plateformes de messagerie non sécurisées.
« Supposons que la violation est une réalité. Les attaques sont inévitables. Les failles de l'ICBC en sont un exemple. » — Raghu Nandakumara

Suivi des failles financières majeures

Les failles de sécurité de l'ICBC s'inscrivent dans une tendance croissante aux cyberattaques visant les institutions financières.

Les principaux incidents sont les suivants :

  • 2015 Gang Carbanak: Ce groupe de cybercriminels a volé plus d'un milliard de dollars en utilisant des logiciels malveillants pour pirater des banques et modifier le solde de leurs comptes.
  • 2016 Braquage de banque au Bangladesh: Des pirates informatiques ont volé 81 millions de dollars sur le compte de la Bangladesh Bank auprès de la Federal Reserve Bank en exploitant les vulnérabilités du système de paiement SWIFT.
  • 2017 Equifax Data Breach: Il s'agit de l'une des plus importantes breach de données de l'histoire, touchant 147 millions de personnes. Les pirates informatiques ont découvert une faille dans l'application Web d'Equifax et l'ont utilisée pour accéder à des informations personnelles sensibles.
  • 2018 Attaque de Cosmos Bank: Des cybercriminels ont volé 13,5 millions de dollars en piratant le serveur de guichets automatiques de la banque pour déclencher de fausses transactions.
  • 2019 Brèche de données dans Capital One: Un ancien employé a exploité un pare-feu mal configuré pour accéder aux données personnelles de plus de 100 millions de clients.
  • 2020 Attaque du ransomware Finastra: Le géant de la fintech a été touché par une attaque de rançongiciel qui a perturbé ses services et ses opérations.
  • 2021 Attaque de ransomware CNA Financial: L'une des plus grandes compagnies d'assurance américaines a payé 40 millions de dollars après qu'une cyberattaque ait chiffré ses données.
  • 2022 Piratage du réseau Ronin: Les pirates informatiques ont volé 625 millions de dollars au réseau de jeux basé sur la blockchain, affectant les transactions financières de l'écosystème.
  • 2023 Attaque de ransomware ICBC: Le groupe LockBit a attaqué la division américaine des services financiers d'ICBC à l'aide d'un ransomware, perturbant ainsi les transactions du Trésor américain.
  • 2023 Brèche de données MOVEit Transfer: Une faille dans le logiciel MOVEit Transfer a révélé des données sensibles provenant de plusieurs institutions financières.
  • 2024 Attaque de rançongiciel ICBC London: Le groupe de rançongiciels Hunters International a volé 6,6 téraoctets de données à la succursale londonienne de l'ICBC et a menacé de les publier si ses demandes n'étaient pas satisfaites.
  • 2024 Attaque contre un fournisseur de services informatiques dans le cloud: Une attaque par rançongiciel contre un fournisseur informatique dans le cloud a provoqué des pannes dans 60 coopératives de crédit américaines, mettant en évidence les risques liés au recours à des tiers.

Le braquage d'une banque au Bangladesh en 2016 : un tournant

  • Ce qui s'est passé : En février 2016, des cybercriminels ont exploité les faiblesses du système de paiement SWIFT pour dérober 81 millions de dollars à Compte bancaire du Bangladesh à la Federal Reserve Bank de New York.
  • Comment ils l'ont fait : Les pirates informatiques ont installé des logiciels malveillants pour espionner les systèmes de la banque. Ils ont observé les transactions SWIFT, les ont manipulées et ont envoyé des demandes de transfert frauduleuses. Ils visaient près d'un milliard de dollars, mais une faute de frappe dans une demande a éveillé les soupçons et mis fin à l'attaque rapidement.
  • Incidence: Le cambriolage a entraîné d'importantes pertes financières et une atteinte à la réputation, révélant les faiblesses des protocoles de transfert interbancaires et la nécessité de renforcer les mesures de sécurité.
  • Principaux points à retenir :
    • Les systèmes de paiement sécurisés sont essentiels : Les systèmes interbancaires tels que SWIFT nécessitent des protocoles de sécurité robustes pour empêcher toute manipulation.
    • Une surveillance constante est essentielle : Une détection précoce grâce à la surveillance et à des alertes d'anomalies aurait pu réduire l'impact.

Comment DORA façonne la cyberrésilience du secteur financier

L'UE Loi sur la résilience opérationnelle numérique (DORA) fournit un cadre permettant de remédier à de nombreuses vulnérabilités révélées par ces failles.

DORA met l'accent sur :

  • Tests de résilience : S'assurer que les systèmes peuvent résister à des cyberattaques sophistiquées
  • Signalement des incidents : Instaurer la transparence et la responsabilité en cas de violations
  • Gestion proactive des risques : Identifier et atténuer les risques opérationnels avant que les incidents ne se produisent
« L'objectif de réglementations telles que DORA est simple : empêcher les cyberattaques de causer des dommages majeurs, que ce soit à une seule entreprise ou à l'ensemble du système financier. » — Raghu Nandakumara

Alors que les cybercriminels évoluent, la série de cyberattaques contre le secteur financier entre 2015 et 2024 met en lumière deux besoins urgents : des cadres réglementaires solides et une cyberrésilience accrue au sein des services financiers et de leurs principaux prestataires de services.

Vous souhaitez en savoir plus sur la conformité DORA ? Téléchargez notre livre électronique gratuit, Stratégies de conformité à la DORA : le rôle clé de la microsegmentation.

Sources :

Sujets connexes

Articles connexes

L'histoire et les défis des pare-feux de nouvelle génération
Cyber-résilience

L'histoire et les défis des pare-feux de nouvelle génération

Découvrez la dynamique des pare-feux de nouvelle génération (NGFW), leurs défis liés à la complexité et les innovations futures possibles.

Quels sont les critères communs et comment obtenir une certification
Cyber-résilience

Quels sont les critères communs et comment obtenir une certification

Illumio Core a obtenu une autre certification de sécurité gouvernementale importante appelée Common Criteria. Illumio est devenu le premier fournisseur de solutions de sécurité d'entreprise à être certifié par le National Information Assurance Partnership (NIAP)

Appel à la cyberrésilience et à la confiance zéro : bilan du mois Illumio
Cyber-résilience

Appel à la cyberrésilience et à la confiance zéro : bilan du mois Illumio

Le début de l'année 2022 a mis en évidence la priorité accrue de la sécurité Zero Trust dans le paysage cybernétique actuel. De nombreuses organisations sont confrontées à une complexité accrue de leurs réseaux en raison de l'évolution des options de travail flexibles et de l'instabilité du paysage géopolitique qui a entraîné une augmentation exponentielle des attaques et des violations de rançongiciels à l'échelle internationale.

Le secteur bancaire de l'UE sera-t-il préparé à la DORA ?
Cyber-résilience

Le secteur bancaire de l'UE sera-t-il préparé à la DORA ?

Découvrez les principales exigences de DORA, ses principaux défis et la manière dont les stratégies Zero Trust et la microsegmentation peuvent aider à atteindre la conformité DORA d'ici le 17 janvier 2025.

Comment se conformer à la norme DORA avec Illumio
Cyber-résilience

Comment se conformer à la norme DORA avec Illumio

Découvrez les trois outils disponibles sur la plateforme Illumio Zero Trust Segmentation (ZTS) qui vous aideront à renforcer la conformité à la DORA.

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?