Article co-écrit avec Wenjing Li, Manager Risk Advisory, Thomas Hutin, Associé Cyber Risk Services et Pierre-Alexis Saint-Michel, Directeur Cyber Risk Services.

La crise Covid19 a mis en exergue le rôle croissant des services financiers en ligne et rappelle l’importance de sécuriser des infrastructures financières de plus en plus ouvertes et interconnectées. Pour les acteurs exposés aux risques cyber et de blanchiment d’argent et de financement du terrorisme (LCB-FT), cet essor des services en ligne et l’interconnexion des systèmes doit être appréhendé avec la plus grande vigilance.

Innover pour prévenir et anticiper les risques liés à la cybercriminalité et à la sécurité financière est donc plus que jamais une nécessité. Traditionnellement dissociées, les expertises Cybersécurité et LCB-FT gagneraient à se rapprocher et multiplier les synergies afin de renforcer les capacités de résilience du secteur financier. Ce sujet revêt une importance stratégique pour les institutions financières et suscite une attention croissante.

Criminalité financière, de quoi parle-t-on ?

Alors que le crime financier génèrerait entre 2% et 5% du PIB mondial selon les estimations, la diversification des flux et des technologies multiplie les risques. Ces menaces sont permanentes et évolutives. En s’appuyant sur les failles des systèmes d’information, les criminels peuvent par exemple identifier des personnes vulnérables et utiliser leurs comptes (« mules financières »), ou peuvent contracter des prêts avec une identité volée. L’argent tiré d’activités criminelles peut alors être blanchi et dispersé rapidement sur plusieurs comptes dans le monde.

Vision en silo : une approche inadaptée face à la sophistication de la criminalité financière

La lutte contre la criminalité financière requiert une innovation constante et une agilité technique pour répondre à la pression des acteurs malveillants. Or malgré les efforts et les moyens engagés ces dernières années, il subsiste fréquemment un décalage entre les procédés de plus en plus sophistiqués des criminels, et la fréquente rigidité ou l’inertie des dispositifs mis en place par les institutions financières. Ce décalage peut être d’autant plus marqué que ces dispositifs sont parfois définis et calibrés au regard d’exigences règlementaires locales alors que la criminalité financière sévit à un niveau global.

Dans les entreprises, les moyens de surveillance des opérations et des différentes activités criminelles auxquelles elles sont exposées sont en général répartis entre plusieurs unités (Conformité, équipes opérationnelles, départements IT…). Chacun couvre les risques liés à son domaine et la coordination entre ces différents services est souvent limitée. Au niveau Cyber par exemple, la surveillance des risques se fait souvent par le biais de recherches externes pointues (Dark Web, monitoring adresses IP…) permettant d’identifier ou de prévenir de potentielles attaques. Quant à la LCB-FT, les analyses se font en général en interne, au sein de chaque établissement, en retraçant les opérations atypiques des clients et en surveillant leurs transactions (flux vers pays à risque, opérations sans lien avec le patrimoine ou l’activité connus, retraits en espèces…).

Les données collectées et les connaissances acquises se trouvent alors focalisées sur un périmètre donné, alors qu’elles pourraient être utiles et exploitées de manière croisée afin de faciliter la détection d’activités suspectes complexes mixant cybercriminalité et blanchiment des capitaux.

Cette vision en silo réduit la possibilité de recourir à des techniques d’anticipation pour mieux cibler et prédire les attaques.

De la réaction à l’anticipation : une approche collaborative plus résiliente

Grâce à la mise en place par exemple d’une instance de coordination, les équipes Cyber et LCB-FT pourraient partager alertes et données en rapport avec leurs domaines d’expertise respectifs afin d’enrichir les axes d’analyse et améliorer ainsi collectivement le suivi des risques.

Cette approche collaborative permettant l’exploitation de diverses sources de données (internes et externes), contribuerait à qualifier plus rapidement les risques liés à une attaque, et au-delà, de réaliser une transition vers une approche de plus en plus proactive, alignée sur le rythme d’innovation des activités criminelles. Les menaces étant diffuses et mouvantes, les établissements financiers doivent en effet se positionner en anticipation et se focaliser sur l’identification des risques le plus en amont possible.

Un tel rapprochement présente également un intérêt économique. Ne nécessitant que des investissements réduits, il permet à terme de réduire les coûts de surveillance via des synergies entre les dépenses habituellement engagées individuellement par les différentes équipe (frais d’exploitation de systèmes, logiciels, ou de développement de technologies). Renforcer mutuellement les dispositifs cyber et LCB-FT favorise également une communication transverse entre les équipes (règles, normes, formations, nouveautés…), limite le risque d’incidents et pertes liées ainsi que le coût des sanctions, et protège in fine la valeur et la réputation de l’établissement qui s’engage dans cette voie.

Les établissements peuvent enfin faire de ce renforcement mutuel de leurs dispositifs de sécurité cyber et LCB-FT un argument de différenciation commerciale, au service de la protection de leur clientèle et aligné sur les attentes sociétales.

3+