Les nouveaux visages de la cybersécurité dans l’industrie financière

La banque américaine Morgan Stanley a confié, en 2017, la direction de son nouveau centre de surveillance à l’experte en contre-terrorisme Jen Easterly. Celle-ci a participé cette semaine à une présentation au Forum FinTech organisé par Finance Montréal.
Photo: Finance Montréal La banque américaine Morgan Stanley a confié, en 2017, la direction de son nouveau centre de surveillance à l’experte en contre-terrorisme Jen Easterly. Celle-ci a participé cette semaine à une présentation au Forum FinTech organisé par Finance Montréal.

Devant l’importance grandissante de la cybersécurité dans l’industrie financière, Morgan Stanley a choisi de sortir des sentiers battus en 2017 et de confier la direction de son nouveau centre de surveillance à une experte en contre-terrorisme, qui a passé 20 ans dans les forces armées avant de se retrouver un jour au Conseil de la sécurité nationale dans le cercle du président Obama.

Les menaces à la cybersécurité sont devenues si complexes et se transforment si vite que Morgan Stanley s’est rapidement tourné vers les agences gouvernementales, le secteur militaire et le milieu universitaire pour y recruter les experts capables de façonner une réponse crédible aux incidents qui se multiplient, a raconté Jen Easterly cette semaine lors d’une présentation au Forum FinTech. Organisé par la grappe Finance Montréal, le Forum attire plus de 3000 participants.

Le « grand éveil » de l’industrie est survenu en 2016, a-t-elle raconté. Des pirates informatiques avaient alors réussi à siphonner 81 millions $US à la banque centrale du Bangladesh. Peu après, le groupe des « Shadow Brokers » mettait la main sur des outils utilisés par l’Agence nationale de la sécurité aux États-Unis.

Morgan Stanley comprit à ce moment que la seule existence de son « Fusion Center », qui surveille et analyse les menaces depuis 2015, n’était peut-être pas suffisante. Il faut que « l’organisation et le modèle opérationnel permettent de se défendre de manière proactive dans un environnement de plus en plus complexe », a dit Mme Easterly.

 
81 millions $US
C'est le montant que des pirates informatiques avaient réussi à siphonner à la banque centrale du Bangladesh en 2016.

La banque new-yorkaise n’est pas seule à avoir priorisé le type de profil de Jen Easterly.

La Banque de Montréal, par exemple, a annoncé au début de 2019 l’embauche de Larry Zelvin pour coordonner sa nouvelle unité de lutte contre la criminalité financière, qui comprend à la fois la sécurité de l’information et la sécurité physique. Selon le communiqué, M. Zelvin est un ex-directeur du Centre national d’intégration de la cybersécurité et des communications au département de la Sécurité intérieure des États-Unis et ancien directeur principal des interventions au Conseil national de sécurité de la Maison-Blanche. Il a également été capitaine dans la marine américaine, dont il a fait partie de 1986 à 2012. À la Banque du Canada, le chef de la sécurité, qui coordonne entre autres les mesures contre les potentielles cyberattaques, a passé 31 ans à la Gendarmerie royale du Canada.

Entre concurrence et partage

Le profil recherché reflète la nouvelle nature des menaces qui pèsent sur le secteur. De plus, a dit Mme Easterly, les institutions n’hésitent pas à se parler. « La source la plus riche d’information que nous recevons, elle vient de nos pairs dans l’industrie financière. » Bien que les grandes banques soient des concurrentes en matière d’affaires et de talents, elles ouvrent le jeu quand vient le temps de partager de l’information. « Nous sommes au téléphone tous les jours avec les autres firmes mondiales pour analyser les menaces, les vulnérabilités et les incidents qui pourraient servir d’indicateurs. »

Il y a 13 ans, Mme Easterly était à Bagdad en tant que lieutenante-colonelle. Le pays était alors aux prises avec des attentats réguliers commis par une guérilla portée notamment sur les bombes artisanales, causant des milliers de morts parmi les civils. « J’avais une équipe de codeurs dans une fourgonnette de fortune à Bagdad, au milieu du feu des francs-tireurs et des mortiers. On appelait ça du codage extrême. […] Mais quand je repense à ça, à la quantité de données que nous récoltions, ce n’était vraiment que le début. » La même année, Twitter voyait le jour et Facebook s’ouvrait au grand public. Le iPhone allait arriver l’année suivante.

La multiplication des objets branchés transforme le paysage de nouveau. Cette connectivité a du bon, mais elle a aussi un « côté sombre significatif ». « Si vous ajoutez des points d’accès et des plateformes à Internet, vous agrandissez la surface susceptible d’être attaquée », a dit Mme Easterly. À la base, souligne-t-elle toutefois, 92 % des piratages réussis commencent avec un hameçonnage par courriel. L’enseignement de la vigilance de base est au coeur des priorités, a-t-elle dit.

Parmi les choses qui l’inquiètent le plus, sur un horizon de un à trois ans, c’est la « désinformation ». Elle donne l’exemple de 2013, quand des pirates ont pris le contrôle du compte Twitter d’Associated Press pour écrire que la Maison-Blanche avait été attaquée et que le président Obama était blessé. La Bourse avait fortement réagi. Selon Mme Easterly, la rumeur, relayée dans le futur par de fausses vidéos ou d’autres moyens, pourrait même affecter une inscription en Bourse ou une acquisition.