cahier de prospective bancaire & financière

BANQUE STRATÉGIEn° 344

Février 2016

ISSN 0762-4077Mensuel - 70 eurosrevue-banque.fr

DOSSIER

Cybercriminalité Nouvelles menaces et nouvelles réponses

Parallèlement à l’informatique et au digital, la cybercriminalité évolue sans cesse, avec des attaques toujours plus sophistiquées, ciblant des acteurs inhabituels comme les PME, utilisant des outils récents comme le bitcoin… Les réponses à cette criminalité en ligne s’organisent, avec le travail du service hautement spécialisé de la police judiciaire, les nouvelles règles qui renforcent la sécurité des banques construites avec l’ANSSI, l’émergence de la cyberassurance…

4 Sommaire

VEILLE STRATÉGIQUE

26 Contrôle périodique en sociétés de gestion de portefeuille Le choix stratégique de l’externalisation Gilles Dunand-Roux et Bertrand Desportes, Mazars

Dossier réalisé par Laure Bergala

Banque & Stratégie n° 344 février 2016 3

Dossier

CYBERCRIMINALITÉNouvelles menaces et nouvelles réponses

En évolution permanente, à l’image de l’informatique mais aussi du digital,

la cybercriminalité laisse constamment apparaître de nouvelles menaces qui nécessitent de trouver de nouvelles réponses contre un risque désormais considéré comme systémique pour le secteur fi nancier.

Les cyberattaques augmentent en sophistication et en dangerosité, comme l’explique Christophe Auberger (Fortinet), qui propose un voyage dans le paysage des menaces informatiques qui pourraient survenir en 2016.

Le commissaire Beauvois dresse un panorama des attaques qui visent notamment le secteur fi nancier, et explique ce que fait la police, et en particulier la Sous-Direction de lutte contre la cybercriminalité, pour les contrer.

Nouvelles cibles, de plus en plus touchées par les cyberattaques alors qu’elles sont souvent plus vulnérables et plus démunies que les grands groupes, TPE et PME se sensibilisent à la prévention, notamment via un guide coécrit par la CGPME, qui les représente, et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), explique Marie Prat (CGPME).

L’ANSSI est devenue, avec la loi de programmation militaire de 2013, le régulateur qui édicte des règles en matière de sécurité des systèmes d’information pour les opérateurs d’importance vitale (OIV). Yves Jussot, coordinateur sectoriel à l’ANSSI, détaille cette mission, alors que l’arrêté qui précise les règles de sécurité pour le secteur fi nances devrait paraître avant l’été. Les banques devront notamment désormais s’équiper de sondes de détection des intrusions informatiques certifi ées par l’ANSSI, à

l’image de celles que propose la start-up Gatewatcher dont les produits sont en attente de certifi cation.

Où s’organise la criminalité en ligne, qui peut passer par le vol de données mais dont la fi nalité est souvent l’argent ? Au-delà des fantasmes sur le sulfureux dark web, la délinquance en ligne n’a pas souvent besoin des tréfonds de ce réseau caché pour se déployer. Nombre des places de marché où se vendent numéros de cartes bancaires volées ou attaques clés en main contre des systèmes informatiques sont accessibles sur le web de surface.

Exemple de l’évolution des risques cyber favorisant cette criminalité en ligne, le bitcoin, monnaie virtuelle utilisable anonymement, est prisée par les cyberdélinquants mais aussi dans le blanchiment d’argent et le fi nancement du terrorisme. La réponse juridique et réglementaire à cette menace progresse, comme le détaille Myriam Quéméner, magistrat.

Enfi n, face aux conséquences des cyber-risques pour toutes les entreprises, le jeune marché de la cyberassurance se développe peu à peu en France, explique Laure Zicry (Gras Savoye).

➜ Lire aussi, sur le même thème, le dossier de Revue Banque n° 793, « Cybercriminalité, Un risque systémique pour les banques ».

SÉMINAIRESAtelier

LUTTE ANTI-BLANCHIMENT : LA 4e DIRECTIVE, UNE OPPORTUNITÉ POUR LES ÉTABLISSEMENTS ? Lieu

Auditorium de la FBF18, rue La fayette 75009 Paris

Tarif480 euros TTC

ContactMagali MarchalTél.: 01 48 00 54 04marchal@revue-banque.fr

Pour plus d’infos :revue-banque.fr

Jeudi24 mars

2016 9h00 - 12h00

In

scription sur

revue-banque.fr

8h30 Accueil des participants et petit-déjeuner

9h00 Introduction et animation de la séance Jean-Laurent VIDAL, directeur général France, Pitney Bowes

Les travaux de transposition menés par la DGT Les principales innovations de la 4ème Directive LBC-FT Benjamin BESNIER, adjoint au chef du bureau des investissements, de la lutte contre la criminalité fi nancière et des sanctions - MULTICOM3, direction générale du Trésor

Actualités nationales et internationales en LCB-FT – Publication des lignes directrices conjointes ACPR-Tracfi n sur les obligations de déclaration et d’information à Tracfi n – Les pratiques déclaratives Bruno DALLES, directeur, Tracfi n

Pause

KYC : de la connaissance client à la connaissance du bénéfi ciaire effectif Patrick BOTTER, consultant indépendant, partenaire de Pitney Bowes

La mise en œuvre opérationnelle des obligations règlementaires – L’obligation de gérer son modèle de risque – Le renforcement des exigences liées à la maîtrise des activités externalisées – Le devoir de vigilance à l’égard des clients Luc RETAIL, directeur de la sécurité des opérations fi nancières au sein de la direction de la

conformité et du contrôle permanent, La Banque Postale Frédéric MARTY, chargé de la sécurité fi nancière, en charge du dispositif LAB, Crédit

Agricole S.A. Thierry VILLIÉ, responsable service Central Compliance, Exane et enseignant en « lutte contre le blanchiment » au sein du Mastère 2 « Droit pénal fi nancier » de Cergy-Pontoise

12h00 Clôture de la séance

En partenariat avec

4 Banque & Stratégie n° 344 février 2016

5 Attaques informatiques Un paysage de la cybermenace en constante évolution Christophe Auberger, Fortinet

8 Anticipation et investigation L’action de la Direction centrale de la police judiciaire François Beauvois, Police judiciaire, Sous-Direction de lutte contre la cybercriminalité

12 TPE et PME « Le niveau de prise de conscience des risques évolue » Marie Prat, CGPME

14 Réglementation « Renforcer la cybersécurité des infrastructures les plus critiques pour la Nation » Yves Jussot, Agence nationale de la sécurité des systèmes d’information (ANSSI)

16 Sécurité informatique « Les OIV doivent s’équiper d’outils de cyberdéfense » Jacques de la Rivière, Gatewatcher

18 Réseaux Criminalité, Internet et darkweb : y voir un peu plus clair Laure Bergala, Revue Banque

20 Cadre juridique Monnaies virtuelles et flux illicites Myriam Quéméner, Docteur en droit, Magistrat

23 Assurance Quelles protections contre les conséquences des cyber-risques ? Laure Zicry, Gras Savoye

Avis aux lecteurs. Les articles publiés dans Banque & Stratégie n’expriment que le point de vue de leurs auteurs. Le contenu de ces articles n’en-gage pas Revue Banque qui n’entend pas prendre position à leur égard.

18, rue La Fayette

75009 Paris

Fax : 01 48 24 12 97

revue-banque.fr

&BANQUESTRATÉGIE

Directeur de la publication : Valérie Ohannessian

Secrétaire général : Pierre Coustols

Rédacteur en chef : Élisabeth Coulomb

Rédacteurs : Sophie Gauvent (54 02) ; Séverine Leboucher (54 15) ; Laure Bergala (54 14).

Secrétariat de rédaction : 1er SR, Alain de Seze (54 17) ; Christine Hauvette (54 10).

Maquette : 1er maquettiste, Emmanuel Gonzalez (54 12) ; Alexandra Démétriadis (54 18)

Directrice marketing et commercial : Valérie Dumas-Paoli (54 19)

Publicité : Isabelle Conroux (54 20)

Conception graphique : Rampazzo & Associés

Pour nous contacter, devant chaque numéro, ajouter l’indicatif 01 48 00.

SERVICE ABONNEMENTS : REVUE BANQUE – Pauline Étienne, 18 rue La Fayette 75009 Paris

Tél. : 33(0)1 48 00 54 26 – Fax : 33(0)1 48 00 54 25 – E-mail : service.abonnement@revue-banque.fr

ISSN 0762-4077/CPPAP 0616 I 84975 - Imprimé à Nancy (54) par BIALEC - Dépôt légal 1er trimestre 2016.

La reproduction totale ou partielle des articles publiés dans Banque & Stratégie, sans accord écrit de la société Revue Banque SARL, est interdite conformément à la loi du 11 mars 1957 sur la propriété littéraire et artistique.

Sommaire

CYBERCRIMINALITÉNouvelles menaces et nouvelles réponses

ERRATUMInterviewé dans le cadre du dernier dossier « Les BFI se réinventent » (Banque et Stratégie n°343, p. 34), M. Frédéric VISNOVSKY est Secrétaire général adjoint de l’ACPR.

5

Attaques informatiquesUn paysage de la cybermenace en constante évolution

Les principales menaces concrètes pesant sur la cybersécurité en 2016 reprennent les tendances de 2015, tout en évoluant en sophistication et en dangerosité, d’après les prévisions de Fortinet.

dispositifs. Des bracelets podomètres aux montres connectées, en passant par les téléviseurs intelligents, les systèmes domotiques, les systèmes médicaux et bien plus encore, tout est maintenant connecté à Internet. Et c’est précisément ce qui rend ces dispositifs attractifs pour les pirates. En 2015, pour la première fois, les attaques de dispositifs IoT sont apparues dans la liste FortiGuard des dix plus grandes menaces — et ce ne sera pas la dernière fois.

Nous estimons que l’IoT deviendra le principal vecteur d’attaques de type « infiltrer et s’étendre ». Ces tactiques ne viseront pas directement le cœur défensif, car les réseaux d’entreprise connaissent la valeur de leurs infor-mations et mettent en place des cyber-défenses renforcées. Les pirates cible-ront plutôt les dispositifs personnels des employés qui leur serviront de passerelle pour accéder aux infrastruc-tures d’entreprise. Les pirates pourront infecter les dispositifs par des logiciels malveillants ou, plus probablement, compromettre un grand nombre de dispositifs IoT pour entrer dans les réseaux d’entreprise auxquels ils ont accès. Et une fois dans ces réseaux, les pirates prendront le contrôle pour semer le chaos.

Vers et virusLes dispositifs headless (ne pouvant pas

être gérés directement lorsqu’il s’agit de la configuration de la sécurité) ne

que, globalement, l’année 2016 verra les tendances de 2015 se poursuivre et restera préoccupante pour les consom-mateurs, les entreprises et les fournis-seurs de sécurité. Nous devons regarder en arrière pour aller de l’avant.

De nouveaux logiciels malveillants plus difficiles à détecter apparaîtront par exemple et déclencheront des attaques exploitant les vulnérabilités du cloud et des dispositifs connectés. Par ailleurs, l’émergence de techniques d’évasion de plus en plus sophistiquées repoussera les limites de la détection et des inves-tigations criminalistiques, les pirates informatiques étant soumis à la pres-sion croissante des autorités chargées de l’application de la loi.

Internet des objetsL’explosion de l’Internet des objets

(en anglais, Internet of Things – IoT) signifie que de nouveaux vecteurs d’at-taques sont prêts et n’attendent qu’à être utilisés.

Gartner prévoit que d’ici quatre ans, soit en 2020, on comptera plus de 20 milliards de dispositifs IoT, ce qui représente un nombre pléthorique de

L a cybersécurité et le paysage des menaces Internet changent constamment, mais restent

immuables. Il existe de nouvelles menaces, de nouvelles versions d’an-ciennes menaces et des menaces avé-rées qui ne disparaissent jamais com-plètement. D’une certaine façon, le paysage de la cybermenace ressemble à une histoire qui se répète. Les menaces d’hier préfigurent toujours les menaces de demain, même si, de prime abord, le lien n’est pas évident.

FortiGuard Labs, équipe interne dédiée à la recherche des menaces, a été fondé il y a plus d’une décennie pour surveiller et détecter les dernières menaces, les vulnérabilités « zero day » et les logiciels malveillants émergents. Sa technologie de détection et de prévention automa-tisées et plus de 200 chercheurs dans le monde surveillent en permanence le paysage des menaces en constante évolution. Nous fournissons des mises à jour, des connaissances détaillées sur la sécurité et une évaluation annuelle de la cybermenace afin d’offrir une protec-tion contre les dernières menaces. Fort de cette expérience, nous prévoyons

CHRISTOPHE AUBERGER

Directeur technique France

Fortinet

Banque & Stratégie n° 344 février 2016

Revue Banque

PARUTION FÉVRIER 2016

Commandes ou achat

d’articles en ligne:

revue-banque.fr

contact :

librairie@revue-banque.fr

Nouveauté

Commandes, informations, catalogue :

revue-banque.fr

contact : librairie@revue-banque.fr

BIG DATAOPPORTUNITÉ OU MENACE POUR L’ASSURANCE ?

Patrick THOUROT et Kossi AMETEPE FOLLYPréface de Denis Kessler

ISBN : 978-2-86325-727-220,50 euroswww.revue-banque.fr

Le Big Data désigne l’ensemble des procédures de recueil et de traitement d’informations « high volume, high velocity and high variety » que les

nouvelles technologies rendent disponibles à ceux qui sauront les sélectionner et les exploiter. Le Big Data est à la fois une opportunité – que les assureurs doivent utili-ser car il impacte tous les éléments de la chaîne de valeur de l’industrie d’assurance – et une révolution qui remet en cause les conditions d’exercice de tous les métiers.

Pour l’assurance, souvent prisonnière de « l’asymétrie d’in-formation » sur le risque, mieux connu du client que de l’as-sureur, cette marée d’informations modifi e en profondeur les métiers de prise et de gestion de risques, la tarifi cation, l’assurabilité, mais aussi l’organisation des métiers et des entreprises. Ce sont ces impacts potentiels des nouvelles sources d’information que les auteurs souhaitent montrer dans une suite de monographies sur chacun des éléments de la chaîne de valeur de l’assurance.

Ils proposent une appréciation de la faisabilité de ces évolutions, en évaluant les effets économiques du Big Data sur les pratiques de marché, sur les coûts de la ges-tion des risques, sur l’organisation des entreprises et sur les architectures de systèmes d’information. Ils veulent mesurer l’ampleur du « choc » que peut être le Big Data sur le business model de l’assurance. Tout en recon-naissant l’importance théorique et l’amplitude d’une quasi-inversion de l’asymétrie d’information, ils n’en négligent pas les diffi cultés éthiques liées à la disponi-bilité très facilitée d’une masse considérable d’informa-tions personnelles liées à la vie privée des clients. Enfi n, ils alertent sur les risques de faible retour sur investisse-ment de politiques extensives d’utilisation du Big Data, alors même que d’autres impératifs immédiats pour la gestion des entreprises s’imposent à elles (Solvency II, notamment).

Patrick Thourot est Inspecteur Général des Finances Honoraire. Il a occupé des fonctions de Direction Générale dans plusieurs entreprises d’assurance et de réassurance (COFACE, Groupe ATHENA, AXA, ZURICH France et SCOR). Il est aujourd’hui Président de Forsides France.

Il a été Professeur Associé au CNAM/École Nationale d’Assurances (ENASS) et a enseigné à Sciences Po Paris, Paris Dauphine et HEC.

Kossi Ametepe Folly est Actuaire chez Forsides France et diplômé de l’ENASS. Il a animé plusieurs formations en Machine Learning – Big Data.

Banque & Stratégie

Je choisis l’abonnement à BANQUE & STRATÉGIE coché ci-dessous :

DÉCOUVERTE 1 MOIS: 1 no + accès online France (TTC) Étranger Quantité Total

■ Nouveaux abonnés (offre réservée non renouvelable) 70,00 € 75,00 € ......... .........

1 AN : 11 nos + accès online France (TTC) Étranger Quantité Total

■ Tous abonnés 655,00 € 685,00 € ......... .........

COUPLAGE REVUE BANQUE + BANQUE & STRATÉGIE1 AN : 23 nos + 2 suppléments + accès online France (TTC) Étranger Quantité Total

■ Offre réservée aux non abonnés 790,00 € 830,00 € ......... .........

LA BIBLIOTHÈQUE NUMÉRIQUE (1) France (TTC) Quantité Total

■ Abonnement annuel – 1 compte 185,00 € .........

■ Abonnement annuel – 5 comptes (2) 700,00 € ......... .........

TOTAL (TVA : 2,10 % incluse sur le tarif France) ……… €(1) Réservé aux abonnés à une des revues du groupe.

(2) Au-delà de 5 comptes, nous consulter (bibliotheque@revue-banque.fr).

Société ..............................................................................................................................................................................

Nom ....................................................................................... Prénom ............................................................................

Fonction...........................................................................................................................................................................

Service .............................................................................................................................................................................

Adresse ............................................................................................................................................................................

Code postal/ville.....................................................................Pays .................................................................................

Code TVA (pour les pays de la CEE) ...................................................................................................................................

Téléphone ..............................................................................Télécopie ..........................................................................

E-mail (indispensable) .....................................................................................................................................................

En application de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires aptes à les traiter. Elles peuvent donner lieu à l’exercice du droit d’accès et de rectifi cation auprès de Revue Banque. Vous pouvez vous opposer à ce que vos nom et adresse soient cédés ultérieurement en le demandant par écrit au secrétariat général de Revue Banque.

BANQUE & STRATÉGIELe complément stratégique

et prospectif de Revue Banque

70,00 € le numéro

cahier de prospective bancaire & financière

BANQUE STRATÉGIEn° 340

Octobre 2015

ISSN 0762-4077Mensuel - 70 eurosrevue-banque.fr

DOSSIER

Assurance vie S’adapter aux taux bas

La chute des taux à des niveaux proches de zéro, voire négatifs, met à mal le modèle de l’assurance vie. Sont en jeu la rentabilité et, parfois, la solvabilité des acteurs. L’industrie doit s’inventer un nouvel avenir, fait de produits plus risqués pour l’épargnant que les assureurs devront apprendre à commercialiser.

4 Sommaire

VEILLE STRATÉGIQUE

24 Gestion alternative Évolution et régulation financière des hedge funds Wafa Kammoun Masmoudi, École supérieure des sciences économiques et commerciales de Tunis

À retourner au SERVICE ABONNEMENTSREVUE BANQUE18 rue La Fayette 75009 ParisTél. : 33(0)1 48 00 54 26 – Fax : 33(0)1 48 00 54 25E-mail : service.abonnement@revue-banque.fr

Règlement à l’ordre de La Revue Banque

■ par chèque

■ par carte bancaire* n° _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

Date limite de validité : _ _ _ / _ _ _

Notez les 3 derniers chiffres du cryptogramme visuel (au verso de votre carte) : _ _ _

* Sauf American Express et Diner’s Club.

Le règlement sur l’étranger est à joindre impérativement à la commande et doit être effectué en euros, par chèque payable en France, net de frais. Pour les virements bancaires et CCP, nous consulter.

DATE et SIGNATURE

ABONNEMENTS 2016

Vos abonnements se poursuivent on line sur

revue-banque.frFeuilletage,

accès illimité aux archives de Banque & Stratégie

BS1

6

ÉTHIQUE ET RESPONSABILITÉ EN FINANCEQUO VADIS ?

Paul H. Dembinski

128 pages, 20,50 €

GOUVERNANCE ET FONCTIONS CLÉS DE RISQUE, CONFORMITÉ ET CONTRÔLE DANS LES ÉTABLISSEMENTS FINANCIERS

POST-SOLVABILITÉ 2 • CRD4 • AIFM Marie-Agnès Nicolet160 pages, 26 €

CASH MANAGEMENT

FONDAMENTAUX ET OFFRES BANCAIRES

Jérôme Cavaliero et Frédéric Poizat

112 pages, 26 €

STRATÉGIE ET GOUVERNANCE DES INSTITUTIONS FINANCIÈRES MUTUALISTES Michel Roux216 Pages, 28 €

OPÉRATIONS BANCAIRES À L’INTERNATIONAL Philippe Garsuaultavec la participation de Stéphane Priami2e édition, 352 pages, 45 €

Pour approfondir les sujets d’actualitéLes nouveautés

Commandes, informations, catalogue :

revue-banque.fr