L’attaque contre Axa souligne les risques cyber planant sur le secteur financier

Bertrand de Meyer
Un groupe de pirates informatiques menace de faire fuiter d’importantes quantités de données d’une filiale de l’assureur français.

Le compte à rebours est lancé pour Axa. L’assureur avait indiqué dimanche «avoir été victime d’une attaque ciblée par 'ransomware' qui a touché (ses) opérations informatiques en Thaïlande, en Malaisie, à Hong Kong et aux Philippes». Il sait désormais à qui il a affaire : le groupe de pirates informatiques Avaddon s’est en effet congratulé sur la toile de «l’attaque réussie de l’entreprise».

«L’entreprise ne veut pas coopérer avec nous, nous lui donnons 240 heures pour communiquer et coopérer»préviennent les criminels, sans préciser le montant de la rançon demandée. «Si cela n’est pas le cas avant l’échéance, nous ferons fuiter des documents d’entreprise précieux.» Joint, Axa ne commente pas mais indique qu’une équipe d’experts travaille sur l’accident. Avaddon menace de lancer des attaques DDoS (attaque par déni de service), qui consistent à rendre un serveur, un service ou une infrastructure indisponible, si la victime ne transige pas.

Concrètement, il revendique le vol de 3 téraoctets (To) de données liées à des rapports médicaux, des réclamations de clients, des pièces d’identité et les documents scannés des comptes bancaires des clients.

Rentable pour les pirates, coûteux pour les entreprises

Depuis l'irruption de ces cybercriminels en juillet dernier, pas moins de sept assureurs ont subi leurs attaques parmi plus de 130 victimes, rapporte le site spécialisé Zataz. En France, la société de gestion de portefeuilles Acer Finance subit le même sort. Après avoir longtemps privilégié des cibles industrielles ou en rapport avec les énergies, les pirates s’intéressent de plus en plus au monde de la finance, dans lequel les données sont essentielles.

Selon une étude d’Infoblox, société privée d’automatisation et de sécurité informatique américaine, que L’Agefi a pu consulter en primeur, «le secteur des services financiers s’est retrouvé confronté à de sérieuses difficultés tout au long de l’année 2020 et continue à l’être en 2021». Menée en 2020 par CyberRisk Alliance Business auprès de 814 professionnels de l’informatique travaillant dans le secteur des services financiers, elle indique ainsi que les violations de données ont entraîné des pertes financières moyennes d’environ 4,2 millions de dollars (3,45 millions d’euros) par attaque en 2020. Citées par 54% des répondants, les violations de données sont le principal vecteur d’attaque contre les réseaux en nuage. Surtout, le coût moyen de la prévention des violations et des interruptions de données atteint environ 4,8 millions de dollars.

Pour Clément Marcelot, solutions architect chez Infoblox, spécialisé en banque et assurance, les banques et les assureurs ne sont pourtant pas moins bien protégés que les autres : «Au contraire, ils sont plus matures. Si la protection ultime n’existe pas, les discussions avec les équipes de cybersécurité de ces entreprises témoignent de solutions modernes mises en place et d’une sensibilisation significative.»

Il se veut d’ailleurs plutôt rassurant en ce qui concerne Axa : «Une fois l’attaque analysée et retracée, je n’ai aucun doute quant à la capacité d’un groupe comme Axa à mettre en place les contremesures nécessaires. Elles existent, encore faut-il les avoir à disposition.» Le vice se trouverait toutefois autre part : «Si les attaques contre le secteur se multiplient, c’est que c’est rentable et qu’il existe un marché. Si les groupes ne payaient pas les rançons, cela deviendrait beaucoup moins rentable.» De quoi relancer la polémique concernant la paiement des rançons.

Les problèmes de cybersécurité se multiplient pour Axa

Axa avait déjà annoncé mettre en suspens sa garantie cyberrançonnage qui avait été rajoutée en 2020 après la création du produit de l’assureur en 2014. D’autres acteurs, comme Hiscox, n’ont pas pris la même décision, alors que les critiques se multiplient contre les assureurs concernant une potentielle incitation au paiement des rançons. Un porte-parole affirme que les deux événements n’ont aucun rapport.

Surtout, c’est la deuxième fois en moins de deux semaines que des données de l’assureur ne sont plus uniquement entre ses mains. Début mai, 7.500 salariés de plus de 55 ans ou anciens salariés ont vu leurs noms, prénoms, adresse postale, date de naissance, numéro de sécurité sociale, matricule Axa et base de calcul de la retraite supplémentaire fuité à la suite de l’incendie des bâtiments d'OVH Cloud, qui a fragilisé ses serveurs dans lesquels un des fournisseurs d’Axa hébergeait ses données.