AccueilVie des entreprisesCybercriminalité boursière : l'AMF veille

Cybercriminalité boursière : l'AMF veille

Manquements d'initiés, manipulations de cours et diffusions de fausses informations à composante “cyber” peuvent impacter toute la chaîne boursière. Alexandre Neyret(1), adjoint du directeur des enquêtes de l'Autorité des marchés financiers (AMF) nous sensibilise aux risques de la cybercriminalité boursière.
Cybercriminalité boursière : l'AMF veille
@ DR

EntrepriseVie des entreprises Publié le ,

Affiches Parisiennes : Quel panorama dresser de la cybercriminalité financière sans frontières ?

Alexandre Neyret : La cybercriminalité regroupe toutes les infractions pénales tentées ou commises à l'encontre ou au moyen d'un système d'information et de communication, principalement Internet ; ces systèmes constituent donc à la fois les cibles et les vecteurs de cyberattaques. Si la stratégie criminelle n'a pas « foncièrement » changé, les cibles et les moyens de son élaboration, induits de l'essor du numérique, ont évolué de manière exponentielle. D'où l'explosion de la cybercriminalité. La cybercriminalité financière peut toucher tous les intervenants du monde financier. Par exemple, les intermédiaires de la chaîne de paiement, comme en témoigne le piratage du système SWIFT de la Banque centrale du Bangladesh en 2016, pour un profit réalisé proche de 81 millions d'euros, mais aussi les places boursières avec des cyberattaques par déni de service(2), comme l'a éprouvé à ses dépens la Bourse de Nouvelle Zélande en septembre 2020. Les établissements financiers constituent également de potentielles cibles de cyberattaques - ransomware, déni de services, vol de données, faux virements etc. -, tout comme les nouvelles plateformes d'échanges de crypto-monnaies et les particuliers avec les arnaques aux investissements en ligne(3).

A.-P. : Comment l'AMF approche-t-elle le spectre de la cybercriminalité boursière ?

A. N. : L'AMF intervient de différentes façons. Les entités régulées par l'AMF ont des obligations professionnelles à respecter. Elles doivent avoir des dispositifs qui couvrent les risques cyber et des plans de continuité d'activité. Le régulateur veille au respect de ces obligations, à la prise en compte adéquate par exemple des risques cyber et à l'efficacité des contrôles mis en place pour adresser ces risques. Nous avons, par exemple, procédé à deux séries de contrôles thématiques courts (SPOT) pour examiner les pratiques des sociétés de gestion s'agissant de leur dispositif de cybersécurité et en avons publié la synthèse. Dans le cadre de sa mission de protection de l'épargne investie dans les produits financiers, l'AMF assure une veille, via ses outils reposant, pour certain, sur l'intelligence artificielle et grâce aux remontées via sa plateforme Epargne Info service. Cette veille lui permet de détecter et d'alerter le public sur les offres ou les entités non autorisées. Nous menons également des actions de prévention des arnaques financière en ligne. Sur ce type d'escroquerie, la réponse pénale est souvent la plus adaptée. Enfin, il y a la détection et la répression des éventuels abus de marché avec une composante « cyber ».

A.-P. : Quels sont les cyber modes opératoires ?

A. N. : Ils s'articulent autour de trois manquements principaux relevant des abus de marché : le cyber délit d'initié, la cyber manipulation de cours, et la cyber diffusion d'information.

Un cyber délit d'initiés est le fait de hackers s'introduisant dans des systèmes d'information pour subtiliser une information privilégiée (IP) qui peut être détenue par un émetteur, par un cabinet d'avocat, un régulateur, une banque ou un diffuseur d'informations financières, par exemple. Une fois en possession de cette information, le hacker peut chercher à en tirer profit en réalisant des transactions sur le titre, avant que l'information ne soit rendue publique, soit en la revendant. A cet égard, on pourrait citer le cas de deux hackers ukrainiens qui se sont introduits dans les réseaux informatiques de deux diffuseurs d'information financière entre 2010 et 2015, subtilisant ainsi près de 100 000 annonces de résultats financiers de sociétés avant leur diffusion. Parallèlement, ils avaient développé un serveur secret sur lequel des traders d'une trentaine de nationalités pouvaient émettre de vœux sur les futures annonces qu'ils souhaitaient obtenir et acheter les annonces déjà subtilisées. Dans cette affaire, le gain financier global a été estimé à plus 100 millions de dollars pour l'ensemble des protagonistes. Le 20 septembre 2017, après un audit informatique réalisé dans le cadre d'un plan global de cybersécurité, la SEC a révélé une intrusion dans son système informatique EDGAR datant de 2016. A l'issue de son enquête, elle a, à nouveau, annoncé en janvier 2019 l'inculpation d'un des deux hackers ukrainiens.

La manipulation de cours repose, pour sa part, sur plusieurs procédés non exclusifs les uns des autres : l'achat agressif à des prix de plus en plus élevés pour faire monter le cours par exemple, ou encore l'empilement - ou l'accumulation - d'ordres d'achat de taille significative(4), mais qui n'ont pas vocation à être exécutés, pour faire croire à un fort intérêt acheteur du marché et ainsi l'entraîner à la hausse. La composante cyber de ce type d'abus de marché tient à la compromission de comptes de trading qui va permettre la mise en place des stratégies manipulatoires telles que nous venons de les décrire. En février 2015, une cyberattaque contre les systèmes de trading d'une banque russe, Energobank, a entraîné des transactions non autorisées pour un montant total avoisinant les 500 millions de dollars sur le taux de change rouble/dollar, durant 14 minutes, entraînant une forte variation de l'ordre de 15 %.

A.-P. : Et quid de la cyber diffusion de fausses informations ?

A. N. : La diffusion de fausse information est une technique manipulatoire vieille comme le monde ; c'est par exemple l'histoire du « Loup de Wall Street ». Mais, de nos jours, le vecteur « cyber » pouvant propulser instantanément des fake news - sites sur Internet, mails, réseaux sociaux -, il devient d'autant plus aisé de « tromper » le marché d'un titre à la hausse - ou à la baisse. Parfois associé à la manipulation de cours, ce procédé peut être motivé par la recherche d'un profit économique, mais aussi par une volonté activiste, par une volonté de sabotage économique, ou à des fins de déstabilisation étatique. Le cas Shalon, appelé par la justice américaine
« Securities fraud on cyber steroids », en constitue un exemple emblématique. Il s'agissait d'un réseau international de criminels, disposant de plus d'une trentaine de faux passeports de 17 nationalités différentes, qui est parvenu à dérober plus de 100 millions de données personnelles auprès de 12 institutions financières, dont 80 millions pour la seule banque JP Morgan. A l'aide de ces données personnelles dérobées, les cybercriminels ont lancé des campagnes promotionnelles par mails sur une dizaine de titres financiers visant à inciter les particuliers à investir, tout en se gardant de signaler qu'ils avaient auparavant eux-mêmes investi. Une fois l'engouement créé autour de ces titres, ils pouvaient les revendre et empocher un confortable bénéfice. Ce cybercrime aura rapporté à ses instigateurs au moins 2,8 millions d'euros pour la seule fraude boursière, sachant qu'ils ont réutilisé les données personnelles pour d'autres fraudes.

A.-P. : Peut-on exactement chiffrer le coût de la cybercriminalité boursière ?

A. N. : Il est difficile d'obtenir une estimation précise de la cybercriminalité boursière, mais le coût de la cybercriminalité en général était évalué à près de 600 milliards de dollars par an en 2018 par McAfee/CSIS, et à
1 000 milliards par an en 2020 par les mêmes. Le coût d'une cyberattaque, évalué en pourcentage du cours de Bourse, peut être important pour les sociétés qui en sont victimes. C'est le cas, par exemple, de la diffusion d'une fausse information. Mais la variation du cours de bourse peut également traduire des pertes effectives subies par la société à la suite de la cyberattaque : coût juridique et d'analyse du système informatique après incident, perte de production, rénovation du parc informatique auxquels s'ajoutent de nouvelles dépenses de cybersécurité, etc. Chiffrer les coûts cachés, comme l'impact de réputation vis-à-vis des clients, reste par ailleurs complexe. Selon différentes études, une cyberattaque menée contre une entreprise cotée peut produire un impact moyen de 1 à 5 % sur son cours de bourse.

En février 2020, s'appuyant sur des travaux du Conseil européen du risque systémique, Christine Lagarde, la présidente la Banque centrale européenne, a indiqué qu'il existait des canaux plausibles par lesquels une cyberattaque pourrait se transformer en une grave crise financière. Par ailleurs, la Defense Advanced Research Projects Agency (DARPA) américaine a imaginé des scénarios de déstabilisation des marchés boursiers par compromission des algorithmes de trading. Là encore, il est difficile d'évaluer la probabilité de survenance et les coûts de telles hypothèses.

A.-P. : Comment se mobilise-t-on à l'AMF sur un sujet si prégnant ?

A. N. : La cybersécurité est un sujet important qui mobilise différentes directions de l'AMF, pour sa propre sécurité informatique bien sûr, mais aussi pour l'ensemble des sujets liés cyber à la place financière. Cela englobe donc le suivi du respect par les entités régulées de leurs obligations, la chaîne répressive et les travaux règlementaires portant sur l'évolution des textes relatifs à la cybersécurité(5) et liés à nos domaines de compétence, notamment aux côtés de la Banque de France et du Trésor.

Concernant plus particulièrement les enquêteurs, des efforts importants ont été réalisés dans le domaine de la formation : nos techniciens d'investigation numérique ont bénéficié de la
formation NTECH de la gendarmerie, licence professionnelle à la clé. Des efforts importants sont également réalisés pour obtenir des outils performants, afin d'essayer de remonter au maximum la piste numérique laissée par les auteurs.

A.-P. : Quelles actions de sensibilisation l'AMF conduit-elle pour prévenir, plutôt que de guérir ?

A. N. : Le volet prévention auprès des employés de l'AMF, des épargnants et le souci d'accompagner les professionnels sont importants à l'AMF. Le partage en ligne des bonnes pratiques issues de nos contrôles thématiques courts SPOT évoqués et la participation à des conférences / workshops contribuent à cet effort. Il m'arrive par exemple de présenter l'étude réalisée par mes soins sur la cybercriminalité boursière pour mieux sensibiliser et faire comprendre les facteurs et modes opératoires la favorisant(6).

(1) Centralien et diplômé du Master de Sciences en mathématiques appliquées de l'Université chinoise de Tsinghua, Alexandre Neyret est l'auteur de l'étude publiée en ligne par l'AMF
« La cybercriminalité boursière - Définition, cas et perspectives » et disponible sur https://www.amf-france.org/sites/default/files/2020-02/etude-sur-la-cybercriminalite-boursiere-_-definition-cas-et-perspectives.pdf - (2) Une Attaque par déni de service vise à rendre inaccessible un serveur grâce à l'envoi de multiples requêtes jusqu'à le saturer ou par l'exploitation de failles de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service. - (3) Les escroqueries aux investissements en ligne sont qualifiées de menaces numériques par le ministère de l'intérieur français. - (4) Plus connu sous le vocable anglo-saxon de layering/spoofing. - (5) Un ders derniers exemples en date est le projet, à l'initiative de la Commission Européenne, de règlement DORA pour « Digital Operational Resilience (Act) for the financial sector » - (6) Tel a été notamment le cas le 5 décembre 2019 à l'Université Paris-Dauphine, à l'occasion de la conférence « Répondre à la menace cyber par la régulation » organisée par sa Chaire Gouvernance et régulation, en coopération avec le Conseil Général de l'Economie.

Partage
Envoyer à un ami
Connexion
Mot de passe oublié ?