Points clés
- La compromission de SolarWinds (États-Unis, 2020) a démontré que les intégrations entre systèmes de gestion IT et systèmes financiers constituent des vecteurs d'attaque critiques : plusieurs organisations dont les systèmes financiers utilisaient SolarWinds Orion pour la supervision réseau ont dû mener des investigations forensiques sur l'intégrité de leurs données de paiement après la découverte de la backdoor Sunburst.
- La vulnérabilité MOVEit Transfer (2023, Progress Software) a compromis les données de paiement de plusieurs processeurs de paie et prestataires financiers dont les intégrations entre systèmes RH et financiers transitaient par cet outil de transfert de fichiers sécurisé — affectant directement les données salariales de millions de salariés.
- Bangladesh Bank (2016) illustre le risque des intégrations entre SWIFT (messagerie interbancaire) et les systèmes IT locaux : des malwares installés sur les postes d'opérateurs SWIFT ont pu manipuler les logs locaux et initier des ordres de virement frauduleux en exploitant l'intégration entre les outils de supervision réseau et le client SWIFT.
L'intégration technique entre les systèmes financiers et les systèmes IT crée des flux de données et des dépendances fonctionnelles qui peuvent constituer des vecteurs d'attaque non anticipés lors de la conception des systèmes de paiement. Un système de paiement correctement sécurisé en isolation peut devenir vulnérable via un système IT adjacent insuffisamment protégé — et inversement, un système IT compromis peut permettre la manipulation des données financières qu'il supervise ou avec lesquelles il est intégré.
La difficulté réside dans la cartographie exhaustive de ces intégrations : dans les organisations dont les systèmes IT se sont développés organiquement sur plusieurs années, le nombre d'intégrations entre composants peut dépasser la capacité d'inventaire manuel. Les outils de découverte réseau et d'analyse des flux de données sont nécessaires pour maintenir une vision à jour de la surface d'intégration.
Catégories de risques dans les intégrations financières/IT
Les risques d'intégration entre systèmes financiers et IT se répartissent en quatre catégories principales : (1) risques de pivot — un attaquant compromet un système IT adjacent pour accéder latéralement au système financier, (2) risques de manipulation — un composant IT intégré aux systèmes financiers est détourné pour modifier les données avant traitement (skimming, modification de relevés), (3) risques de disponibilité — une défaillance du système IT impacte la disponibilité du système de paiement par dépendance technique, (4) risques de fuite — un système IT qui traite des copies ou exports de données financières expose ces données si ses contrôles sont insuffisants.
Les systèmes de reporting financier et de Business Intelligence (BI) méritent une attention particulière : ils reçoivent fréquemment des copies de données transactionnelles à des fins d'analyse et sont souvent soumis à des contrôles de sécurité moins stricts que les systèmes de production de paiement, tout en contenant des données substantiellement équivalentes.
Segmentation et contrôle des flux entre systèmes financiers et IT
La segmentation réseau entre les environnements de paiement et les systèmes IT généraux est une exigence fondamentale PCI DSS (exigence 1.3) : les données de cartes ne doivent pas être accessibles depuis les systèmes hors périmètre PCI DSS sauf via des flux explicitement documentés et contrôlés. Cette segmentation doit être maintenue dans les environnements cloud et hybrides, où les frontières réseau sont définies par des règles de groupe de sécurité et des politiques IAM plutôt que par des équipements physiques.
Les intégrations légitimes entre systèmes financiers et IT doivent être documentées, limitées au minimum fonctionnel nécessaire, et supervisées : journalisation de tous les appels d'API, alertes sur les volumes anormaux, revue périodique des autorisations accordées. Une intégration qui accédait initialement à un sous-ensemble de données mais dont le périmètre d'accès a été étendu sans revue de sécurité est un vecteur d'exposition croissant.
Gestion des intégrations dans les projets de transformation
Les projets de migration vers le cloud, de remplacement d'ERP ou de modernisation des systèmes de paiement créent temporairement des intégrations de transition (passerelles, middlewares de migration) qui élargissent la surface d'attaque pendant la durée du projet. Ces intégrations temporaires doivent faire l'objet d'une évaluation de sécurité dédiée, d'une durée de vie limitée et d'une procédure de désactivation formelle à la fin du projet.
Le principe du moindre privilège (least privilege) appliqué aux intégrations impose que chaque connexion entre systèmes financiers et IT soit limitée aux données et aux opérations strictement nécessaires à sa fonction. Les comptes de service utilisés pour les intégrations ne doivent pas disposer de droits d'administration, doivent avoir des mots de passe rotatifs et leurs accès doivent être journalisés séparément des accès humains.
Cas opérationnel : MOVEit Transfer — compromission des intégrations financières (International, 2023)
La CVE-2023-34362, une injection SQL dans MOVEit Transfer, a été exploitée à grande échelle par le groupe Cl0p (affilié à une organisation criminelle russophone) en mai-juin 2023. Parmi les organisations affectées figuraient plusieurs des plus grands processeurs de paie et prestataires financiers au monde : Zellis (processeur de paie de British Airways, BBC, Boots — UE), Pension Benefit Information (PBI — États-Unis, gérant les données de 4,75 millions de retraités), et la Teachers Insurance and Annuity Association (TIAA — États-Unis). L'incident a démontré que les outils de transfert de fichiers utilisés pour les intégrations entre systèmes financiers et IT constituent des cibles à haute valeur : un seul outil compromis peut atteindre des données financières dans des dizaines d'organisations clientes simultanément.
Le nombre total d'organisations affectées par la vulnérabilité MOVEit a dépassé 2 500 selon les estimations de fin 2023, avec plus de 83 millions de personnes exposées. Les données financières et de paie ont représenté une proportion significative des données exfiltrées. L'incident a conduit à des recommandations CISA (Cybersecurity and Infrastructure Security Agency) sur la segmentation des outils de transfert de fichiers par rapport aux systèmes de paiement et financiers.
La compromission de Medibank Private en Australie a exposé les données de 9,7 millions de clients dont des informations de santé et de paiement d'assurance. L'attaque a utilisé les identifiants d'un prestataire IT tiers pour accéder aux systèmes de l'assureur. Des clients européens dont les données de paiement d'assurance santé étaient gérées par des affiliés de Medibank ont également été affectés, illustrant la propagation des risques d'intégration à travers les chaînes de prestataires internationales.
La compromission du Bangladesh Bank via SWIFT a utilisé des malwares installés sur des postes Windows connectés à la fois au réseau interne de la banque et au client SWIFT local. L'intégration entre les systèmes IT de supervision réseau et le client SWIFT — une pratique opérationnelle courante pour la maintenance — a fourni le vecteur permettant aux attaquants d'accéder aux interfaces de messagerie interbancaire et d'effacer les journaux locaux. SWIFT a depuis imposé le Customer Security Programme (CSP) à tous ses membres pour renforcer la sécurité des environnements IT autour du client SWIFT.