Le Japon a connu cette année une forte hausse des piratages de comptes de courtage de détail, poussant la majorité des entreprises à adopter l’authentification multifactorielle pour contrer cette menace croissante — une situation qui met en lumière la vulnérabilité du secteur aux risques réputationnels, selon Moody’s Ratings.
Citant des données de l’Agence japonaise des services financiers, l’agence de notation a indiqué qu’entre février et mi-avril de cette année, les sociétés de titres du pays ont été confrontées à au moins 1 454 cas de piratage de comptes, qui ont coûté environ 100 milliards de yens (700 millions de dollars américains).
Ces violations impliquent généralement des attaques par hameçonnage qui visent à voler les noms d’utilisateur et les mots de passe des investisseurs en utilisant de faux sites web qui imitent les sites de vraies sociétés de courtage. Les pirates utilisent ensuite les informations d’identification volées pour accéder aux comptes des investisseurs et liquider leurs avoirs, en utilisant le produit de la vente pour acheter d’autres actions qui seront utilisées pour manipuler le marché.
« Les pirates réalisent des profits en faisant monter le prix des actions par des transactions frauduleuses et en vendant ces actions en utilisant d’autres comptes qu’ils contrôlent. Il est probable que les comptes piratés se retrouvent en fin de compte avec des pertes, car les actions qu’ils ont servi à acheter perdent de la valeur », note Moody’s Ratings.
En réponse à cette situation, la plupart des entreprises qui proposent des transactions en ligne mettent désormais en place une authentification multifactorielle obligatoire pour se prémunir contre ce type d’attaques, observe l’agence.
Selon le rapport, l’authentification multifactorielle s’est avérée très efficace contre ce type d’attaques, mais elle n’a pas été universellement adoptée pour plusieurs raisons, notamment « une mise en œuvre potentiellement complexe, des problèmes de compatibilité avec les anciens réseaux d’entreprise et le fait que les utilisateurs trouvent l’authentification multifactorielle peu pratique ».
Pour le secteur des valeurs mobilières, ces violations entraîneront probablement des coûts supplémentaires, car les entreprises devront renforcer leurs systèmes et améliorer leur gestion des risques, en plus des indemnités potentielles qu’elles devront verser pour les pertes subies par leurs clients.
« Si l’introduction de l’authentification multifactorielle obligatoire pour les transactions de détail atténuera les cyberrisques, ce qui est un point positif, les violations récentes mettent néanmoins en évidence la forte exposition des maisons de titres aux risques liés aux relations avec les clients », note le rapport.
Les attaques « menacent également de saper les initiatives du gouvernement » telles qu’un nouveau programme d’épargne-retraite bénéficiant d’une aide fiscale qui a « entraîné une augmentation de l’activité d’investissement à l’échelle nationale », rappelle Moody’s Ratings.