Les attaques DDoS contre le secteur financier franchissent un nouveau cap

Botnets surboostés, API saturées : les attaques DDoS font vaciller la finance mondiale à coups de rafales volumétriques à la sophistication croissante. record. Entre hacktivisme géopolitique et services DDoS-for-Hire, les campagnes DDoS s’étendent désormais sur plusieurs jours, neutralisant des plateformes critiques et servant d’arme d’influence géopolitique.

Les attaques par déni de service distribué (DDoS) contre le secteur financier ne relèvent plus de la simple nuisance : elles deviennent un instrument stratégique capable d’entraver durablement les opérations et d’éroder la confiance des clients. C’est la principale conclusion qui émerge de la nouvelle étude conjointe menée par FS-ISAC et Akamai.

L’information est d’autant plus intéressante qu’en 2024, les établissements financiers ont à nouveau été la première cible mondiale des campagnes DDoS volumétriques, les volumes de trafic malveillant ayant même atteint des pics encore inédits en octobre.

Et les chiffres du rapport illustrent bien cette accélération : +23 % d’attaques sur la couche réseau « Layer 7 » entre 2023 et 2024 (autrement dit la couche applicative, celle des sites Web et des services bancaires en ligne), tandis que les offensives dirigées spécifiquement contre les API ont bondi de 58 % sur la même période. Les API sont au cœur des intercommunications des services et des logiciels. Conçues par nature pour être accessibles, elles sont forcément plus vulnérables à une surcharge de requêtes malveillantes. En attaquant une API, les cybercriminels peuvent ainsi paralyser plusieurs services qui en dépendent.

En résumé, non seulement le nombre total d’attaques augmente, mais les cybercriminels s’attaquent désormais de plus en plus aux points névralgiques et sophistiqués du système numérique financier. Cette évolution témoigne d’un changement dans l’approche des cybercriminels. « Les attaques DDoS évoluent rapidement, passant d’attaques massives classiques à des offensives ciblées et multidimensionnelles exploitant des vulnérabilités complexes dans toute la chaîne d’approvisionnement », souligne Teresa Walsh, Chief Intelligence Officer chez FS-ISAC.

Une puissance de feu qui ne cesse d’augmenter

Dans le même temps, on observe une hausse continue non seulement du nombre d’attaques volumétriques, mais aussi de leur puissance. Ces offensives reposent désormais sur des botnets de nouvelle génération, capables d’exploiter à très vaste échelle aussi bien les failles des multiples machines virtuelles hébergées dans le cloud que celles de millions d’objets connectés souvent mal protégés. Des pratiques qui aboutissent à une considérable extension la surface d’attaque à laquelle les institutions financières sont exposées.

Selon le rapport, les moyens déployés par les attaquants pour saturer les infrastructures ciblées progressent à un rythme plus soutenu que les capacités de défense mises en place par les établissements, rendant la tâche de protection toujours plus complexe et exigeante.

Des menaces qui gagnent en précision et sophistication

Au-delà du volume, la sophistication des attaques inquiète de plus en plus les experts. Ainsi, les groupes à l’origine de ces attaques DDoS adoptent désormais des méthodes beaucoup plus ingénieuses et méthodiques. Avant même de lancer leurs offensives, ils procèdent à des phases de reconnaissance discrètes : ils observent le fonctionnement normal des services, analysent le trafic, identifient les points faibles des infrastructures, et s’intéressent tout particulièrement aux interfaces API, souvent moins protégées. Grâce à des tests progressifs, ils évaluent en temps réel la réactivité et l’efficacité des dispositifs de défense, adaptant immédiatement leurs stratégies pour contourner les filtres ou saturer les points sensibles. Cette approche méthodique et itérative a permis à certains groupes d’infliger en 2024 des perturbations prolongées à des établissements financiers, avec des attaques qui ont parfois duré plusieurs jours, alors même que les organisations estimaient disposer de systèmes de mitigation robustes et dimensionnés pour faire face à ce type de menace.

L’ombre de la géopolitique plane sur le cyberespace

Et bien évidemment les tensions géopolitiques actuelles alimentent cette recrudescence. Les conflits en Ukraine et au Moyen-Orient servent de catalyseur à des collectifs hacktivistes qui brandissent la DDoS comme arme de protestation numérique. Ils ont donné naissance à une nouvelle génération de groupes aux motivations idéologiques affirmées. En octobre 2024, une campagne attribuée au collectif pro-palestinien RipperSec a visé plusieurs banques australiennes, alors que d’autres attaques non revendiquées frappaient la région au moment même d’importantes annonces diplomatiques liées à l’Ukraine et à l’exercice nucléaire de l’OTAN. D’autres groupes, tels que NoName057 (qui mènent des offensives quasi-quotidiennes en Europe depuis le début de la guerre en Ukraine) ou BlackMeta (qui s’en est pris durant 6 jours consécutifs à une institution financière des Emirats Arabes Unis), combinent motivations idéologiques et services DDoS-for-Hire, brouillant davantage l’attribution.

Le rapport constate que cette dimension politico-idéologique se traduit aussi par des disparités régionales. L’Asie-Pacifique concentre désormais 38 % des attaques volumétriques contre les services financiers (11 % seulement l’année précédente), tandis que l’EMEA, après le pic hacktiviste de 2023, voit ses volumes reculer mais reste la zone la plus ciblée (49 %) . En Amérique du Nord, les volumes se stabilisent, mais l’été 2024 a été marqué par une attaque record contre une grande banque américaine et par l’attaque massive contre les infrastructures Azure du 30 juillet, qui a paralysé Outlook et Office pendant près de dix heures.

S’armer et s’organiser pour se défendre

Au-delà des pannes immédiates, la menace est stratégique : interruption des chaînes de paiement, indisponibilité de services interbancaires, perte de revenus et dégradation de l’image de marque. « Les attaques DDoS visent à épuiser l’infrastructure réseau et les moyens de défense des institutions », rappelle Steve Winterfeld, Advisory CISO chez Akamai.

Pour y faire face, le rapport propose un DDoS Maturity Model à cinq niveaux. Cette approche permet aux institutions financières (et à leurs DSI/RSSI) d’évaluer leurs capacités défensives actuelles et d’identifier les axes d’amélioration prioritaires. Du niveau « initial », caractérisé par une absence totale de protection, au niveau « adaptatif » où les organisations disposent de capacités de réponse dynamiques en temps réel, ce framework à 5 niveaux offre une feuille de route claire pour renforcer la résilience face aux attaques DDoS et viser une défense intégrée, automatisée et testée en continu.

Pour renforcer leur résilience face à ces attaques, les auteurs de l’étude recommandent plusieurs axes d’action prioritaires.
D’abord, ils invitent les DSI à mettre en place une surveillance comportementale en temps réel afin de détecter rapidement toute activité anormale ou tentative de saturation, même subtile, des systèmes. Ensuite, ils encouragent une analyse complète des dépendances critiques, qu’il s’agisse des fournisseurs cloud, des opérateurs de transit Internet ou d’autres prestataires clés, afin d’identifier les maillons vulnérables de la chaîne et de mieux anticiper les risques de propagation.
Par ailleurs, le rapport insiste également sur l’importance de partager, au sein des communautés sectorielles, les indicateurs de compromission et les techniques d’attaque observées afin de renforcer la capacité collective de défense.
Enfin, la conduite régulière d’exercices de gestion de crise permet de tester la réactivité des équipes, d’identifier les failles organisationnelles et de s’assurer que les procédures en place sont réellement efficaces face à des scénarios réalistes.

Cette approche globale est d’autant plus nécessaire que, selon les experts, il demeure aujourd’hui relativement simple et peu coûteux de lancer une attaque DDoS, alors que les conséquences potentielles pour les institutions financières sont, elles, de plus en plus lourdes.

Au final, le rapport de FS-ISAC et Akamai rappelle une vérité encore sous-estimée : les attaques DDoS ne sont plus de simples nuisances techniques. Ce sont des menaces stratégiques et fréquentes, capables de compromettre durablement la confiance des clients et la continuité des opérations. Dans un contexte où la transformation numérique s’accélère, où les API ne cessent de se multiplier (plus encore désormais avec les cas d’usage de l’IA) et où les tensions géopolitiques impactent désormais directement la stratégie des DSI, la stabilité du système financier mondial dépend plus que jamais de la capacité des entreprises du secteur à anticiper et contrer ces attaques par déni de service.

À LIRE AUSSI :

Secu

Des attaques DDoS en croissance de 550%

Laurent Delattre

28 Fév

À LIRE AUSSI :

Cloud

Akamai : “Toute entreprise doit avoir un haut degré d’exigence cybersécurité envers ses partenaires”

Laurent Delattre

13 Jan

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !