Les marchés sont loin d'être à l'abri des cyber- pirates, malgré les efforts des opérateurs pour sécuriser leurs réseaux informatiques, comme l'a encore montré l'attaque début février contre la Bourse européenne du carbone.
"L'attaque dont a été victime le Bluenext (le marché du carbone) est extrêmement basique", dit Eric Filliol, du Club de la sécurité de l'information français (Clusif). Les cyber-criminels ont en effet utilisé dans ce cas la technique dite du "phishing" qui consiste à envoyer de faux courriels à des clients de la Bourse en leur demandant leur code client.
Alors qu'ils brassent des centaines de milliards par mois, les marchés boursiers sont-ils aussi facilement piratables qu'une société ordinaire ? "En fait, ils fonctionnent comme un réseau informatique classique. Ils sont donc soumis aux mêmes risques que n'importe quelle entreprise qui fonctionne en réseau", explique Eric Filliol.
Afin de sécuriser les transactions, les opérateurs boursiers font appel, comme d'autres entreprises, à des sociétés de sécurité informatique qui tentent de minimiser au maximum le risque de piratage. Mais le risque zéro n'existe pas. Et ce malgré toutes les précautions prises par les opérateurs.
Pour pouvoir intégrer les marchés, les clients sont soumis à la délivrance d'un agrément de la part des opérateurs boursiers qui comprend un volet sur la fiabilité de l'architecture informatique.
"Le problème c'est que dans les entreprises en réalité, les gens ne respectent pas forcément les règles. Et à partir du moment où un tiers est défaillant, il y a un risque", affirme Philippe Humeau, directeur associé d'une société de sécurité informatique NBS Systems.
Du coup, le très faible nombre d'attaques contre les marchés boursiers qui ont défrayé la chronique a de quoi surprendre. "Il y en a énormément, simplement on ne le dit pas", assure Philippe Humeau. Difficile de se faire une idée: il n'existe pas de loi en Europe, contrairement aux Etats-Unis, qui oblige les entreprises à communiquer quand elles se font pirater.
En 2006 en Russie, ou en 2007 sur le London Stock Exchange, les systèmes de cotation, dont la sécurité incombe aux opérateurs, avaient été attaqués, perturbant très sérieusement les marchés. Mais depuis, aucune attaque d'un système de cotation n'a été recensée.
"Ca c'est plus compliqué à faire. Ils ne sont qu'entre 200 à 2.000 dans le monde à pouvoir le faire, et c'est bien trop risqué maintenant", déclare Philippe Humeau.
Du côté de de Nyse Euronext, qui gère notamment la Bourse de Paris, la question est en tout cas sensible. "C'est un risque que l'on prend très au sérieux, comme toutes les entreprises. On dispose de l'ensemble des moyens de procédures et de technologies pour nous prémunir contre ce risque", explique le directeur de la communication, Stéphane Flex.
Selon plusieurs experts, une attaque coordonnée sur un marché boursier est totalement envisageable à l'heure actuelle et pourrait avoir des conséquences bien plus importantes que l'incident de Bluenext.
En France, un organisme qui relève du Premier ministre, l'Agence nationale de sécurité des système d'information (Anssi), est chargé de surveiller et de prévenir d'eventuelles cyber-attaques près de "150 points d'infrastructure vitale" du pays. Mais les marchés boursiers n'en font pas partie...