L'ingénierie sociale est la principale cybermenace pour les banques PHL

LES SCHÉMAS D'INGÉNIERIE SOCIALE, tels que les escroqueries par hameçonnage, constituent la principale cybermenace ayant affecté les banques philippines au premier semestre 2025, posant un risque persistant pour le système de paiements numériques du pays, a déclaré la Bangko Sentral ng Pilipinas (BSP).

Selon la surveillance des cybermenaces de la BSP au premier semestre 2025, l'ingénierie sociale, la prise de contrôle de comptes et le vol d'identité ont représenté 76 % du montant total perdu en raison de fraudes financières au cours de cette période.

"Cela reflète en fait ce que d'autres superviseurs constatent. Nous voyons que l'ingénierie sociale reste le principal moteur des menaces liées à la cybersécurité", a déclaré la gouverneure adjointe de la BSP, Lyn I. Javier, lors d'une session d'information médiatique à Dumaguete City lundi.

"Nous observons donc l'hameçonnage, le vishing et le smishing — soulignant à nouveau l'élément humain, exploitant la confiance du public ou des personnes. C'est une vulnérabilité que ces acteurs de menace exploitent également pour mettre en œuvre leurs stratagèmes ou escroqueries."

L'hameçonnage implique l'utilisation de courriels, de messages texte ou de liens frauduleux pour voler des informations personnelles, financières ou de compte. Le vishing, ou hameçonnage vocal, est une forme d'hameçonnage utilisant des appels téléphoniques ou des messages vocaux, tandis que le smishing se fait par messages texte.

Pendant ce temps, le piratage était la deuxième cybermenace la plus courante dans le système bancaire, représentant 13 % des pertes totales, suivi par la fraude à la carte bancaire sans présentation avec 8 %.

Mme Javier a déclaré que les cybermenaces deviennent plus fréquentes, ciblées et évolutives.

"Et à mesure que la vitesse augmente, les pertes augmentent également, la fenêtre de récupération se réduit, et cela permet à la cybercriminalité de se développer plus rapidement qu'auparavant", a-t-elle déclaré.

"Donc... lorsque nous parlons de risque cybernétique, ce n'est plus seulement une question technologique. Il s'agit de confiance, de comportement et d'un défi d'écosystème auquel nous devons tous contribuer pour protéger le système financier. Cela affecte directement la confiance des consommateurs, la résilience opérationnelle et pose finalement des risques pour la stabilité financière."

Elle a ajouté que l'interconnexion croissante du système financier a élargi les points d'attaque potentiels pour les cybercriminels, car il existe des vulnérabilités potentielles accrues qu'ils peuvent exploiter.

Cela accroît également les risques pour la stabilité financière, car un point de défaillance unique pourrait également affecter d'autres institutions, a-t-elle déclaré.

"Le risque cybernétique évolue, il change, et nous devons également apprendre à nous adapter à cette évolution... Une attaque dans une institution financière ne signifie pas nécessairement qu'elle sera confinée à cette institution. Elle pourrait affecter d'autres institutions financières connectées à cette banque. Cela signifie donc les services offerts aux entreprises et aux ménages", a-t-elle déclaré.

"Maintenant, les enjeux deviennent plus importants lorsque les incidents cybernétiques attaquent des infrastructures critiques du marché financier — par exemple, le système de paiements. Et ce qui est encore plus difficile, c'est lorsqu'ils attaquent les comptes d'individus, de déposants, et que cela prend de l'ampleur, cela pourrait en fait déclencher des retraits massifs dans une institution financière, déclenchant des problèmes de liquidité et parfois des problèmes de capital dans cette institution financière en raison de la perte de confiance du public dans cette banque particulière. La confiance du public ou la confiance des déposants, c'est le cœur, c'est le fondement de la banque. Nous devons donc prendre soin de cette confiance."

Elle a déclaré que bien qu'il n'existe aucune défense infaillible contre les cyberattaques, la banque centrale et les parties prenantes de l'industrie continuent de mettre en place diverses règles et mesures pour renforcer la résilience du secteur financier.

La BSP exige que toutes les institutions financières qu'elle supervise soumettent des rapports réguliers et événementiels couvrant les informations liées à la technologie ainsi que les incidents de cyberattaques majeures. Mme Javier a ajouté qu'ils surveillent les menaces potentielles via les plateformes de médias sociaux et la base de données des incidents de cybersécurité.

La BSP a également demandé aux banques de mettre à jour leurs systèmes de gestion de fraude respectifs pour se conformer aux règles et réglementations de mise en œuvre de la loi anti-escroqueries de comptes financiers. Elle a donné aux prêteurs jusqu'au 25 juin pour se conformer, ajoutant que le non-respect pourrait entraîner une suspension de licence. — Katherine K. Chan