.png)
Mastercard, Recorded Future et la cybercriminalité financière : comprendre la menace pour mieux se défendre
Cybercriminalité industrielle, explosion des fraudes, attaques dopées à l'intelligence artificielle : le secteur financier fait face à une menace devenue systémique. Jean-Marie Groppo, Country Manager chez Recorded Future, revient dans L'Angle d'Attaque sur l'évolution des attaques visant les institutions financières et sur la réponse que construit Mastercard.
Le secteur financier subit jusqu'à 300 fois plus de cyberattaques que les autres industries. Ce chiffre, issu d'un rapport KnowBe4 publié en 2025, a de quoi donner le vertige. Les banques, les opérateurs de paiement et leurs partenaires sont devenus, au fil des deux dernières décennies, les cibles de choix d'un écosystème criminel internationalisé et de mieux en mieux outillé. Le Fonds Monétaire International évalue les pertes annuelles potentielles liées aux cyberattaques à près de 9% du bénéfice net mondial des établissements bancaires, soit environ 100 milliards de dollars. L'Autorité Bancaire Européenne est plus directe encore : en 2024, 27% des cyberattaques visant les banques européennes ont été jugées graves, contre 11% l'année précédente. Et plus de la moitié d'entre elles ont abouti.
Derrière ces statistiques se joue la question de la connaissance. Savoir qu'on est attaqué ne suffit pas. Il faut comprendre par qui, avec quoi et dans quel but. C'est entre la détection d'une anomalie et la compréhension de sa nature que se joue désormais l'essentiel. C'est précisément cet espace que Mastercard a décidé d'investir en rachetant, pour 2,65 milliards de dollars finalisés le 20 décembre 2024, la société américaine Recorded Future, spécialiste mondial du renseignement sur les menaces cyber. Jean-Marie Groppo, country manager de Recorded Future, décrit ce que cette fusion rend possible. "Mastercard a un savoir-faire énorme autour des transactions mais aussi de la fraude, des tentatives ou des suspicions de fraude, des abus, du vol d'informations par phishing", explique-t-il. "Il y a un point de jonction, c'est-à-dire de pouvoir corréler les deux choses et de pouvoir s'assurer que ces suspicions d'attaques que voit Mastercard soient réelles ou pas." Réelles ou pas : la formule dit tout du problème. Les équipes de sécurité des grandes institutions financières croulent sous les alertes. Leur travail quotidien n'est pas de trouver des menaces mais de distinguer les vraies des fausses, les urgentes des secondaires, parmi des milliers de signaux simultanés. "Le volume d'information est tel qu'il faut traiter les bonnes informations d'abord", résume Groppo.
À lire aussi : Données personnelles et IA : comment vos gestes quotidiens ont entraîné l'intelligence artificielle à votre insu
Ce que Recorded Future apporte dans cet équilibre, c'est une cartographie de l'adversaire. La société collecte en continu des données sur le dark web, les forums criminels, les places de marché illicites, les groupes de hackers… Et construit à partir de là une intelligence opérationnelle sur les acteurs malveillants (leurs méthodes, leurs cibles et leurs campagnes en cours). Appliquée à un réseau comme celui de Mastercard (2400 partenaires financiers et plusieurs dizaines de milliers de fournisseurs), cette capacité prend une dimension autre. "La surface d'attaque étendue, c'est-à-dire celle de Mastercard, celle des partenaires et celle des vulnérabilités est très large", observe Groppo. "Recorded Future emmène un savoir-faire autour des actions malveillantes sur les vulnérabilités de ses partenaires et de Mastercard." Un prestataire mal sécurisé ou une faille dans un logiciel utilisé par une banque partenaire représente autant de portes d'entrée potentielles, que la connaissance de l'adversaire permet d'identifier et d'anticiper.
Le dark web comme terrain de renseignement
Entre 2023 et 2024, les données de 2,3 millions de cartes bancaires ont été publiées sur le darknet selon une analyse de Kaspersky présentée au Mobile World Congress 2025, et 95% de ces numéros seraient encore actifs et exploitables. En France, 40 000 personnes seraient directement concernées. Ces données sont aspirées, discrètement, par des logiciels malveillants appelés infostealers (des programmes qui s'installent sur les machines des victimes, souvent via des liens de phishing ou des fichiers piégés, et qui transmettent en silence les identifiants, numéros de carte, cookies de session).
.jpg)
C'est là que la notion de "threat intelligence" prend tout son sens pour un acteur comme Mastercard. Car ces données volées ne disparaissent pas dans le néant : elles s'échangent, se revendent, circulent sur des places de marché spécialisées, parfois des mois après leur collecte. Un opérateur capable de surveiller ces marchés en temps réel peut potentiellement identifier qu'une carte compromise est en circulation, avant que la fraude ne se produise. "Sur le moyen de paiement, sur les cartes, on peut s'assurer que les cartes ne sont pas abusées, ne sont pas volées, ne sont pas fraudées et que l'information n'est pas partie", souligne Groppo.
À lire aussi : Claude Mythos, MCP et agents IA : quand la surface d'attaque devient incontrôlable
La chaîne d'attaque qui mène à ces compromissions suit des vecteurs que les spécialistes connaissent bien. Le phishing reste le vecteur dominant en France. La Banque de France a recensé plus de 4 millions d'incidents liés aux opérations frauduleuses en 2023, soit une hausse de 16,9% en volume. Le ransomware, lui, est ce que Groppo appelle "le plus impactant pour les entreprises parce qu'il porte un arrêt des opérations", avec une mécanique désormais bien rodée : vol des données d'abord, chiffrement ensuite, double menace de publication et de paralysie pour maximiser la pression.
L'IA, nouveau levier des attaquants
Ce paysage déjà complexe s'est récemment enrichi d'une couche supplémentaire avec la diffusion de l'intelligence artificielle générative comme outil au service des attaquants. "Avec l'IA, on a une accélération des deepfakes, des usurpations d'identités et des abus au sens large", analyse Groppo. Le phishing, vecteur roi depuis des années, gagne en crédibilité grâce à des messages personnalisés, sans fautes, rédigés dans la langue et le ton de l'interlocuteur visé. Les deepfakes vocaux permettent d'imiter la voix d'un dirigeant pour ordonner un virement. Une étude de l'University College London publiée en 2023 établit que les humains sont incapables de détecter fiablement les voix synthétiques : dans 27% des cas, une voix clonée par IA passe inaperçue, y compris après sensibilisation.
.jpg)
Pour les institutions financières, ce glissement vers la manipulation du facteur humain est particulièrement préoccupant. "L'humain reste toujours un point de faille ou un point d'entrée principal ou prépondérant dans les entreprises", constate Groppo. "L'IA a tendance à travailler sur l'humain avec le deepfake, parce que l'humain est sensible et peut se laisser conditionner par de l'IA." Ce n'est pas que les systèmes techniques soient dépassés, l'authentification forte, les protocoles zero trust, les SOC sont désormais en place dans la plupart des grands établissements. C'est que l'IA abaisse le coût et la complexité des attaques ciblant ce que ces systèmes ne peuvent pas mécaniquement protéger : le jugement humain. "L'IA va apporter un côté industriel dans les cyberattaques à la vitesse de la machine", résume-t-il.
À lire aussi : Guerre des blocs, drones, IA et souveraineté numérique : ce que le Risk Summit 2026 révèle sur le monde de demain
Recorded Future a lancé début 2025 une solution baptisée ATO (Automated Threat Operations) qui tente de fermer la boucle entre la détection d'une menace externe et l'action de défense interne. La chaîne est la suivante : collecter des signaux d'attaque sur le web et le dark web, les confronter automatiquement aux systèmes de l'entreprise pour valider ou invalider la menace, puis, si elle est confirmée, modifier en temps réel les configurations des infrastructures de sécurité pour la bloquer. "On commence à travailler à la vitesse de l'IA, c'est-à-dire à la vitesse de la machine", dit Groppo. Si l'attaque est industrielle, la défense doit l'être aussi.
Une maturité à deux vitesses
Reste une fracture que ni le rachat de Recorded Future ni les solutions agentiques ne combleront seuls. "Toute société aujourd'hui qui a une surface d'attaque exposée sur internet est une cible potentielle, indépendamment de sa maturité. Malheureusement il y en a des plus matures avec plus de moyens et il y en a qui sont très ciblées avec moins de moyens", observe Groppo. Les grandes banques systémiques investissent depuis des années dans leurs dispositifs, renforcées par les obligations réglementaires du Digital Operational Resilience Act entré en vigueur en 2025. Mais les 2400 partenaires de Mastercard ne sont pas tous des institutions de premier plan, et leurs fournisseurs encore moins. Une compromission chez un prestataire peut suffire à contaminer toute une infrastructure. La campagne MOVEit de 2024, menée par le groupe Clop via une faille dans un logiciel de transfert de fichiers, a touché plus de 2700 organisations, dont au moins quinze banques à travers le monde.
À lire aussi : IA et cybersécurité en 2026 : attaques plus rapides, défenses augmentées... Ce qui change vraiment
Le savoir-faire de Recorded Future sur les vulnérabilités des partenaires et des fournisseurs est une nécessité, dans ce contexte. La finance a toujours su gérer le risque. Elle en a fait une discipline, une science, une culture. Le risque cyber est en train de rejoindre cet héritage. Mais là où le risque de crédit ou de marché s'évalue sur des modèles construits depuis des décennies, la menace cyber exige quelque chose de différent : une intelligence vivante, capable de s'adapter à un adversaire qui, lui, ne se repose jamais.
.avif)
.avif)