Secteur bancaire : la sécurité informatique d’abord !

Les consommateurs veulent que leur banque paie des intérêts sur leur argent et leur offre des services bancaires simples. Ce souhait est à la hauteur de la sécurité de leurs transactions et de leurs données contre les cyber-attaques. La cybersécurité ne peut donc pas être surestimée par les banques et les prestataires de services financiers.

La demande allemande en matière de sécurité bancaire est élevée, souvent même supérieure à la performance. Une enquête de la banque HSBC montre que les Allemands seraient plus nombreux à se tourner vers un concurrent en raison d'un manque de sécurité dans leur banque attitrée que si le rendement de leurs fonds propres était trop faible. Dans l'ensemble, les banques de ce pays jouissent d'une grande confiance de leurs clients dans la sécurité de leur argent et de leurs données. La situation est différente, surtout en ce qui concerne les services bancaires en ligne. Selon l'indice de sécurité DsiN 2016, environ 40 % des consommateurs interrogés qualifient les transactions bancaires sur Internet de "dangereuses" ou "très dangereuses". En comparaison, ce chiffre n'est que de 20 % lorsque l'on fait des achats chez les commerçants en ligne.

Zone de sécurité des transactions de paiement difficile à protéger

Si les institutions veulent gagner leur prime de confiance générale dans l'environnement en ligne et rester à la hauteur de la concurrence numérique, elles doivent constamment concilier des exigences élevées en matière de sécurité informatique avec des innovations pour le client. En Allemagne, les prestataires de services financiers travaillent généralement selon la devise "La sécurité informatique d'abord". C'est ce que montrent clairement les résultats de l'étude "Potential Analysis Digital Security by Sopra Steria Consulting". Dans plus de 85 % des institutions, il est de pratique courante qu'aucun nouveau produit numérique ou nouveau logiciel interne ne soit lancé sans un concept de sécurité informatique. Dans une entreprise sur trois, un tel concept doit même être en place avant que - métaphoriquement parlant - la première ligne de code puisse être écrite.

Spécifiquement dans les transactions de paiement, l'équilibre entre sécurité et innovation exige une extrême flexibilité. La pression exercée sur les banques est immense pour qu'elles ne perdent pas complètement le marché au profit de PayPal et Cie. Les systèmes de paiement numérique simples sont très demandés par les consommateurs et ont leurs limites. Les prestataires de services de paiement doivent répondre à cette situation par des offres - réagir rapidement. Dans le même temps, ils doivent mettre au point des mécanismes qui offrent une protection contre des modèles d'attaque en constante évolution, comme c'est le cas pour pratiquement tous les autres produits du secteur bancaire.

Les investissements dans la cybersécurité devraient inclure la banque et le client, car les attaquants ne ciblent pas seulement les banques directement, mais ont depuis longtemps identifié le client comme un point faible : Le défi consiste à trouver un équilibre entre la sécurité, la vie privée et l'expérience du client. Un système efficace de prévention de la fraude combine donc différentes approches et méthodes. Il s'agit notamment de l'identification sécurisée du client grâce à des procédures d'authentification faciles à utiliser, de la vérification des transactions en temps réel fondée sur des règles, de procédures de reconnaissance des modèles pour détecter les paiements ostentatoires et de l'incorporation de méthodes de prévision, par exemple par l’apprentissage automatisé basé sur des ensembles de données historiques. Des réglementations strictes sont applicables sur les services de paiement  pour prévenir contre les risques  

Plus on utilise de données provenant de différentes sources dans la prévention de la fraude, meilleurs sont les résultats. Par exemple, les données GPS du smartphone ou de l'application bancaire du client au moment d'un achat pourraient être comparées aux données IP du lieu du dernier paiement par carte. Mais c'est aux banques de mettre leurs solutions de prévention en conformité avec la nouvelle réglementation sur la protection des données. Entre autres, le règlement de base de l'UE sur la protection des données, qui entrera en vigueur en mai 2018, exige que la suppression des données stockées soit aussi simple pour le client que le consentement à leur utilisation. Si la finalité du traitement des données change, le client doit être informé et, si nécessaire, donner à nouveau son consentement.

SIEM : La sécurité de l'information de demain

L'analyse des résultats montre que la sécurité informatique fait partie intégrante de la gestion de l'innovation dans les banques - sans toutefois ralentir le développement de nouveaux produits en soi. De nombreuses institutions sont maintenant conscientes qu'elles ne doivent pas simplement arrêter le développement d'une nouvelle application ou la mise à jour d'un logiciel en général, car l'analyse des besoins de protection et l'évaluation des risques, les mesures pour éviter les cyber-attaques ne sont pas disponibles dans leur intégralité et en détail au début du projet.

Cela contredit les attentes du marché en matière d'agilité. Il est donc important de trouver un équilibre entre sécurité et développement rapide des produits. La sécurité informatique dans le secteur bancaire est devenue un enjeu primordial. Les foudres trouvent des failles dans les procédures de paiement. A travers des brèches informatiques, ils procèdent au détournement. Le danger et le risque numérique est bien présent. Les entreprises craignent pour leur sécurité et décident de faire appel à des experts dans la protection de système. En France, la situation évolue et les informations bancaires sont mieux protégées. Les réseaux de démantèlement prennent les choses en main.    

Les opérations de paiement ne seront cependant plus la cible principale des fraudeurs et des cybercriminels à l'avenir. Plus les banques deviennent des entreprises numériques et travaillent en réseau avec des clients, des fournisseurs et des partenaires, plus les établissements sont tenus de sécuriser ces interfaces. Deux tiers des prestataires de services financiers sont mis en réseau avec des prestataires de services via des plateformes numériques ou des solutions logicielles - par exemple avec les partenaires de Fintech et avec les fournisseurs de services en nuage. Le soin apporté à la sélection et à la gestion des partenaires est la première priorité. Par exemple, un fournisseur de services financiers sur deux accepte des mesures de sécurité minimales, exige un certificat de sécurité de ses fournisseurs de services et procède à des audits réguliers.

Toutefois, les écosystèmes numériques en pleine expansion ne peuvent plus être protégés par une surveillance de type classique. La détection automatisée des attaques basée sur les données de journal des applications, des infrastructures et des composants de réseau - également connue sous le nom de gestion des informations et des événements de sécurité (SIEM) - devient de plus en plus importante. Cette forme de surveillance des systèmes et applications informatiques deviendra à l'avenir un instrument indispensable du système de contrôle interne (SCI) des banques. Le développement de scénarios d'attaque possibles (cas d'utilisation) et les mécanismes de contrôle appropriés (règles SIEM) seront à l'avenir gérés par l'intelligence artificielle, par exemple IBM Watson, de sorte que les cyberattaques puissent être contrées immédiatement, avec un degré élevé de volatilité et de focalisation.

Conclusion : le mélange de précautions interdépendantes

WannaCry a été un signal d'alarme qui augmentera encore la prise de conscience prononcée de la sécurité informatique dans le secteur bancaire. L'Internet des objets et, surtout dans le cas des banques, l'expansion des méthodes de paiement mobile aggravent encore la situation en raison du grand nombre d'appareils et d'organisations en réseau. Une approche purement technique ne va pas assez loin. Ce qu'il faut, c'est un mélange de précautions interdépendantes, consistant en une stratégie dirigée par le conseil d'administration, des procédures automatisées de prévention et de contrôle - parfois même de réaction - et des solutions de sécurité intelligentes qui détectent indépendamment les fuites de sécurité, ainsi qu'une sensibilisation continue de tous les employés.

Les cybercriminels s’attaquent essentiellement aux employés de banque. Grâce à l’ordinateur et au réseau informatique, ces groupes de hackers propagent des logiciels malveillants et les personnelles de la banques sont démunis. Via un seul poste, ils peuvent contaminer tout le réseau et voler les informations personnelles des clients. Ainsi, la mise place de protocole de protection de données est essentielle dans les banques. La sécurité informatique bancaire est soumise à un enjeu crucial. Les responsables de sécurités doivent arriver à authentifier au maximum les clients tout en assouplissant les procédures.   

Pour l’Analyse du potentiel de sécurité numérique, plus de 200 (n=205) décideurs informatiques d'entreprises de 500 employés ou plus dans les secteurs de la banque, de l'assurance, des autres services financiers, des services publics, de l'automobile, des autres industries manufacturières, des télécommunications et des médias, et de l'administration publique ont été interrogés en avril 2017 pour le compte de Sopra Steria Consulting. Les sociétés de conseil et les fournisseurs de solutions informatiques ont été explicitement exclus.