La sécurité informatique est-elle un frein au télétravail dans les institutions financières ?

&Agrave; l&rsquo;&egrave;re de la mobilit&eacute; et du tout digital, les banques n&rsquo;ont pas attendu la crise exceptionnelle de la Covid-19 pour initier leur transformation et se soumettre &agrave; des contraintes sp&eacute;cifiques en termes de s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information (SI). Encourag&eacute;es ou forc&eacute;es par des r&eacute;glementations locales ou europ&eacute;ennes &ndash; 2e directive sur les services de paiement (DSP 2), normes techniques de r&eacute;glementation (Regulatory Technical Standards &ndash; RTS), R&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es (RGPD), directive Network and Information System Security (NIS), Professionnels du secteur financier (PSF) &ndash;, elles ont presque toutes d&eacute;sign&eacute; un Responsable de la s&eacute;curit&eacute; du syst&egrave;me d&rsquo;information (RSSI) en charge de garantir leur protection et leur conformit&eacute;. &Agrave; cet &eacute;gard, quel a &eacute;t&eacute; l&rsquo;impact de la mise en t&eacute;l&eacute;travail massive due &agrave; la situation exceptionnelle li&eacute;e &agrave; la Covid-19 sur leur s&eacute;curit&eacute; informatique ? Alors que les entreprises &eacute;prouvaient progressivement leurs process de s&eacute;curit&eacute; avec une population minoritaire de collaborateurs &eacute;quip&eacute;s et sensibilis&eacute;s aux risques, il leur a fallu &eacute;tendre cette mobilit&eacute; en un temps record &agrave; quasiment l&rsquo;ensemble des collaborateurs internes et externes de l&rsquo;entreprise. Et comme toute action pr&eacute;cipit&eacute;e, le risque r&eacute;side dans l&rsquo;absence de contr&ocirc;le de ces situations. Organisation de la mise en t&eacute;l&eacute;travail massive Lorsque les dispositifs de t&eacute;l&eacute;travail g&eacute;n&eacute;ralis&eacute;s ont &eacute;t&eacute; pr&eacute;conis&eacute;s, toutes les banques n'ont pas jou&eacute; pas &agrave; armes &eacute;gales Certaines ont d&rsquo;abord activ&eacute; leur site de secours lorsqu&rsquo;il &eacute;tait g&eacute;ographiquement accessible, d&rsquo;autres ont fait l&rsquo;inventaire de leurs &eacute;quipements et d&eacute;fini la liste des collaborateurs &eacute;ligibles et prioritaires en fonction du mat&eacute;riel disponible et de la criticit&eacute; du poste. D&rsquo;autres encore, d&eacute;pendantes de tiers pour la gestion de leur SI, ont &eacute;t&eacute; compl&egrave;tement contraintes par le calendrier de ces derniers pour le d&eacute;ploiement de solutions mobiles. L&rsquo;objectif de toutes &eacute;tait bien s&ucirc;r d&rsquo;&ecirc;tre capables de maintenir a minima les activit&eacute;s critiques, ou, mieux encore, une activit&eacute; aussi proche de la normale que possible. Mais comme l&rsquo;ont rappel&eacute; de nombreux experts, les situations de crise ou d&rsquo;incertitude sont un terrain de jeu id&eacute;al pour les hackers. Petit rappel des risques li&eacute;s &agrave; la s&eacute;curit&eacute; informatique M&ecirc;me si aujourd&rsquo;hui, ces risques sont largement connus, il est toujours bon de rappeler que ce qui inqui&egrave;te les entreprises aujourd&rsquo;hui est de pouvoir garantir la disponibilit&eacute;, la confidentialit&eacute; et l&rsquo;int&eacute;grit&eacute; des informations. Il existe diff&eacute;rents niveaux de s&eacute;curit&eacute; (et donc diff&eacute;rents co&ucirc;ts) qu&rsquo;il est bon d&rsquo;adapter en fonction de la valeur des donn&eacute;es &agrave; traiter. Voici quelques questions que le RSSI se posera afin d&rsquo;estimer le niveau de protection n&eacute;cessaire &agrave; l&rsquo;activit&eacute; : &ndash; Combien de temps mon activit&eacute; peut-elle tenir sans acc&egrave;s &agrave; mes donn&eacute;es ? &ndash; Quel risque pour mon activit&eacute; de perdre totalement mes donn&eacute;es ? &ndash; &Agrave; qui mes donn&eacute;es pourraient-elles profiter ? &ndash; Certaines personnes sont-elles pr&ecirc;tes &agrave; payer pour acc&eacute;der aux informations que je d&eacute;tiens ? &ndash; Quel serait l'impact sur mon activit&eacute;, et sur les march&eacute;s, si mes donn&eacute;es &eacute;taient alt&eacute;r&eacute;es ? &ndash; Mes collaborateurs sont-ils sensibilis&eacute;s/form&eacute;s &agrave; la s&eacute;curit&eacute; informatique ? Bien entendu, le risque encouru par les banques sur les march&eacute;s financiers est tel que les r&eacute;gulateurs ont d&eacute;cid&eacute; de normaliser le niveau de s&eacute;curit&eacute; n&eacute;cessaire &agrave; ces organismes, afin de limiter les effets syst&eacute;miques. Comment s&eacute;curiser ? Une faille de s&eacute;curit&eacute; sur un syst&egrave;me bancaire pourrait mettre en p&eacute;ril non seulement la banque elle-m&ecirc;me, mais &eacute;galement, par un effet syst&eacute;mique, tout le syst&egrave;me tel que nous le connaissons. C&rsquo;est pourquoi ces dix derni&egrave;res ann&eacute;es, les expertises en cybers&eacute;curit&eacute; ont &eacute;volu&eacute; en int&eacute;grant la cybercriminalit&eacute;. Les pr&eacute;conisations sont nombreuses ; les soci&eacute;t&eacute;s sp&eacute;cialis&eacute;es, les sites et les organismes d&rsquo;&Eacute;tat qui accompagnent le sont tout autant [1] et accompagnent aussi bien les professionnels que les particuliers. Une mauvaise gestion de cette s&eacute;curit&eacute; peut co&ucirc;ter tr&egrave;s cher sur le plan &eacute;conomique. Et au-del&agrave; du co&ucirc;t, l&rsquo;image et la cr&eacute;dibilit&eacute; des institutions s&rsquo;en trouvent fortement atteintes. Tous les experts se rejoignent pour dire que la question n&rsquo;est plus de savoir si une institution sera attaqu&eacute;e ou non mais quand, et la r&eacute;ponse s&eacute;curitaire r&eacute;side dans la capacit&eacute; et le temps de r&eacute;sistance qui y seront oppos&eacute;s. Si les institutions financi&egrave;res ma&icirc;trisent leur s&eacute;curit&eacute; interne &agrave; l&rsquo;entreprise, c&rsquo;est la s&eacute;curit&eacute; distante qui est le principal enjeu. La s&eacute;curit&eacute; de l&rsquo;information initi&eacute;e par l&rsquo;entreprise pour ses t&eacute;l&eacute;travailleurs n&eacute;cessite un certain nombre de pr&eacute;requis. Par exemple, l&rsquo;utilisation d&rsquo;un r&eacute;seau VPN pour encapsuler les &eacute;changes de donn&eacute;es, d&rsquo;un pare-feu pour prot&eacute;ger des intrusions et du cryptage des donn&eacute;es, etc. Le danger est que, dans certains cas, ces outils et process peuvent relever de la responsabilit&eacute; du t&eacute;l&eacute;travailleur, avec un risque de mauvaise compr&eacute;hension ou assimilation des r&egrave;gles. Exemples de r&egrave;gles relevant purement de la responsabilit&eacute; de l&rsquo;entreprise : &ndash; une authentification avec un login g&eacute;n&eacute;r&eacute; par l&rsquo;entreprise afin de s&rsquo;assurer que l&rsquo;acc&egrave;s soit bien identifi&eacute; (trac&eacute;) ; &ndash; un mot de passe suffisamment complexe afin de d&eacute;jouer les outils d'attaque par &laquo; brute force &raquo; (recherche de mot de passe par essais successifs), qui prendront plus ou moins de temps en fonction de cette complexit&eacute; ; &ndash; un renouvellement r&eacute;gulier du mot de passe, afin de d&eacute;jouer les outils d&rsquo;attaque massive en force brute ; &ndash; une double authentification avec un &laquo; jeton &raquo; physique ou virtuel (hard ou soft token), pour s&rsquo;assurer que le login/mot de passe n&rsquo;ont pas &eacute;t&eacute; d&eacute;tourn&eacute;s et que l&rsquo;utilisateur est bien la personne qu&rsquo;il pr&eacute;tend ; &ndash; un syst&egrave;me de cryptage applicatif (ex : ssl) pour coder toutes les informations &eacute;chang&eacute;es ; &ndash; un antivirus/antimalware/pare-feu &agrave; jour, afin d&rsquo;emp&ecirc;cher des intrusions malveillantes entrantes via certains applicatifs t&eacute;l&eacute;charg&eacute;s dans des mails ou sur certains sites. Exemples de r&egrave;gles d&eacute;pendant du collaborateur/t&eacute;l&eacute;travailleur : &ndash; un acc&egrave;s &agrave; un r&eacute;seau wifi (id&eacute;alement priv&eacute;) avec une cl&eacute; WPA2 (au minimum) afin de d&eacute;courager les intrusions ; &ndash; une configuration du lieu qui doit mettre le collaborateur &agrave; l&rsquo;abri des regards indiscrets lorsqu&rsquo;il entre ses login et mot de passe ; &ndash; un usage aguerri &agrave; la s&eacute;curit&eacute; informatique via une sensibilisation ou des formations pour &eacute;viter qu&rsquo;un collaborateur ne mette &agrave; mal la s&eacute;curit&eacute;. D&rsquo;autres rappels des pr&eacute;cautions &eacute;l&eacute;mentaires peuvent &ecirc;tre retrouv&eacute;s sur le site de l&rsquo;ANSSI : https://www.ssi.gouv.fr/entreprise/precautions-elementaires/. xxxxmettre ici sch&eacute;ma 1xxx Comment s&rsquo;assurer de la s&eacute;curit&eacute; des syst&egrave;mes d'information ? Une fois que toutes ces couches de s&eacute;curit&eacute; sont ma&icirc;tris&eacute;es et configur&eacute;es, et que les t&eacute;l&eacute;travailleurs ont &eacute;t&eacute; form&eacute;s, la phase de veille de s&eacute;curit&eacute; peut d&eacute;marrer. Car &agrave; chaque &eacute;volution technologique, les attaques &eacute;voluent en parall&egrave;le. Il est donc indispensable de r&eacute;&eacute;valuer p&eacute;riodiquement sa s&eacute;curit&eacute;, via un audit. Il existe de nombreuses soci&eacute;t&eacute;s d&rsquo;audit en s&eacute;curit&eacute; informatique sp&eacute;cialis&eacute;es en &eacute;valuation des SI qui testent les points de vuln&eacute;rabilit&eacute; traditionnels ou en int&eacute;grant les derni&egrave;res innovations. Quelles le&ccedil;ons &agrave; tirer de la situation ? Si d&rsquo;un point de vue technologique, les institutions financi&egrave;res ont d&eacute;j&agrave; beaucoup investi pour assurer la s&eacute;curit&eacute; de leur SI, la principale source de vuln&eacute;rabilit&eacute; reste humaine, aussi bien en interne qu&rsquo;&agrave; l&rsquo;ext&eacute;rieur de l&rsquo;entreprise. Il est donc essentiel que cette dimension soit au cœur de la d&eacute;marche de s&eacute;curit&eacute; de l&rsquo;organisation. En effet, malgr&eacute; les efforts consid&eacute;rables men&eacute;s par les institutions financi&egrave;res pour faire face aux n&eacute;cessit&eacute;s du t&eacute;l&eacute;travail pendant la p&eacute;riode de confinement, lorsque l&rsquo;entreprise, dans sa quasi-int&eacute;gralit&eacute;, se retrouve &agrave; t&eacute;l&eacute;travailler, c&rsquo;est toute l&rsquo;organisation qui se trouve transform&eacute;e. Cela rend d&rsquo;autre part les audits et le pilotage de la s&eacute;curit&eacute; d&rsquo;autant plus complexes. Digitalisation, mobilit&eacute;, et s&eacute;curit&eacute; vont donc de pair et il semble opportun d&rsquo;utiliser les organisations modernes, telles qu&rsquo;elles existent dans les grandes institutions financi&egrave;res. En plus du RSSI, il est judicieux de s&rsquo;appuyer sur un Chief Digital Officer ou un Chief Data Officer, afin de conduire les chantiers de la mobilit&eacute; &agrave; travers ce qui conditionnera sa r&eacute;ussite : infrastructure, outils, organisation et s&eacute;curit&eacute;. 1 Par exemple https://www.cases.lu/ ; https://www.ssi.gouv.fr/.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Protection

La sécurité informatique est-elle un frein au télétravail dans les institutions financières ?

En plus du Responsable de la sécurité du système d’information (RSSI), il est judicieux de s’appuyer sur un Chief Digital Officer ou un Chief Data Officer (CDO), afin de conduire les chantiers de la mobilité.

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous