Acteurs bancaires

Banques, menaces cyber et évolutions fonctionnelles : la recherche d’un équilibre permanent

Les banques sont confrontées au défi de la « digitalisation » sous deux angles : la montée de la cybermenace et l’engouement pour toujours plus de fonctionnalités offertes ; défi qu’elles ont bien souvent relevé. L’entrée en vigueur de la DSP2, en introduisant de nouveaux acteurs et en bouleversant les responsabilités, accroît encore davantage l’exigence d’adaptation.

Equilibre

L'auteur

  • Gil Delille
    • Directeur des risques IT
      Crédit Agricole SA

Revue de l'article

Les banques, de par la nature de la « matière » qu’elles gèrent, en l’occurrence l’argent, ont toujours eu à se défendre de l’avidité et de l’inventivité de la criminalité, que ce soit à petite ou grande échelle. Depuis que l’argent existe, elles se sont adaptées à la variation des schémas de fraude apparus dans la foulée de chaque nouveau moyen mis à disposition des citoyens : fausse monnaie, lettres de créances falsifiées, braquages d’agences bancaires, attaques de transports de fonds, attaques de guichets automatisés… La question a toujours été de trouver un équilibre entre l’agrément d’usage – on ne fouille pas les clients à l’entrée d’une agence, on ne vérifie pas vos papiers d’identité pendant trois jours avant d’accepter de vous ouvrir un compte, on ne limite pas le plafond de paiement par carte bancaire à 50 euros, etc. – et le montant des pertes liées à l’activité criminelle résiduelle. La « vieille » profession bancaire a su s’adapter à la dématérialisation de l’argent, des marchés boursiers, à la banque en ligne (par téléphone, par Minitel, par Internet sur PC puis par smartphone), la banque en ligne avec passage d’ordres, la numérisation des opérations de trade banking

Alors, qu’en est-il de la « cybermenace » ? Il serait abusif de nier le fait qu’elle représente un défi sans précédent pour cette capacité d’adaptation continue de la profession bancaire à son environnement. Ce qui caractérise la cybermenace est la possibilité d’une intrusion au cœur des systèmes d’information qui, si elle n’était pas détectée à temps, permettrait de passer des ordres pour le compte de la banque elle-même ou d’en extraire de grandes quantités de données. Nous serions donc sur des montants de fraude et des dommages d’une toute nouvelle ampleur. Or cette nouvelle capacité d’intrusion survient alors que les interactions entre les SI bancaires et l’extérieur, via l’Internet, se développent rapidement sous deux influences : la demande des clients et le souhait des régulateurs de dynamiser le marché en facilitant l’entrée d’entreprises innovantes. Il y a donc un sentiment de péril imminent, car une analyse sommaire amène spontanément tout un chacun à la conclusion qu’une pression accrue sur un périmètre en extension n’a jamais, dans un contexte de défense classique (forteresse ou ligne Maginot), été de bon augure. Si l’on ajoute à cela la vulgarisation des techniques d’attaque (marché noir des outils de piratage, tutoriels) et l’impunité liée au fait que l’attaquant est souvent hors de la juridiction de l’attaqué, le tableau n’en devient que plus inquiétant.

Une adaptation continue à un écosystème évolutif

Mais l’erreur serait de considérer que les paramètres peuvent être analysés en extrapolant l’avenir, de manière basique, sur la base de constats actuels. Si nous prenons l’exemple des attaques à main armée d’agences bancaires, nous pourrions y trouver quelques indices de ce que le numérique copiera sur le physique. Le nombre de hold-up au début des années 2000 était de l’ordre d’un millier par an en France puis il est tombé à quelques dizaines depuis le début des années 2010. Pourtant, le nombre d’agences n’a pas significativement baissé, ni, probablement, le nombre de candidats au banditisme et ni le nombre d’armes en circulation. Mais il se trouve que la sécurité d’une agence a été repensée de fond en comble. Plutôt que d’ajouter toujours davantage de grilles et d’épaissir les cloisons de verre des guichets, une solution de rupture a été apportée : l’évitement permanent de toute présence de monnaie dans les agences. Le vécu actuel d’un client bancaire en visite à son agence bancaire n’a rien à voir avec l’expérience de la génération précédente (vitres blindées, sas). Il est évident que le monde numérique a la même transformation à engager et il est clair que la mutation a largement commencé.

Il y a trois domaines dont la sécurité doit évoluer en fonction de la nouvelle menace : les transactions bancaires, les données, l’intégrité des systèmes d’information.

Les transactions car la réussite d’une transaction frauduleuse peut engendrer des pertes très significatives. Or le champ des acteurs admis à passer directement des transactions sur des systèmes bancaires ne cesse de s’élargir. Les données car leur divulgation entacherait gravement l’image de tiers de confiance que les banques se sont construite depuis l’origine de la profession. Enfin, l’intégrité des systèmes d’information car le bon fonctionnement de certains systèmes bancaires ou interbancaires conditionne la stabilité de la Place et la performance de l’entreprise.

Assurer un niveau de sécurité toujours croissant dans ces trois domaines passe par un nombre limité de stratégies qui viennent compléter les approches de prévention et de protection auparavant prédominantes. En premier lieu vient le couple détection/réaction. Il s’agit de repérer la mise à l’épreuve, par l’attaquant, des systèmes de protection et de caractériser plus clairement en quoi consiste cette mise à l’épreuve. Un exemple simple : une erreur de mot de passe sur une application sensible doit déclencher une analyse mais lorsqu’elle se produit en dehors des heures d’activité des opérateurs de cette application, c’est une alerte qu’il s’agit de déclencher. Le développement de la capacité d’analyse des événements et l’enrichissement permanent de la liste des cas d’erreurs en fonction du contexte permettent déjà d’éviter une proportion importante de fraude (usage illicite de numéros de carte bancaire, virements douteux, etc.) et continueront à se développer (détection des changements d’habitude de l’opérateur, intonation, etc.).

Le second axe de développement est l’amélioration de l’urbanisation des systèmes, c’est-à-dire la manière dont ils sont agencés, regroupés, mis en relation. Cet effort est mené depuis longtemps mais était jusque-là guidé essentiellement par des considérations technologiques (cohabitation de technologies de différentes générations, séparation des rôles). Un monde de serveurs sous Windows interagit avec des groupes de serveurs sous Unix qui agissent ensuite au niveau de mainframes, ces ordinateurs centraux très puissants qui sont au cœur des systèmes bancaires. Il s’agit désormais de pousser le concept plus loin en prenant en considération d’autres nécessités :

  • la première nécessité est d’éviter toute interaction possible entre un logiciel reçu de l’Internet (dans un courriel, un téléchargement, etc.) et des dispositifs considérés comme essentiels (applications financières, consoles d’administration) ;
  • la seconde est de lutter contre la prolifération de données (dans un état exploitable par l’attaquant) hors des systèmes les plus sécurisés avec la même volonté, pugnacité et inventivité que ce qui a permis de bouter, année après année, la monnaie hors des murs des agences.

Une variable nouvelle dans l’écosystème rehausse le défi

L’on pourrait donc considérer que, bien que le défi à relever soit ambitieux, les entreprises bancaires ont bien identifié ce qu’il convient de faire et ont toutes les cartes en main. En fait, les choses se sont un peu compliquées du fait de l’irruption d’une contrainte nouvelle apportée par une directive européenne sur les services de paiement (DSP2). Il s’agit de permettre à des entreprises tierces d’agir sur les systèmes d’information des banques à deux fins : y déclencher des paiements et y collecter des données. Le but affiché par le régulateur est de dynamiser l’économie des services péri-bancaires et de permettre l’émergence de nouveaux acteurs et de nouveaux services, propices au développement de l’économie européenne. La réaction des banques a été forte et cela a été considéré comme une résistance de principe ou la résultante d’une logique de défense de privilèges. Mais le scepticisme des établissements a été majoritairement motivé par la sécurité des transactions et des données, car il ne s’agit plus d’interagir avec des tiers mais d’accueillir dans l’écosystème de sécurité des acteurs avec lesquels les banques risquent de partager les impacts en termes de fraude et d’image.

Revenons à notre image de l’agence bancaire. Nous pensions avoir astucieusement maîtrisé leur niveau de sécurité tout en y apportant l’agrément attendu par le client. Mais l’émergence d’entreprises tierces à qui l’on accorderait, pour aider leur développement en l’absence d’infrastructures immobilières, la possibilité de déposer des fonds dans les agences bancaires ruinerait le modèle de sécurité ; c’est un peu ce qui se prépare dans le domaine digital. L’équation sécuritaire sera en partie dépendante de tiers dont on ne connaît pas encore la capacité à relever les défis posés par la cybermenace.

Prenons notre premier axe de développement de la maîtrise de la cybermenace, pour rappel : la détection/réaction. Les banques protègent leurs clients en analysant constamment la préparation ou l’apparition de campagnes de phishing [1] pour prendre des mesures préventives (fermetures, dans le monde entier, de centaines de sites illégaux). Ces dispositifs résultent d’années de développement de savoir-faire et d’investissements hors de portée des start-up. Comment éviterons-nous qu’un client d’un tiers prestataire de services de paiement ne soit l’objet d’une fraude impactant son compte bancaire suite à l’extorsion de données d’authentification opérée dans le cadre d’un phishing imitant ledit prestataire ? Quel effort sécuritaire pourrons-nous attendre d’un tiers qui ne sera pas confronté en premier chef aux conséquences du piratage puisqu’il ne sera pas teneur du compte ?

Toujours dans ce domaine de la détection/réaction, comment constituerons-nous des listes d’événements anormaux à détecter s’ils mettent en jeu des tiers sur lesquels nous n’aurons pas de prise ?

Dans le second domaine, qu’en sera-t-il de la maîtrise de la prolifération des données si l’agrégation par des tiers débouche sur un stockage massif hors des frontières des banques où les données ont été collectées ?

Un défi de Place à relever

Nous voyons que l’évolution constante et défavorable de la cybermenace demande, et demandera, aux banques une adaptation des mécanismes de défense beaucoup plus profonde et rapide qu’elle n’a jamais été. Cette situation est combinée à une forte demande de services toujours plus riches et instantanés (instant payment). S’ajoute à cette combinaison déjà défavorable une transformation très impactante de l’écosystème qui contraindra les banques à concevoir une sécurité nouvelle en y associant des acteurs tiers qui ne pourront ou ne voudront pas nécessairement engager des moyens de prévention et détection proportionnels à l’impact potentiel de la cybercriminalité qui s’exercera sur eux et leurs clients et dont le traitement des conséquences incombera, au premier chef, aux banques.

La concomitance des révolutions (la cybermenace, la demande de fonctionnalités, l’écosystème des acteurs auprès du client) ne sera pas simple à gérer et sollicitera intensément la capacité démontrée et ancienne des banques à s’adapter aux technologies, aux menaces et aux nouveautés du marché. Un dialogue de Place de qualité, constructif, de niveau européen, doit se mettre en place. Il est pour l’instant basé sur une logique de réaction des banques face à des propositions des régulateurs mais doit rapidement céder le pas à une logique de co-construction. Nous en voyons les prémices à l’occasion de l’acceptation, par le régulateur (dans le cadre de la transposition, en France, de la directive Services de paiement), de la mise à disposition, par les banques, de canaux dédiés aux nouveaux acteurs et appuyés sur des techniques de communication d’ordinateur à ordinateur (les Applications Programming Interfaces – API). Bien qu’il semble purement technique, ce choix offre la perspective de satisfaire à la demande d’élargissement du marché des services financiers tout en préservant une capacité d’analyse pertinente des événements de sécurité par les banques (en permettant de différencier les clients et les ordinateurs des prestataires) et en permettant des corrections rapides des erreurs de jeunesse (les API peuvent être plus rapidement adaptées que les interfaces mises à disposition des utilisateurs). C’est un premier pas vers un écosystème équilibré et évolutif. Charge à l’ensemble des acteurs de la Place de le développer dans le respect des intérêts des clients et de l’économie.

 

 

[1] Technique consistant à contacter, par courriel, des millions d’internautes en se faisant passer pour une entreprise licite demandant des données bancaires (numéro de carte bancaire) ou personnelles. Une partie de ces millions d’internautes contactés, clients de l’entreprise imitée, se feront duper.

 

Sommaire du dossier

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

Articles du(des) même(s) auteur(s)

Sur le même sujet