Systèmes d'information

La confiance : levier essentiel pour la transformation numérique

Dans la course au digital à laquelle participent les acteurs bancaires, la sécurité des systèmes d’information doit sans cesse s’adapter aux changements technologiques, aux évolutions réglementaires et à l’ingéniosité des cybercriminels. Pour conserver la confiance des clients.

cybersécurité

L'auteur

Revue de l'article

Les banques ont toujours eu une relation de confiance privilégiée avec leurs clients. Historiquement basée sur la relation humaine client-conseiller, celle-ci a d’ailleurs aussi été un de leurs principaux facteurs de différenciation.

Malgré la transformation numérique, les clients considèrent encore leur banque comme le premier acteur de confiance (51 %), loin devant les opérateurs de télécommunications (13 %) et les GAFA (10 %) [1]. Cependant, cette confiance n’est pas acquise : 74 % des clients indiquent pouvoir être amenés à changer de banque en cas d’incident de sécurité [2]. La cybersécurité devient donc un challenge business à part entière, à piloter au plus haut niveau des banques !

En même temps, les systèmes d’information de toutes les banques se transforment en profondeur, s’ouvrent vers l’extérieur et accueillent en continu des services innovants. Maintenir la confiance dans ce contexte n’est pas une mince affaire, d’autant qu’il faut composer avec des cybercriminels attisés par le succès retentissant de quelques attaques (Bank of Bangladesh, Tesco…), et avec des régulateurs inquiets qui exigent de plus en plus de sécurité.

La sécurité pleinement intégrée dans la course au digital

Dans une course automobile, les pilotes n’hésitent pas à accélérer, car ils savent qu’ils pourront compter sur leurs freins en cas de besoin. Les banques l’ont bien compris : la course au digital étant désormais pleinement engagée, les équipes sécurité doivent intégralement prendre part aux transformations et s’ajuster en conséquence.

Pour suivre ce mouvement, ces équipes sécurité gagnent en agilité en décloisonnant leur organisation et en s’intégrant directement dans les chantiers de transformation structurants. Les « péages » sécurité de fin de projet sont progressivement abandonnés au profit de contrôles plus réguliers tout au long d’un projet, et d’accompagnements sécurité orientés sur les enjeux métier du projet. Certaines banques construisent ainsi de véritables cellules d’expertises sécurité « projetables » dans les différents projets de l’entreprise, au fonctionnement proche d’un cabinet de conseil (affectation de ressources à la demi-journée, capacité de projection sur de larges plaques géographiques…).

D’un point de vue technologique, certaines mutations impactent profondément les méthodes de sécurité traditionnelles. Prenons comme exemple l’évolution du paysage compétitif et la désintermédiation, actuellement sous le feu des projecteurs avec la DSP2 [3]. Les banques sont progressivement amenées à ouvrir leur système d’information à de nouveaux acteurs, leur permettant de consommer certains services pour le compte de leurs clients. Les répercussions sécurité ne sont pas anodines et impactent les mécanismes traditionnels. Par exemple, l’exposition soudaine de ces informations autrefois protégées au cœur des data centers, et dorénavant exposées à de potentiels concurrents, implique naturellement des ajustements en matière de contrôle d’accès et d’anti-fraude.

Autre transformation en cours, le « profiling client ». Les banques investissent massivement pour mieux connaître leurs clients et leur offrir des services sur-mesure (ajustement de crédit, location d’appartement…). Derrière cette évolution se cachent de nouveaux terrains technologiques amenant leur lot de défis sécurité : Big Data, Machine Learning, intelligence artificielle, chatbots… Par ailleurs, cette connaissance accrue des clients implique l’utilisation toujours plus massive de données personnelles, et donc autant de données sensibles à protéger pour conserver la confiance des clients.

Les cybercriminels s’activent : attention aux sorties de route

Au-delà de l’objectif de la course, les équipes sécurité doivent évidemment garder un œil sur l’extérieur pour se protéger des nouvelles menaces et éviter l’accident. Les banques comptent parmi les acteurs les plus exposés aux cyberattaques et pour arriver à leurs fins, les cybercriminels attaquent sur tous les fronts : systèmes exposés, clients (phishing, malwares bancaires…), allant même jusqu’à cibler en profondeur les systèmes back-office.

Les services exposés à l’extérieur (sites web institutionnels, banque en ligne…) ont toujours été attaqués. Leurs mécanismes de protection sont bien connus des équipes sécurité : dispositifs anti déni de service, durcissement des plates-formes Internet, tests d’intrusion réguliers… Néanmoins, une vigilance importante est toujours indispensable puisque, par définition, les services exposés sont accessibles à tous, et des attaquants motivés peuvent toujours finir par trouver la faille et faire des dégâts. Tesco Bank en a par exemple fait les frais en 2016 lorsque des cybercriminels ont réussi à voler 2,5 millions de livres sur 9 000 comptes clients. Au-delà des montants, c’est surtout l’impact sur la confiance qui est désastreux : beaucoup de clients ont eu la désagréable surprise de constater par eux-mêmes les modifications des soldes de leurs comptes. Face à ce type d’attaque, les équipes sécurité ne doivent donc pas rester sur leurs acquis mais innover dans les mesures de protection et de contrôle. Tendances du moment, les banques investissent par exemple dans la mise en place de démarches « Bug Bounty » consistant à offrir des récompenses à des hackers externes lors de la découverte de failles, sur le modèle des grands acteurs du logiciel ou des agences gouvernementales. De même, de nombreuses banques structurent actuellement des équipes, appelées « Red Teams », composées de « hackers éthiques » dont l’objectif est de tester la robustesse des systèmes en simulant le comportement d’un attaquant.

Mais ce que les banques redoutent par-dessus tout aujourd’hui, ce sont des attaques en profondeur, silencieuses et sophistiquées. Ces attaques, parfois appelées APT (Advanced Persistent Threat) visent en général les chaînes transactionnelles critiques de la banque dans une logique évidente de gains. Le traumatisme de Bank of Bangladesh, victime d’une attaque en 2016 sur ses systèmes SWIFT ayant permis de dérober 80 millions de dollars via des virements frauduleux, demeure encore dans tous les esprits. Une vingtaine de banques ont reçu une piqûre de rappel en décembre 2017 avec le vol, entre autres, de 11 millions de dollars impliquant une compromission des chaînes d’accès à AWS CBR (équivalent russe de SWIFT). À chaque fois, les attaquants n’hésitent pas à investir et développer une connaissance très approfondie du fonctionnement des systèmes bancaires visés. Les mesures de sécurité historiques ne suffisent plus à bloquer ou détecter ces nouvelles menaces spécialement conçues pour les contourner. Il s’agit donc de prendre les devants, d’une part en déployant des mécanismes de protection avancée ciblés sur les chaînes critiques, d’autre part et surtout en perfectionnant les capacités de détection et de réaction rapide. De nombreux établissements travaillent actuellement à la création de cellules anti-fraude cyber, embarquant des compétences cybersécurité et des compétences purement métier, afin d’anticiper les fraudes, savoir les détecter et réagir en conséquence. Ce type d’organisation s’appuie sur des mécanismes techniques avancés tels que le Machine Learning qui vient progressivement compléter la détection statique en identifiant des comportements anormaux, ou la Deceptive Security qui consiste à déployer des leurres dans le système d’information pour piéger et comprendre les méthodes des attaquants.

Des passages au stand réglementaires à bien négocier

Toutes ces menaces poussent les régulateurs à prendre les choses en main, et le rythme ne va pas faiblir en 2018 ! Nous l’avons évoqué précédemment, les équipes sécurité sont largement mises à contribution dans le cadre de l’entrée en vigueur de la Directive DSP2 en janvier 2018. Le Règlement européen sur la protection des données personnelles (GDPR) entrera quant à lui en application quelques mois après, en mai 2018. Même s’il s’agit d’un chantier beaucoup plus vaste que la cybersécurité, les travaux ne manqueront pas pour les équipes : chiffrement des données, anonymisation, renforcement des capacités de détection d’incidents, etc.

Les banques doivent désormais pouvoir répondre à des acteurs étatiques soucieux du niveau de protection des données personnelles, mais aussi de la protection des activités sensibles pour les citoyens. En la matière, les équipes sécurité de certaines banques françaises (celles qui font partie des opérateurs d’importance vitale (OIV), dont la liste est confidentielle) travaillent déjà activement à la mise en conformité de leurs systèmes critiques avec la loi de programmation militaire, et devront bientôt ajuster leurs plans d’actions pour répondre aux exigences de l’Europe. La directive Network and Information Security (NIS) dont la transcription dans le droit national doit être effectuée d’ici le 9 mai 2018, s’inscrit en effet dans cette même logique de protection des opérateurs essentiels. À ces réglementations s’ajoutent les politiques spécifiques de certains états cyberprotectionnistes (Chine, Russie, Luxembourg…), imposant des mesures de territorialité impactantes pour les systèmes d’information bancaires hyperconnectés.

Par ailleurs, la Banque Centrale Européenne diligente désormais des missions de contrôle cybersécurité au sein des banques, et de multiples acteurs de l’écosystème bancaire imposent des exigences pour limiter les risques sur leurs périmètres respectifs : PCI Security Standards Council pour la protection des données carte (PCI-DSS), SWIFT CSP pour la protection des infrastructures d’accès SWIFT, etc.

Les mesures de sécurité et les projets qui en découlent sont souvent « classiques », mais les banques doivent jongler avec habileté avec tous ces référentiels mais pour ne pas être ralenties par ces passages aux stands imposés par les régulateurs. Pour ce faire, les équipes sécurité interprètent les textes, optimisent les solutions, négocient parfois directement avec les régulateurs, et surtout adoptent une vision transverse des contraintes réglementaires pour rationaliser les projets, et assurer une cohérence d’ensemble.

Un changement de dimension pour les responsables sécurité

Accompagner la transformation numérique de la banque, suivre le rythme des menaces et ne pas se noyer sous le poids des réglementations : voilà aujourd’hui les trois grands défis cybersécurité des banques.

Face aux enjeux, les banques investissent plus que jamais ! La Société Générale a ainsi annoncé fin 2017 un budget cybersécurité de 650 millions d’euros sur les trois prochaines années [4]. Outre Atlantique, JP Morgan va même jusqu’à y consacrer 500 millions de dollars par an. En conséquence, le métier de responsables sécurité évolue grandement au sein des banques. Ces Chief Information Security Officers (CISO), experts reconnus, deviennent progressivement de véritables Chief Investment Security Officers, à la tête de portefeuilles projet conséquents. La plupart des responsables sécurité structurent tous ces projets sous forme de programme cybersécurité afin d’apporter une vision globale au top management, et fournir de manière consolidée des métriques sur la couverture des risques, le respect des réglementations et l’intégration dans les transformations en cours.

 

 

[1] Réponse à la question « Quelles sont les organisations à qui vous faites confiance ? » – Résultats de l’étude Wavestone « La vie privée à l’air du numérique : au-delà de la conformité, un enjeu de confiance ».

[2] Résultats de l’étude Capgemini Consulting : une banque ou assurance sur cinq a confiance en sa capacité à détecter une cyberattaque.

[3] Directive sur les  services de paiement.

[4] https://www.societegenerale.com/sites/default/files/documents/Investor-day/2017/presentations.pdf

 

Sommaire du dossier

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

Sur le même sujet