Quelle cybersécurité pour les banques à l’heure de l’Open Banking ?
Une tendance croissante au hold up numérique
1 milliard de dollars volé lors de l’affaire Carbanak de 2015,
5 millions d’euros détournés via l’utilisation du réseau de communication interbancaire Swift,
13,5 millions de billets volés en moins de deux heures via le serveur de distributeur de billets de la banque indienne Cosmos Bank.
Ces scandales rappellent que le risque cyber croît parallèlement à la numérisation de l’économie. Et le système bancaire est devenu au fur et à mesure une cible privilégiée alors que les cyberattaques se montrent de plus en plus sophistiquées et de plus en plus nombreuses. En quoi le secteur bancaire peut-il se montrer plus vulnérable vis à vis des attaques cyber? Comment peut-il s’organiser aujourd’hui pour sauvegarder l’ensemble des données qu’il traite et se prémunir d’une mauvaise publicité et d’un engagement civil et pénal ?
Quand internet est devenu un transporteur de fonds
Le secteur financier connaît depuis quelques années deux grands changements systémiques :
- Dématérialisation de ses services : digitalisation croissante du parcours client,
- Open Banking : les acteurs traditionnels doivent désormais ouvrir l’accès à certaines données de leurs clients aux nouveaux entrants sur le marché pour favoriser le développement de services innovants.
Ces deux tendances créent de nouvelles dynamiques sur le secteur, accompagnées de son lot de risques. En effet, les données stockées numériquement, l’augmentation des interconnexions entre acteurs financiers et l’entrée de nouveaux acteurs technologiques (fintech, GAFAs, BAXT, externalisation des services cloud) viennent remodeler les interactions entre les différentes parties prenantes d’une part et sont autant d’opportunités pour les hackers de pénétrer les systèmes d’information et détourner des fonds d’autre part.
Pour pallier les risques cyber et accompagner cette transformation organisationnelle, plusieurs réglementations viennent protéger le secteur bancaire. On constate ainsi la coopération entre l’AMF (autorité des marchés financiers) et l’ANSSI (agence nationale de sécurité des systèmes d’information), entre ANSSI et ACPR (autorité de contrôle prudentiel et de résolution dans les secteurs banques et assurances) dans le domaine de la protection des systèmes d’information. A cela s’ajoute des textes désormais incontournables tels que le DSP2, le RGPD et le NIS. Chacun de ces textes vise le renforcement des dispositifs de sécurisation des flux de données, le rehaussement des exigences sécuritaires et la création d’entités nationales compétentes en termes de cyber-sécurité.
Ce cadre contraignant vient booster l’innovation du secteur bancaire, au coeur d’un dilemme : Cette mise en place de haute sécurisation se heurte à une demande croissante de fluidité et d’efficacité des services numériques de la part des utilisateurs finaux. Il est donc essentiel de développer des solutions permettant une authentification forte des clients ou collaborateurs sans pour autant rendre la user experience rebutante.
“La plupart des problèmes informatiques se trouvent entre l’ordinateur et la chaise”
Et c’est peut être sur ce point précis que les banques devront investir de nouveaux efforts. En effet, le maillon humain est bien souvent trop négligé quand il s’agit de cyber sécurité. DSI et RSSI sont en effet bien souvent confrontés aux mauvaises pratiques de l’utilisateur final qui vient affaiblir la sécurité d’un système : pages web douteuses, logiciels corrompus, fichiers joints malveillants… D’après l’étude “The Global State of Information Security Survey 2017” de PwC, 32,2% des entreprises françaises estiment que leur collaborateurs sont involontairement à l’origine de certaines attaques informatique survenues en 2016. Il est donc primordial d’intégrer l’humain aux stratégies de sécurité informatique.
Vers des stratégies de cyber-résilience
C’est avec cette nouvelle dimension que les entreprises bancaires commencent à développer leur cyber-résilience. Il s’agit avant tout de la capacité à se préparer et à s’adapter à des conditions évolutives, à récupérer rapidement ses capacités après une attaque. Avec une telle stratégie, les entreprises souhaitent gérer la sécurité avec une approche holistique intégrant individus, processus et technologies. La gestion des risques cyber au sein du secteur bancaire passe à la fois par une maîtrise de la mise en place des technologies numériques mais également par la mobilisation d’un capital humain, à sensibiliser et former.
