Le secteur des services financiers repose sur la confiance. Toute violation de la sécurité et non-conformité entraîne des pénalités et des coûts élevés en termes de réputation. Il est donc impératif que les banques améliorent leur cybersécurité, une tâche de plus en plus difficile à l’ère du numérique.

Le rythme accéléré des changements et les flux de données de plus en plus importants exigent une gestion accrue des risques opérationnels, et notamment des questions liées à la sécurité et à la conformité pour les banques de détail. Les dirigeants bancaires d’aujourd’hui sont confrontés à deux forces quelque peu opposées : la nécessité de procéder à une transformation numérique et celle d’assurer la sécurité de leurs systèmes.

Fausse confiance

Compte tenu des enjeux, il est surprenant d’entendre de nombreux dirigeants de banques déclarer être moins préoccupés par la cybercriminalité qu’il y a trois ans. Selon une étude de Cornerstone, près de 50 % des dirigeants de banques ont placé la cybersécurité en tête de leur liste de préoccupations en 2018. En 2020, ce chiffre est tombé à 21 %.

Même si ces données ne reflètent pas entièrement l’impact de la COVID-19, elles montrent cependant que ces dernières années la cybersécurité est devenue une habitude. De nombreuses banques disposent aujourd’hui de meilleures pratiques de sécurité interne, de responsables de la protection des données et de systèmes d’alerte. Cependant, il y a encore un certain niveau de complaisance. Et il est peu probable que les choses deviennent plus faciles dorénavant.

La numérisation des services financiers se poursuit. L’introduction de l’open banking a créé de nouvelles opportunités mais aussi de nouvelles vulnérabilités. Les pirates informatiques utilisent l’intelligence artificielle pour accroître l’efficacité de leurs attaques. Les menaces persistantes avancées provenant d’acteurs étatiques constituent un problème permanent, et de nombreuses banques n’ont pas encore accepté toutes les implications du cloud en termes de sécurité. Pour mieux comprendre, nous examinerons trois défis de la cybersécurité et discuterons de la manière dont les banques peuvent y répondre.

Les cybermenaces pendant la COVID-19

Les escrocs aiment s’attaquer aux événements inattendus ou aux difficultés, et la pandémie mondiale n’a pas fait exception. Les nombreuses personnes contraintes de travailler à domicile ont offert aux acteurs malveillants des possibilités accrues de cibler les contrôles d’accès à distance faibles, les nouveaux dispositifs d’extrémité et les employés naïfs.

Depuis que le WFH est devenu la valeur par défaut en 2020, 74 % des banques ont signalé une hausse des cyberattaques. En outre, on constate une recrudescence des courriels d’hameçonnage, des attaques DDoS, des fraudes dans les centres d’appels et des incidents d’ingénierie sociale. En effet, l’année dernière, les cybermenaces – des domaines malveillants aux logiciels malveillants en passant par les rançongiciels – ont augmenté de manière générale.

Solutions

Les banques doivent s’adapter à une réalité où les employés opèrent en dehors de la sécurité des clôtures de leur réseau. Par conséquent, il faut se concentrer sur la sécurisation des points d’extrémité, notamment des ordinateurs portables et des appareils mobiles. Il faut également utiliser la technologie du bureau-serveur virtuel ou les réseaux privés virtuels (VPN) pour permettre l’accès aux réseaux internes.

Le défi de l’équipement doit également être pris en compte en mettant à la disposition des employés le plus de matériel possible équipé de protections contre les logiciels malveillants, AV et pare-feux locaux. Enfin, de nombreuses banques de premier plan ont également mis en place des initiatives pédagogiques afin d’informer et de rappeler au personnel les règles de cyber-hygiène.

Questions relatives à l’adoption du cloud

McKinsey estime que 40 % à 90 % des charges de travail des banques seront hébergées sur le cloud public d’ici dix ans. Pourtant, la sécurité est actuellement l’obstacle à l’adoption le plus souvent cité. En ce qui concerne la migration vers le cloud, le problème est de faire confiance à un tiers pour stocker les données et gérer les opérations sensibles liées à la sécurité. Il peut être difficile pour les institutions financières disposant de plusieurs réseaux en nuage de savoir où sont stockées les données et où elles sont consultées.

Il y a aussi la question de la souveraineté des données et (dans certains endroits) de l’incertitude réglementaire. Cette situation et la consolidation de nombreuses organisations au sein d’un même fournisseur de services en nuage (FSC) constituent une cible particulièrement attrayante pour les criminels potentiels.

Solutions

Tout d’abord, il convient de noter que faire confiance à un fournisseur de services en nuage ne représente plus un risque. Les banques se font de plus en plus à l’idée que les grands fournisseurs de services en nuage, avec leurs énormes budgets informatiques, sont probablement l’option la plus fiable.

En ce qui concerne les opérations sensibles à la sécurité, ces problèmes peuvent être largement atténués par une diligence raisonnable, en examinant les procédures et, comme l’indique un récent éditorial, en ne sélectionnant que des centres de données approuvés par la norme PCI DSS et des fournisseurs de services approuvés par la norme PCI PIN. En outre, les banques peuvent (et doivent) mettre en place un groupe de travail dédié à la cybersécurité dans le nuage afin de discuter des nouveaux développements, des indicateurs clés et créer des listes de contrôle de la sécurité et des plans de surveillance du réseau.

Open banking et tiers fournisseurs

Selon une étude 49 % des clients des banques pensent que leurs données seront moins sûres avec l’introduction de l’open banking. Cette crainte n’est pas infondée, car les données peuvent être exposées non seulement lors d’une attaque directe contre une application bancaire, mais aussi lorsqu’une API utilisée par une application est compromise.

En effet, les responsables utilisent souvent des attaques par force brute ou par hameçonnage visant des développeurs d’API individuels. L’abus d’identifiants permet également au pirate d’utiliser des informations de connexion volées pour accéder à des systèmes sensibles. Selon une source, 75 % des attaques de ce type contre le secteur des services financiers visent les API. De plus, même avec l’open banking, la banque assume toujours la responsabilité d’une violation. Il est donc essentiel que les institutions financières surveillent correctement les risques de tiers.

Solutions

En matière d’open banking, il faut une approche à plusieurs niveaux. Le recours à l’authentification multifactorielle permet d’éviter un grand nombre de problèmes potentiels. Cependant, elle est encore plus efficace lorsqu’elle est associée aux outils d’intelligence artificielle (IA) et d’apprentissage automatique (ML) conçus pour surveiller les paiements acheminés par les API à la recherche de commandes, de transactions ou d’autres activités inhabituelles.

Dès le début, l’Europe a été consciente des risques inhérents à l’open banking. Et il convient de souligner qu’ils ont été soigneusement pris en compte dans la DSP2. En effet, ce règlement impose l’utilisation d’une authentification forte du client (SCA) lors de l’accès aux données bancaires. Il exige également que les acteurs soient régulés et soumis à des contraintes.

Les pratiques européennes en matière de SCA devraient être exportées vers d’autres marchés afin de limiter les risques liés à l’authentification. De même, le fait de conditionner l’accès aux données à la phase d’emballage d’un partenaire et de sécuriser l’accès par des moyens techniques avec des partenaires autorisés permettra de réduire encore ces risques.

Réflexions finales

Les cybercriminels déploient constamment de nouvelles tactiques, d’où l’importance pour les équipes de sécurité de mettre en place des contre-mesures de manière proactive avant que quelque chose ne se produise. Malgré les efforts importants déployés pour se protéger contre un flot continu d’attaques de plus en plus sophistiquées, la gestion des cyberrisques dans le secteur bancaire n’est pas une mince affaire. Les dirigeants bancaires doivent au moins comprendre et connaître les différentes cybermenaces auxquelles ils sont confrontés.

La conformité aux réglementations applicables est la première étape évidente vers la protection. Par ailleurs, les institutions financières doivent opérer en première ligne, en anticipant plutôt qu’en réagissant. Cela est possible grâce à une coopération accrue entre les banques et les entreprises financières. Le partage de notes sur les attaques et l’organisation de simulations n’élimineront probablement pas les cyberattaques, mais ils peuvent contribuer à renforcer les défenses et à réduire considérablement les temps de réponse.

Patrick Piton

Security Officer SaaS & Cloud Services

Sopra Banking Software