Banques : une transition digitale longue, coûteuse et douloureuse ?

La sécurité du système bancaire et financier est de plus en plus mise à l’épreuve avec la multiplication et la sophistication des cyberattaques.

Le nerf de la guerre : la data. Entre solutions de protection et nouvelles législations, le secteur ne semble pas prêt à lutter sur tous les fronts.

L’explosion quantitative des données n’est pas un phénomène nouveau. Mais il s’est incroyablement accéléré sous le double effet de la digitalisation et du développement des objets et services connectés. Données clients, fournisseurs, produits, processus, machines, etc. : les entreprises sont littéralement inondées de données. Cette accumulation de data n’est cependant pas synonyme de meilleures prises de décisions. En effet, seules, les données ne rendent pas les entreprises qui les manipulent plus agiles. Au-delà du stockage, elles sont soumises à de nombreux défis : capacité à traiter ces informations, à les exploiter intelligemment, à les mettre à disposition des utilisateurs pour construire un avantage concurrentiel et à les protéger. Ignorer le fort potentiel du Big Data, c’est prendre le risque de se faire doubler par un concurrent plus visionnaire. Cela est vrai pour tous les secteurs, et notamment pour celui de la Banque, domaine dans lequel les sociétés investissent le plus dans l’exploitation de données.

Aujourd’hui, même si les banques consacrent un temps considérable et mobilisent de nombreuses ressources à la collecte et au traitement des données courantes, le volet sécuritaire pose problème : de nombreuses failles sont trop souvent repérées et exploitées par des cyberbraqueurs. Pour ouvrir les coffres forts, désormais, les hold-up se font à distance via des intrusions sophistiquées dans les systèmes informatiques des sociétés financières.

Quels sont les dégâts et conséquences de ces cyberattaques ? Comment les entreprises peuvent-elles muscler leur défense ? Pour quelle stratégie doivent-elles opter à l’ère du Big Data ?

Un contexte sectoriel compliqué

D’après un sondage mené par Kapersky Lab et B2B International, sept banques sur dix ont déjà été touchées par des cyberfraudes. Bernard Delas, vice-président de l’Autorité de contrôle prudentiel et de résolution (ACPR), prévient : « les échanges de données à distance, désormais au coeur du modèle d’affaire des banquiers et des assureurs, constituent la cible privilégiée des hackers. Si les fraudes venaient à se multiplier, c’est toute l’économie du numérique qui serait menacée. »

« Les échanges de données à distance, désormais au coeur du modèle d’affaire des banquiers et des assureurs, constituent la cible privilégiée des hackers. Si les fraudes venaient à se multiplier, c’est toute l’économie du numérique qui serait menacée. »

Bernard Delas, vice-président de l’Autorité de contrôle prudentiel et de résolution (ACPR)

Les banques, les systèmes de paiement et les entreprises d’e-commerce ont travaillé dur pour sécuriser davantage les transactions financières en ligne. Mais le renforcement des mesures de sécurité n’est efficace que si les utilisateurs appliquent quelques bonnes pratiques simples : ne jamais cliquer sur des liens ou des pièces jointes envoyés par des inconnus, faire attention aux fichiers inhabituels, ne pas utiliser des bornes Wi-Fi publiques pour effectuer des paiements en ligne ou encore s’assurer de l’authenticité d’un site Web en vérifiant par exemple le format de l’URL. 

Toujours selon ce même sondage, 63 % des banques interrogées à l’échelle mondiale considèrent les mauvaises habitudes de leurs clients comme un facteur déterminant dans les cyberattaques. Bien souvent, les pertes financières enregistrées ne sont pas la simple conséquence d’un problème stricto-technique mais d’une négligence humaine commise qui vient, par la suite, bouleverser les systèmes de protection trop fragiles de certains centres financiers. Et les erreurs se paient cash. Exemples à l’appui : la Banque centrale du Bangladesh a perdu l’équivalent de plus de 70 millions d’euros à cause de cyberattaques répétées, la Banque centrale russe a vu 29 millions d’euros partir en fumée en une nuit, un groupe de trois cybervoleurs – arrêtés en Espagne en mars 2018 – a volé un milliard d’euros à plus de 100 institutions financières dans 40 pays en un laps de temps record, ou encore CoinDash qui s'est fait dérober 6 millions d’euros en seulement trois minutes.

Le secteur de la banque est devenu une cible de choix. Rien d’étonnant en soi puisque le fait d’utiliser internet comme réseau de transport de fonds l’expose naturellement aux dangers du Net.

Oui, car au-delà de créer de la frustration générale et une rupture de confiance entre les hommes et le numérique, ces attaques coûtent cher, très cher, et personne n’est épargné. En moyenne, un incident cyber lié aux comptes bancaires impute les particuliers d’une perte de 1 300 euros, les entreprises de 9 500 euros et les banques d’un million d’euros. Si ces failles venaient à se multiplier, la situation serait intenable.

"La fraude financière reste une menace majeure pour les entreprises comme les particuliers, mais des avancées considérables ont été faites ces dernières années."

Tanguy de Coatpont, directeur général de Kaspersky Lab France

Une intensification des tests cybersécuritaires

A mesure que les banques continuent d’affronter les disruptions engendrées par les technologies émergentes, elles doivent améliorer leurs modèles de cybersécurité, cherchant un équilibre entre les possibilités et les risques associés à leurs initiatives numériques et d’innovation. Elles sont conscientes que la protection de leur périmètre est de plus en plus ardue au sein d’un écosystème numérique interconnecté où les menaces vont en s’amplifiant.

Les banques repensent donc également l’architecture de leur sécurité et complètent les contrôles habituels à l’aide de contrôles pointus multipliant les étapes. En guise d’exemple, depuis quelques mois à peine, la Banque centrale européenne (BCE) souhaite promouvoir des tests d’intrusions dans les systèmes informatiques des banques menés par des ressources externes. Dans le jargon de la sécurité, on parle de « red team », l'équipe chargée de jouer le rôle des « attaquants », par opposition à la « blue team », l'ensemble des salariés de la banque qui devront faire face à l'attaque. Ces contrôles font notamment appel à la protection centrée sur les données, à l’authentification adaptative, à l’analytique des identifications, à la gestion et à la protection des appareils et à l’analytique des menaces tirant parti de la puissance offerte par le Big Data et les technologies infonuagiques.

« La clé de la réussite consiste ici à intégrer la cybersécurité au cadre de transformation opérationnelle d’une banque dans son ensemble. Autrement dit, réfléchir consciemment à la cybersécurité dès la conception, vérifier l’existence de failles avant le lancement de nouveaux produits ou services, et effectuer périodiquement de nouveaux tests pour repérer les éventuelles vulnérabilités.»

Philippe Trouchaud, associé Cyber Intelligence chez PwC,

Un manque de main-d’oeuvre qualifiée

Les banques cherchent à perfectionner leurs compétences en cybersécurité pour concevoir et mettre en oeuvre leurs stratégies. En parallèle, les équipes de sécurité de ces institutions financières doivent informer leur direction de ce qui se passe à leur niveau. Tous ces besoins demandent que les bonnes personnes aient été nommées aux bons postes.

Problème : il existe, et ce depuis plusieurs années maintenant, une pénurie mondiale de main-d’oeuvre compétente dans le domaine, ce qui ralentit les banques dans la conception et la mise en place de mesures de cybersécurité. Cette pénurie restreint en outre la capacité des banques à poursuivre leurs nouveaux projets en la matière une fois qu’ils sont lancés.

Des pressions réglementaires toujours plus fortes

Nombre d’organismes de réglementation du secteur bancaire surveillent de plus en plus la cybersécurité à cause des risques inhérents au monde numérique qui ne cessent de se multiplier. Ce resserrement de la surveillance complique la tâche des banques présentes dans plusieurs territoires, chacun imposant ses propres règles.

Les pressions de la réglementation font en sorte que les stratégies et les dépenses de cybersécurité soient souvent plus axées sur la conformité que sur l’atténuation des risques. Or, la réglementation ne peut pas tenir le rythme étant donné l’évolution constante des cybermenaces et l’avènement de technologies novatrices. Par conséquent, il importe que les dépenses en cybersécurité ne visent pas uniquement la conformité à la réglementation, mais qu’elles soient aussi axées sur l’innovation et reliées aux cyberrisques qui guettent les banques.

Trois filtres pour renforcer la cybersécurité

Au vu de ces enjeux, toute banque devrait appliquer trois filtres pour concevoir sa stratégie de cybersécurité : un filtre externe, un filtre interne et un filtre réglementaire.

Le filtre externe lui permettra de comprendre les facteurs extérieurs qui jouent sur son profil de cyberrisque. La banque doit savoir quelles sont les forces, en dehors du cercle de l’organisation, qui sont susceptibles de modifier ce profil, par exemple, une nouvelle cyberattaque qui s’organise, de nouvelles technologies entraînant avec elles de nouveaux risques, et les changements géopolitiques qui aggravent le risque lié aux activités menées dans certains territoires.

Le filtre interne, lui, force la direction à évaluer les changements survenant à l’intérieur même de la banque et influant une fois de plus sur son profil de cyberrisque. Cette autoévaluation revêt une importance critique au moment du lancement d’un nouveau produit ou service, de la mise en service d’un nouveau système ou d’une technologie de pointe, du choix de nouveaux fournisseurs, de la compréhension du risque de délit d’initié et de l’acquisition d’une autre entreprise au profil de cyberrisque potentiellement différent.

Enfin, le filtre réglementaire sert à comprendre les attentes et les exigences des organismes de réglementation, surtout dans le cas des banques exerçant des activités dans plusieurs pays différents.

Des institutions qui tapent du poing sur la table

Les solutions existent. Mais les mettre en place prend du temps. Trop de temps. Face à ce constat, la Commission européenne indique vouloir prendre des mesures pour mieux contrôler la résistance des systèmes des banques et leur capacité à déjouer des tentatives d’intrusions. Mais cela ne suffira pas. Le grand défi de l’année à venir sera de booster le partage d’informations sur les cybermenaces entre les différents acteurs concurrents.

En 2016, la BCE avait pourtant déjà annoncé la constitution d'une base de données enregistrant les incidents liés à la cybercriminalité dans les banques de la zone euro. Mais les échanges d'informations entre autorités nationales sont restés très limités. Plus qu’une histoire de « pouvoir », il s’agit désormais de « vouloir » lutter plus efficacement contre le cybercrime.

La sécurité n’est pas le dévolu d’une élite scientifique, institutionnelle et entrepreneuriale, qui réglerait tous les problèmes, tant les possibilités sont infinies et les sujets complexes. Nous devons donc considérer que la sécurité est l’affaire de tous. Si chacun n’apporte pas sa pierre à l’édifice, le projet ne pourra pas tenir debout.

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

Contactez-nous

Jean-David Benassouli

Associé responsable de l’activité Data Analytics et Intelligence Artificielle, PwC France

Tel : +33 1 56 57 72 49

Nicolas Montillot

Associé Responsable secteur Banques & Marchés de capitaux

Tel : 01 56 57 77 95

Philippe Trouchaud

Associé Cybersécurité, PwC France

Tel : +33 1 56 57 82 48

Suivez-nous !