Comment assurer la sécurité des systèmes d’information des établissements bancaires ? Depuis quelques années, les secteurs bancaires et financiers sont de plus en plus souvent ciblés par les cybercriminels. La transformation digitale a accentué les risques de vulnérabilité des systèmes informatiques, de vol de données et d’intrusion. Pour tenter d’endiguer le phénomène, les autorités prennent progressivement des initiatives et des solutions spécialement conçues pour les banques voient le jour .
« Les échanges de données à distance sont désormais au cœur du modèle d’affaire des banquiers et des assureurs, et ils constituent la cible privilégiée des hackers. Si les fraudes venaient à se multiplier, c’est toute l’économie du numérique qui serait menacée. Dans les entreprises, de plus en plus d’échanges se font numériquement », déclarait Bernard Delas vice-président de l’ACPR (Autorité de contrôle prudentiel et de résolution) à l’occasion d’une conférence consacrée notamment à la qualité des données et à la robustesse des systèmes d’information dans les secteurs de la banque et de l’assurance.
Dans un rapport en date de juin 2016, la Banque de France estime « urgent » que les dirigeants des banques « prennent la pleine mesure des risques en matière de cybersécurité et que les dispositifs de sécurité soient renforcés ». Selon le groupe de cybersécurité ForcePoint, le secteur financier est une cible privilégiée des hackers, avec 300% d’attaques de plus que tout autre secteur. Parmi les établissements touchés ces dernières années, il est possible de citer la Banque centrale du Bangladesh en février 2016 (perte de 81 millions de dollars) ou encore JP Morgan Chase en juin 2014 (vol des données personnelles liées à 76 millions de comptes utilisateurs). Plus récemment, des hackers ont dérobé 2 milliards de roubles (29 millions d’euros) sur des comptes ouverts au sein de la banque centrale russe.
Des investissements massifs dans la cybersécurité
La multiplication des attaques informatiques a incité les établissements financiers à chercher des solutions pour se protéger. Selon une étude réalisée par Xerfi (« Le marché de la cybersécurité dans la banque et l’assurance »), les banques investissent de plus en plus dans leur sécurité. En 2015, le marché français de la cybersécurité dans la banque et l’assurance s’élevait à 335 millions d’euros (+9,8% par rapport à 2014). Les experts prédisaient alors une accélération en 2016 à +14%.
Dans le rapport de la Banque de France, la Société Générale indique que « la volumétrie des attaques qui visent le groupe est multiplié chaque année par deux à dix fois le volume de l’année précédente ». Sur les 1,5 milliards que le groupe va investir dans le digital d’ici 2020, près de 5% seront consacrés à la sécurité. Jusqu’à maintenant, ce poste ne représentait que 2% du budget informatique annuel de la Société Générale. Les investissements des banques dans la sécurité ont pour objectif de dissuader les hackers mais également de rassurer leurs clients et de soigner leur réputation.
La réglementation sur les OIV et l’application de la Loi de Programmation Militaire (LPM) supervisée par l’ANSSI expliquent en partie cette explosion des investissements.
Une législation renforcée pour protéger le secteur bancaire
La législation française, comme européenne, cherche à protéger les secteurs clés, les plus sensibles ou encore les plus visés par les hackers. Si le système informatique d’une grande banque, d’un opérateur de télécommunication ou d’un aéroport était visé par une cyberattaque, les conséquences pour un pays pourraient être catastrophiques.
En France, certaines banques doivent se mettre en conformité avec les règles imposées aux Opérateurs d’Importance Vitale (OIV). Pour faire face aux nouvelles menaces cyber, l’article 22 de la loi de programmation militaire (LPM) leurs impose le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent.
Dans le cadre de cette loi, les établissements bancaires devront également cartographier leurs réseaux et les cloisonner pour éviter la propagation des attaques, identifier les systèmes d’information particulièrement critiques, signaler les incidents et enfin déployer des outils de détection des attaques informatiques.
Les outils nécessaires pour faire face à la menace
De son côté, l’Union Européenne souhaite également donner les outils nécessaires aux entreprises face à la menace informatique. Le 6 juillet 2016, et après trois ans de négociation, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive sur la sécurité des réseaux et des systèmes d’information (NIS). Ce texte prévoit notamment le renforcement de la cybersécurité d’opérateurs issus de secteurs clés, ainsi que de certaines plateformes numériques.
Durant l’été 2016, les députés européens ont approuvé un texte concernant les règles destinées à aider les entreprises de services clés à résister aux menaces en ligne. « Les entreprises qui fournissent des services essentiels, par exemple l’énergie, les transports, les services bancaires […] devront améliorer leur capacité à résister à des cyberattaques », a indiqué le Parlement européen dans un communiqué.
Des solutions haute sécurité pour les établissements bancaires
Le besoin croissant des établissements financiers pour des systèmes informatiques sécurisés a eu pour conséquence de faire évoluer le rôle des fournisseurs de solutions. Ces entreprises sont aujourd’hui de véritables partenaires pour élaborer les stratégies de sécurité informatiques de demain. Certains éditeurs de logiciels ont mis au point des solutions à destination des banques pour leur permettre de travailler de manière sécurisée. C’est notamment le cas d’Oodrive qui a bien conscience des enjeux liés à la sécurité des données dans les établissements bancaires. Le groupe propose une gamme de solutions collaboratives parmi les plus sécurisées du marché, hébergées en France et déjà adoptées par de nombreuses entreprises du secteur.
