Accenture Banking Blog
Other Blogs

La 9ème étude conjointe Accenture et Ponemon Institute de mars 2019 nous apprend que les cyberattaques ont augmenté de 67% en 5 ans et représentent un dommage moyen de 13 millions de dollars par entreprise victime. Les perspectives concernant plus spécifiquement les institutions financières, sont abordées dans ce post conjoint d’experts Accenture des métiers de la Banque et de la Cybersécurité.

Sophie Jacquemet-Richard, Accenture Finance & Risks :

Quels sont les enjeux actuels de la cybersécurité pour les Banques ?

Eric Cissé, Accenture Security :

Nous pouvons citer quatre enjeux majeurs.

1 – La transformation digitale des entreprises est à présent une réalité avec ses effets bénéfiques et ses corollaires. L’Open Banking et le partage de données avec les partenaires (sous réserve de garantir un niveau de sécurité pertinent) change la donne et rebat les cartes de la concurrence entre les banques. Ces dernières subissent les assauts répétés des fintechs, big tech (GAFA, RAKUTEN), des challengers et des acteurs sur le segment du paiement (Revolut, Square, Worldpay) qui laissent des brèches sur leur chasse gardée.

2 – L’IA, une technologie à deux visages.

Les institutions financières se tournent de plus en plus vers les technologies innovantes comme le Big Data, l’intelligence artificielle ou encore l’IoT (l’Internet des Objets). Cette adoption de l’IA cache une double réalité.

D’un côté, l’IA devient un allié afin de lutter contre la cybercriminalité. Prenons le cas d’un SOC (Centre Opérationnel de Sécurité) où les analystes doivent interpréter les signaux de plus en plus nombreux et où la pénurie de talents se fait cruellement sentir. L’IA couplée au Machine Learning constitue un atout non négligeable afin d’épauler les analystes et ainsi réduire le temps de réponse et de réaction.

D’un autre côté l’IA utilisée à des fins malhonnêtes permet des escroqueries qui prennent de nouvelles formes. Par exemple, en septembre 2019 une société britannique a été escroquée via du social engineering. En effet, une IA aurait été utilisée afin d’imiter la voix du président et ainsi déclencher le virement de 220 000 euros.

Nous constatons donc que cette adoption de technologies innovantes s’accompagne d’une hausse non négligeable des menaces qui explosent par leur sophistication, complexité ou volume.

3 – Les murs de la citadelle vacillent

La sécurité périmétrique traditionnelle, centralisation des actifs de sécurité en un seul point, atteint ses limites face aux nouveaux usages (mobilité, Cloud, IoT, nouveaux partenaires, les employés nomades, la 5G) issus de la digitalisation. Face aux nouveaux risques engendrés par l’ouverture du SI, seule une architecture ouverte, agile permet d’offrir une expérience client optimale, personnalisée en temps réel, de sécuriser les données indépendamment du lieu et des moyens de communication utilisés. L’approche ‘zéro trust’ qui consiste à ‘ne jamais faire confiance et toujours vérifier’ les transactions, fussent-elle internes, constitue un nouveau rempart. A ce changement de paradigme il faut associer une cyber résilience (capacité à continuer l’activité opérationnelle alors que l’entreprise a subi une cyberattaque) renforcée.

4 – La pression des régulateurs ne décroit pas

Le RGPD (Règlement Général sur la Protection de Données) a introduit des contraintes supplémentaires liées à la protection des données ‘Privacy by design’, aux droits des utilisateurs, aux transferts de données à des tiers et a réaffirmé la notion d’intérêt légitime. De son côté, la Banque Centrale Européenne accompagne les institutions financières avec l’initiative TIBER -EU (Threat Intelligence Based Ethical Red Teaming) destinée à harmoniser et à mieux appréhender leurs capacités en termes de protection, de détection, de réaction, et de lutte contre les cyber-attaques. Il s’agit du premier cadre européen visant à tester la cyber résilience des entités des marchés financiers.

Enfin, la directive DSP2 a introduit des mesures strictes afin de lutter contre les paiements frauduleux ce qui implique que les institutions financières doivent repenser et adapter leur cyber sécurité.

Sophie Jacquemet-Richard, Accenture Finance & Risks :

La Directive sur les Services de Paiement DSP2, dont l’entrée en vigueur a été reportée de mi-septembre 2019 à fin 2020, représente la promesse d’ouvrir l’ère de l’Open Banking. Comment cette directive modifie l’approche de la cybersécurité qu’ont les banques ?

Fabien Dupré, Accenture Security :

Cette directive régule tous acteurs du paiement – banques et tiers fournisseurs de services de paiement TPP – Third-party Payment Providers – avec pour objectif, notamment, d’améliorer la protection des consommateurs dans un contexte de cyber criminalité accrue (multiplication des fraudes et usurpations d’identité). La directive offre ainsi aux banques des opportunités de bâtir des arguments commerciaux autour des expériences client répondant au double impératif de confort du parcours client et de sécurité des accès et des données.

Deux sujets s’affirment alors : une approche architecturale pour garantir la construction d’API sécurisées dans le temps et la gestion de l’authentification forte du client.

1 – Renforcer la protection contre la fraude et le crime financier via de nouvelles architectures de sécurité

En fournissant leurs API aux TPP, les banques ouvrent une surface d’attaque beaucoup plus grande aux cyber adversaires potentiels, et ne peuvent plus se contenter de protéger les applications critiques par les pares-feux. En revanche, une approche architecturale solide atténue les risques en intégrant les exigences de sécurité avec les facteurs opérationnels fondamentaux et les analyses de rentabilisation. Cette approche permet de s’assurer que les processus de sécurité sont adaptatifs et réactifs face aux différentes menaces, tout en prenant en compte les impacts métiers.

L’architecture de référence de haut niveau pour les API d’une banque est représentée ci-dessous :

2 – L’authentification forte, renforcée par la directive, ne sera pas réussie au détriment du confort de l’utilisateur et justifie des investissements.

Une authentification client forte cumule au moins deux des trois éléments différents :

  • Un élément de connaissance, une information que seul l’utilisateur connaît tel qu’un mot de passe, un code, des faits secrets
  • Un élément physique de possession, que seul l’utilisateur possède tel qu’un badge, jeton, puce, objet connecté ou téléphone mobile
  • Un élément d’inhérence, lié à ce que l’utilisateur est, tel que l’empreinte digitale ou faciale, le format de l’iris, la voix.

Le choix des technologies d’authentification est encore ouvert, et un cadre d’authentification normalisé, simple et axé sur l’utilisateur permettant de concilier confort d’usage et sécurité reste encore aujourd’hui un challenge à définir

En termes de mise en œuvre pratique, il semble probable que la plupart des banques recourront en premier lieu au facteur de connaissance, puis choisiront en second lieu entre :

  • L’élément de possession :avec un code d’authentification qui ne doit pas être transmis via le même canal que celui utilisé par le client pour lancer la procédure d’authentification. La séparation technique des différents éléments d’authentification au sein d’un même périphérique est donc cruciale et demande un investissement de la part des banques.
  • L’élément d’inhérence : l’authentification biométrique est une forme d’héritage qui correspond à une utilisation fluide, sans interruption, en temps réel, et aisée à mettre en œuvre, tout en respectant les exigences de PSD2. Ces caractéristiques permettent de réduire les risques de fraude d’identité, ce qui explique la forte tendance d’adoption des technologies biométriques, généralement associées à des mots de passe.

Les enjeux actuels du marché bancaire démontrent que la conformité à la norme n’est plus une position satisfaisante pour répondre aux enjeux de demain dans un contexte où la cybersécurité devient un élément concurrentiel. Les équipes sécurité doivent donc accompagner l’entreprise à poursuivre ses objectifs dans son environnement changeant et incertain. Pour connaitre notre vision d’une Architecture de Sécurité 2.0, prenez contact avec Accenture Security. (fabien.dupre@accenture.com)

Cet article a été co-rédigé avec Eric Cisse et Fabien Dupré.