Cybersécurité et données bancaires : nouveaux enjeux des équipes finances

gabriel-autran
Gabriel Autran

Publié le 23 janvier 2023

cybersecturite-banque

En matière de cybersécurité, l’explosion de la menace et la multiplication des dispositions réglementaires en la matière ces dernières années imposent une réflexion de fond sur la sécurité informatique des systèmes financiers.

Les attaques par ransomware ont augmenté de 50 % en un an au premier semestre 2023. Il s’agit d’un symptôme puisque, de manière générale, les entreprises sont dorénavant sous la pression constante des cyberattaques. Le secteur financier n’est pas épargné.

En cause, la digitalisation et l’augmentation importante de la quantité de données personnelles gérées et contenant un caractère stratégique. Qu’elles soient du phishing ou du ransomware, les attaques informatiques menacent la survie des entreprises, et la sécurité de leurs clients. Face à ce phénomène de grande ampleur, le gouvernement français et les institutions européennes bâtissent de nouveaux textes pour réglementer la gestion des données.

Les Responsables financiers et le département IT sont souvent aux avant-postes pour la gestion des risques. Plus les menaces et les contraintes législatives sont importantes, plus leurs responsabilités deviennent capitales.

Quels sont les nouveaux enjeux de la sécurité des données ? Quel impact sur le secteur bancaire ?

Que faire face à la multiplication des cybermenaces ? Commençons par identifier la manière dont les hackers extérieurs procèdent le plus souvent.

Le phishing (ou hameçonnage) est la méthode la plus populaire. Elle consiste à infiltrer vos systèmes de données en vous envoyant un email contenant une pièce jointe frauduleuse. Encore facilement détectables il y a quelques années, les hackers sont devenus des experts en usurpation d’identité, l’essor de l’IA y est certainement pour quelque chose

Le ransomware (rançongiciel) est un programme malveillant contaminant votre ordinateur et menaçant de détruire vos systèmes d’information, à moins de payer une somme importante à votre ravisseur. Vous l’aurez compris, un simple mail anodin suffit désormais pour prendre le contrôle des systèmes informatiques de toute votre entreprise.

D’autres méthodes extérieures existent comme l’attaque par déni de service (DDoS) qui permet de saturer un serveur informatique pour empêcher son fonctionnement et le détruire. Le cross-site scripting (XSS) consiste à injecter du contenu malveillant sur la page d’un site internet contaminant ainsi tous ses visiteurs. Enfin, le Cheval de Troie prend l’apparence d’un logiciel en apparence légitime, et qui propage des programmes nocifs dans tout votre système informatique.

Vigilance !

Un simple mail anodin suffit désormais pour prendre le contrôle des systèmes informatiques de toute votre entreprise.

Mais qu’en est-il des vulnérabilités internes à votre entreprise ? D’après une étude du cabinet Deloitte, 63% des incidents de sécurité proviennent d’un employé actif. Qu’il s’agisse d’arnaques ou de partage de mot de passe par inadvertance, le premier risque en matière de sécurité est interne. Mettre en place un document de bonnes pratiques et accompagner son service financier dans la sécurisation des accès aux comptes bancaires de l’entreprise constituent deux solutions directes et essentielles.

Face à ces nouveaux phénomènes liés à la transformation digitale, les parlements nationaux et le parlement européen ont élaboré plusieurs textes pour obliger les entreprises et institutions financières à élever leurs standards de sécurité.

À ce titre, durant toute l’année 2024, la Banque Centrale Européenne (BCE) et la Banque de France lanceront des stress-tests afin de s’assurer de la résilience des établissements bancaires français dans le cyberespace.

Quelles sont les obligations imposées par la loi ?

Se mettre en conformité n’est pas toujours simple, surtout pour les petites entreprises disposant de peu de moyens et de solutions plutôt rudimentaires.

Le dernier texte portant au plus haut les exigences envers les entreprises est le Règlement général sur la protection des données (RGPD), voté par le Parlement Européen et applicable à compter du 25 mai 2018. D’ores et déjà 75% des entreprises pensent ne pas arriver à remplir toutes les conditions imposées par le RGPD dans les délais impartis (d’après Les Échos). Parmi les mesures à mettre en œuvre, nombreuses sont les exigences de transparence : tout citoyen qui le réclame a le droit d’accès à ses informations personnelles détenues par l’entreprise ; le droit à la rectification ; et le droit à l’effacement de ses données. Le texte compte 99 articles au total, et il s’applique à toutes les entreprises européennes, ou possédant des données personnelles collectées en Europe sans distinction de taille ni secteur d’activité. À ce jour, 91% des entreprises déclarent avoir entamé leur processus de mise en conformité avec le RGPD.

La Directive sur les services de paiement 2 est en vigueur depuis le 1er janvier 2018. Elle impose aux banques et aux prestataires de paiement de permettre à des tiers tels qu’Apple Pay ou aux agrégateurs de paiements tels que PayPal ou Bankin d’accéder aux données personnelles contenues sur les comptes clients. Ce nouvel environnement doit permettre l’essor des services de paiement en les encadrant légalement. Pour autant, la DSP2 a permis d'autres avancées telles que l’intégration des opérations de paiement dans lesquelles une seule des parties se situe dans l'UE ou bien l’authentification forte des clients pour se connecter à leurs comptes de paiement en ligne.

Enfin, les utilisateurs du réseau de traitement des paiements internationaux SWIFT sont désormais tenus d’adopter de nouvelles procédures en cas d’incident. Ils doivent également contrôler plus drastiquement les accès, la circulation des données et publier une auto-évaluation annuelle de respect des normes.

Quelles sont les solutions pour répondre à ces nouvelles obligations ?

Mettre en œuvre ces multiples changements nécessite une organisation performante, et des moyens parfois lourds à supporter pour les petites structures. Chaque entreprise peut commencer en désignant un pilote pour coordonner ses actions. Il s’agit souvent du Responsable administratif et financier, ou d'une personne en charge de l'IT.

La première étape consiste à cartographier les flux et les processus de traitement d’informations des données personnelles de l’entreprise en élaborant un registre de traitement. Il doit permettre de hiérarchiser les actions à mener en fonction de leur niveau de risque pour la sécurité de l’entreprise. Mener une analyse d’impact sur la protection des données pour chacune des failles détectées permettra de les résoudre le plus rapidement possible. Créer de nouveaux processus internes qui garantissent la prise en compte des enjeux de cybersécurité est utile sur le long terme.

La législation, comme la menace, est en constante évolution. De nouveaux moyens sont mis à la disposition des entreprises pour renforcer la sécurité de leurs systèmes informatiques. De même, des solutions Cloud et Saas performantes existent déjà et permettent d'améliorer la protection, le stockage et le traitement des données. Vous pouvez également stocker vos données sur des serveurs français ou au sein de l'UE, elles offrent un niveau de sécurité accru, ce qui en en fait une solution très appréciée des RAF depuis plusieurs années.

New call-to-action

Parce que la sécurité d’une entreprise est l’affaire de tous, former les salariés à la prévention des risques informatiques est absolument nécessaire dans le contexte actuel. Une impulsion claire doit être envoyée par le top management, et le RAF (ou le service IT) est souvent préposé pour jouer le rôle de coordinateur. Celui-ci peut proposer des formations, e-learning ou l’adoption d’un dispositif de gestion des risques en se référant aux exigences de la norme ISO 27001 par exemple. Enfin, le recrutement de collaborateurs possédant des connaissances solides en IT est une solution pérenne pour s'assurer de la bonne prise en main de ces enjeux sur le long terme.

La sécurité des données et la protection contre les cyberattaques sont autant de nouveaux défis apparus très rapidement avec la transformation numérique. Se doter des solutions les plus performantes et se tenir toujours informé des évolutions de la législation n’est plus une simple hypothèse, mais un enjeu vital pour toutes les entreprises européennes.