Comment assurer la sécurité des banques ? Des cybercriminels seraient-ils en mesure aujourd’hui de déstabiliser l’ensemble du secteur financier ? La sécurité informatique des banques et des assurances est au cœur de nombreuses préoccupations chez les experts en cybersécurité mais également au sein des organismes tels que l’AMF (Autorité des Marchés Financiers) ou l’ABE (Autorité Bancaire Européenne).
L’inquiétude monte dans le secteur financier. Notamment suite à la divulgation d’affaires comme celle qui a touché le réseau financier mondial Swift. Un rapport portant sur la cybercriminalité en Russie a révélé qu’en 2017 des hackers ont utilisé le réseau pour transférer 4,8 millions d’euros dérobés à une banque russe. Et il ne s’agit pas d’un cas isolé. Ces dernières années, plusieurs attaques informatiques d’envergure ont concerné les banques.
Les banques, des cibles de choix pour les hackers
D’après une étude menée par EfficientIP auprès de 1000 entreprises dans le monde, plusieurs entreprises du secteur financier estiment que la sécurité de leur DNS est critique. Il faut noter que pPrès de 40% des établissements financiers déclarent avoir subi au moins 5 attaques visant leurs infrastructures DNS. L’étude rapporte également que 34% des institutions du secteur ont été victimes de malwares. Et pour 30% des entreprises victimes de hackers, l’impact de chaque attaque est estimé entre 500 000 et 5 millions d’euros.
L’ANSSI s’engage avec l’ACPR….
Certains organismes prennent la menace qui pèse sur le secteur financier très au sérieux. C’est le cas notamment de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), de l’AMF et de l’ACPR (Autorité de contrôle prudentiel et de résolution). Le 17 janvier dernier, l’ANSSI et l’ACPR – l’organe français de supervision de la banque et de l’assurance – se sont engagés pour une coopération renforcée. Un engagement pour la sécurité numérique qui se fonde sur la signature commune d’une lettre d’intention. Les secteurs de la banque et de l’assurance sont particulièrement exposés aux menaces et aux actes cybermalveillants.
« Cet accord prévoit un échange régulier entre les deux organisations, notamment en matières d’incidents affectant la sécurité des systèmes d’information et marque avant tout la volonté d’une collaboration accrue en faveur de la sécurité du numérique », ont indiqué l’ANSSI et l’ACPR dans un communiqué.
… Et l’AMF
Un mois après la signature de la lettre d’intention, l’AMF a engagé une action similaire. En effet, les deux institutions se sont associées à leur tour dans la protection du secteur financier. Ce nouvel accord prévoit également un échange régulier d’informations. Ils concernent les incidents affectant la sécurité des systèmes d’information, ainsi qu’une collaboration dans la gestion des crises éventuelles.
L’ANSSI est chargée de répondre aux menaces ciblant les autorités publiques et les filières privées, en particulier les systèmes d’information d’importance vitale, et coordonne en ce sens l’action gouvernementale en matière de protection des systèmes d’information. L’AMF, de son côté, veille au bon fonctionnement des marchés financiers. Elle partage à ce titre une responsabilité commune avec l’ANSSI pour la sécurité numérique de ce secteur sensible.
Des directives européennes sur les usages du Cloud
Au niveau européen, la sécurité des banques et leur transformation numérique sont également des préoccupations majeures. L’Autorité bancaire européenne (ABE)a donc publié ses lignes directrices sur l’usage du Cloud dans ce secteur. L’ABE estime que cinq conditions sont nécessaires au déploiement de cette technologie au sein des banques :
- Les systèmes utilisés doivent être auditables
- Les superviseurs doivent connaître les données dont le stockage est sous-traité
- Les données doivent être hébergées dans le pays où elles sont collectées
- La sécurité des données doit être assurée
- Les banques doivent être en mesure d’assurer le transfert des données en cas de défaillance du prestataire chargé de leur stockage
Les recommandations de l’autorité auront un effet contraignant au 1er juillet 2018 pour les institutions qu’elle contrôle.
Une préoccupation constante pour Oodrive
Chez Oodrive, nous accordons une attention particulière à la sécurité et à la protection des informations sensibles de nos clients. C’est pourquoi nous travaillons avec les organismes compétents pour renforcer en permanence nos applications. Cela nous permet de valider leur niveau de sécurité par l’obtention des certifications les plus exigeantes.