Depuis plusieurs années, le numérique est devenu un enjeu déterminant pour les entreprises. Notamment en ce qui concerne leurs interactions avec leurs clients. Leur transformation et leur adaptation sont inévitables. Le secteur financier ne fait pas exception. Mais il est important de rester vigilant face à ces évolutions. En effet, le numérique a accentué les risques de vulnérabilité des systèmes informatiques, de vols de données et d’intrusion.
Selon le cabinet IDC, le secteur financier a conscience de l’importance de la transformation numérique. Cela doit lui permettre d’améliorer la qualité des produits et services existants, ainsi que les processus, mais également de réduire les coûts.
Un accès aux services simplifié
Pour encourager le développement du numérique tout en endiguant le phénomène des cyberattaques, les autorités prennent progressivement des initiatives. Comme la loi du 7 octobre 2016 pour une République numérique. Une ordonnance, prise sur le fondement de cette loi et publiée au Journal Officiel le 5 octobre 2017, prévoit une rénovation du cadre juridique portant sur les relations précontractuelles et contractuelles entre les organismes du secteur financier et leurs clients. A partir d’avril 2018, les clients des banques et des assurances pourront recevoir, par défaut, les documents d’information ou leurs contrats sous format numérique.
« La transformation numérique et ses technologies connexes telles que les API sont plus importantes pour les banques que pour les autres industries. Les banques et autres organisations de services bancaires reconnaissent que le statu quo n’est pas durable. Et elles doivent se disrupter elles-mêmes avant que cela ne leur arrive ». Pete Redshaw, vice-président directeur du Gartner
Le numérique est un véritable facteur de développement. Mais il est aussi source de nombreux risques. Dans un rapport en date de juin 2016, la Banque de France estimait « urgent » que les dirigeants des banques « prennent la pleine mesure des risques en matière de cybersécurité et que les dispositifs de sécurité soient renforcés ». Selon le groupe de cybersécurité ForcePoint, le secteur financier est une cible privilégiée des hackers, avec 300% d’attaques de plus que tout autre secteur.
Des attaques qui coûtent cher
Parmi les établissements touchés ces dernières années par une attaque informatique, il est possible de citer la Banque centrale du Bangladesh en février 2016 (perte de 81 millions de dollars), JP Morgan Chase en juin 2014 (vol des données personnelles liées à 76 millions de comptes d’utilisateurs) ou encore Tesco Bank, filiale du premier distributeur britannique, en novembre 2016 (piratage ayant touché les comptes de 40 000 clients). Récemment, des hackers ont dérobé 2 milliards de roubles (29 millions d’euros) sur des comptes ouverts au sein de la Banque centrale russe.
« Les échanges de données à distance sont désormais au cœur du modèle d’affaire des banquiers et des assureurs, et ils constituent la ciblent privilégiées des hackers. Si les fraudes venaient à se multiplier, c’est toute l’économie du numérique qui serait menacée ». Bernard Delas, vice-président de l’ACPR (Autorité de contrôle prudentiel et de résolution).
La multiplication des attaques a incité les établissements financiers à chercher des solutions pour se protéger. Dans le rapport de la Banque de France, la Société Générale indique que « la volumétrie des attaques qui visent le groupe est multipliée chaque année par deux à dix fois le volume de l’année précédente ». Sur les 1,5 milliards que le groupe va investir dans le digital d’ici 2020, près de 5% seront consacrés à la sécurité. Les investissements des banques ont pour objectif de dissuader les hackers, mais également de rassurer leurs clients.
La sécurité des opérateurs d’importance vitale au cœur des préoccupations
La législation cherche aujourd’hui à protéger les secteurs clés, les plus sensibles ou encore les plus visés par les hackers. Si le système informatique d’une grande banque, d’un opérateur de télécommunication ou d’un aéroport était visé par une cyberattaque, les conséquences pour un pays pourraient être catastrophiques.
C’est pourquoi, en France, certaines banques doivent se mettre en conformité avec les règles imposées aux Opérateurs d’Importance Vitale (OIV). L’article 22 de la LPM leur impose le renforcement de la sécurité des SI critiques qu’ils exploitent. Les établissements bancaires concernés doivent cartographier leurs réseaux et les cloisonner pour éviter la propagation des attaques. Ils doivent également identifier les systèmes d’information particulièrement critiques, signaler les incidents et enfin déployer des outils de détection des attaques informatiques.
Les outils nécessaires pour faire face à la menace dans toute l’Europe
L’Union européenne souhaite également donner les outils nécessaires aux entreprises face à la menace informatique. Le 6 juillet 2016, et après 3 ans de négociation, le Parlement et le Conseil de l’Union ont adopté la directive sur la sécurité des réseaux et des systèmes d’information (NIS). Ce texte prévoit notamment le renforcement de la cybersécurité d’opérateurs issus de secteurs clés, ainsi que de certaines plateformes numériques. Les Etats membres ont jusqu’au 9 mai 2018 pour transposer ce texte dans leur droit national.
« Les entreprises qui fournissent des services essentiels, par exemple l’énergie, les transports, les services bancaires […] devront améliorer leur capacité à résister à des cyberattaques » Parlement européen
Toujours dans l’optique d’améliorer leur cybersécurité, les banques doivent déclarer à la BCE toutes les tentatives de hacking qui les ont touchées. « Nous avons mené une phase pilote concluante en 2016. Et maintenant, nous allons mettre en place une solution de long terme pour toutes les banques que nous supervisons », a déclaré Sabine Lautenschlarger, Vice-présidente du conseil de supervision de la BCE. « Cela nous aidera à évaluer plus objectivement le nombre d’incidents et la façon dont les menaces cybernétiques évoluent ».