24/05/2018
Les données personnelles sont depuis toujours un sujet ultra-sensible, en particulier pour les Français. Les banques, qui comptent parmi les acteurs les mieux armés en matière de cybersécurité, doivent poursuivre leurs efforts pour rester à la pointe. Décryptage.
« Les Français ont un rapport très particulier à ce qui touche à leur sphère privée », explique Renaud Bidou, Directeur Technique Europe Sud au sein de Trend Micro (leader du marché de la sécurité de cloud, de serveurs, de virtualisation et de contenu). « Il existe au sein de l’Hexagone un goût culturel de la préservation de l’espace personnel : salaire, vie privée, placements… qui rend la question des données personnelles ultra-sensible. Beaucoup plus qu’au sein d’autres pays. ». Le Directeur technique Europe Sud prend l’exemple de la polémique autour des compteurs électriques communiquant en temps réel la consommation d’énergie des foyers. « Les Français vivent cela comme une véritable intrusion dans leur intimité. » Doit-on en conclure qu’il est à leurs yeux hors de question de communiquer des informations personnelles ? « Disons qu’ils souhaitent en communiquer le moins possible, mais surtout que ces datas ne soient pas utilisées à leur insu. En ce sens, le RGPD est une très bonne chose, puisqu’il va leur permettre de garder le contrôle. ». Parmi les acteurs détenant le plus d’informations personnelles : les banques. Et si les Français « acceptent » de leur fournir des données ultra-sensibles, leur attente est claire : que les banques garantissent l’utilité de ces données et le secret de celles-ci. « C’est pourquoi la cybersécurité est un enjeu stratégique majeur pour les banques », insiste Renaud Bidou.
Le métier de la banque a beau se dématérialiser, il reste le même : protéger ce qui a de la valeur pour les clients. « Aujourd’hui leurs données sont pour les clients une véritable richesse. » La mission des banques : s’assurer que les données personnelles de leurs clients ne quittent pas leur système d’information. Mais comment s’en assurer lorsqu’émerge un nouvel âge d’or de la piraterie 2.0 ? Quand des ransomwares (logiciels rançon) ont fait trembler les entreprises du monde entier ? « La démocratisation des cyberattaques est déjà bien engagée », explique le Directeur Technique.
Aujourd’hui leurs données sont pour les clients une véritable richesse.
Si les banques doivent bien entendu surveiller de près l’évolution de ce type d’attaques, leurs trois principaux points de vigilance restent aujourd’hui : le phishing, les malwares (logiciels malicieux) ciblés et les failles humaines internes. L’hameçonnage est sans doute la plus vieille arnaque 2.0 pour récupérer des données: « Si la vigilance doit venir des clients, les banques de leur côté doivent continuer à alerter le plus rapidement possible les autorités compétentes pour stopper l’arnaque. » Deuxième point de vigilance des banques, l’Advanced Persistent Threat (APT) : en français une menace persistante avancée. Pour le Directeur Technique, une APT représente aujourd’hui le type de menace traqué sans relâche par les banques. « Concrètement, il s’agit d’un programme qui va progressivement et discrètement s’étendre pour infecter de plus en plus d’ordinateurs et récolter un maximum de données. »
Dernier point de vigilance pour les acteurs du secteur bancaire : la faille humaine. Connecter son ordinateur personnel au travail, ou son PC pro à la maison… représentent les pires erreurs informatiques. « Les entreprises, et tout particulièrement les banques, connaissent la ‘faiblesse humaine’ et adaptent donc leur sécurité », détaille Renaud Bidou. « Auparavant pour éviter qu’un potentiel complice en interne ait accès à des informations sensibles et pille les coffres-forts, on distillait l’information. De nos jours, c’est la même chose : lorsqu’un équipement n’est pas fiable, ses accès sont limités. » Face aux cyberattaques, les banques comptent donc aujourd’hui « parmi les acteurs les mieux armés ».
Pour Renaud Bidou l’un des sujets centraux des prochaines années sera : l’objet connecté. Quel rapport avec les banques et la sécurité de leurs données clients ? « À court terme, cela deviendra une problématique pour tout le monde, et tout particulièrement pour les banques dont les réseaux sont ultra-sensibles. ». L’internet des objets (IoT), peut être utilisé comme point d’entrée au sein d’un réseau très protégé. « Nous avons même un jour trouvé un frigo connecté occupé à envoyer des spams ! ». Les failles de sécurités des objets connectés font d’eux d’excellents chevaux de Troie au sein des entreprises.
Grâce à leur culture de la protection, les banques ont néanmoins deux avantages : les accès bloqués aux appareils extérieurs ne semblant pas fiables, et le fait qu’elles n’utiliseront jamais ce type de technologies sans s’être assurées qu’elles ne représentent pas un danger pour leur réseau. Aux yeux de Renaud Bidou, demain comme aujourd’hui, les banques continueront donc de compter parmi les acteurs les mieux protégés. Cependant le Directeur Technique le rappelle, en matière de technologie il faut « rester humble » et surtout être conscient qu’aucune serrure n’est inviolable. Son conseil : « prendre les devants, afin de pouvoir réagir vite lorsqu’une attaque arrive et le plus efficacement possible en termes de cybersécurité. ».
