La sécurité de l'information dans les banques est soumise à des attentes toujours plus fortes des clients, des autorités de réglementation et des directions. Un défi de taille à relever pour les responsables sécurité face à l'évolution des menaces internes et externes.
De par les valeurs et les informations sensibles qu'elles conservent en leur sein, les banques ont de tout temps été la cible de criminels de tout bord. Si, heureusement, les hold-up ne sont pas chose courante, le volume d'attaques informatiques ne cesse de s'intensifier. Plus pernicieuses, plus furtives et quelques fois très éphémères, ces attaques s'insinuent partout en ciblant personnellement un employé, un composant technique ou aujourd'hui un maillon faible: le client. C'est d'ailleurs cette diversité d'offensives qui complexifie la réponse du responsable de sécurité face à ces multiples risques qui trouvent leur origine aussi bien à l'externe qu'à l'interne comme le démontrent quelques malheureux faits d'actualité.
Il faut également être conscient qu'avec l'explosion des équipements nomades, tels les smartphones, les tablettes et bientôt les objets connectés destinés à s'interfacer aux systèmes des banques, c'est également la surface d'attaque qui augmente, ceci bien sà»r au bénéfice des cybercriminels. Aujourd'hui, une autre dimension a fondamentalement changé la menace et la gestion associée des risques: la vitesse. A l'ère d'internet et du tout connecté, tout s'accélère. Les attaquants tentent aujourd'hui d'exploiter des failles «0 jour », bientôt «0 minute » et demain «0 seconde ».
Des nouvelles attentes réglementaires
C'est dans un tel contexte que la plupart des autorités de réglementation bancaire du monde définissent de nouvelles règles pour pousser les banques à encore mieux protéger les informations de leurs clients. En Suisse, la FINMA a d'ailleurs formalisé un nouveau cadre d'exigences parmi les plus strictes qu'ait connu le monde bancaire. Dans un souci de protection des clients, les régulateurs ont déployé dans la foulée de nouvelles obligations de transparence en lien avec la gestion des incidents et la communication des événements notables qui auraient compromis la sécurité des informations.
Au-delà de l'effort supplémentaire de mise en conformité attendu des banques, ces nouvelles exigences sont surtout une opportunité de mieux sensibiliser et responsabiliser toutes les parties concernées en rappelant que la sécurité n'est pas uniquement le problème du responsable sécurité. Il est de la responsabilité de tous de ne pas être le maillon faible.
Le responsable sécurité, un gestionnaire de risques
Par-delà les effets d'annonce dont certains médias ont fait récemment écho, il est nécessaire de comprendre que la gestion de la sécurité n'est pas aussi triviale. La complexité des environnements actuels, en considérant les aspects technologiques, fonctionnels et organisationnels nécessite une démarche structurée et méthodique pilotée par une stricte gestion des risques. C'est uniquement par ce biais que l'orchestration, par le responsable sécurité, des mesures préventives, détectives et réactives pourra amener une réelle plus-value à la banque et à ses clients en focalisant ses efforts sur les périmètres les plus critiques.
Aujourd'hui, la fonction de responsable sécurité doit aller plus loin et démontrer sa plus-value opérationnelle et commerciale. La sécurité doit maintenant s'affirmer comme un pilier essentiel de la stratégie d'intelligence économique que les banques doivent dorénavant activement exploiter dans un monde global et hyperconcurrentiel.
Cet article a été publié dans ICT Journal (Mars 2015 www.ictjournal.com) et est également présent sur cette page du Crédit Agricole Suisse
