Sé­cu­ri­té in­for­ma­tique : le gen­darme ban­caire eu­ro­péen sonne l’alarme

● Les risques de pi­ra­tage et d’in­ci­dents in­for­ma­tiques vont crois­sant, à me­sure que les banques nu­mé­risent leurs ser­vices. ● L’ex­ter­na­li­sa­tion et la bas­cule vers le cloud aug­mentent aus­si la pro­ba­bi­li­té d’ac­ci­dents. ● La Banque cen­trale eu­ro­péenne prend

Les Echos - - LA UNE - Ro­main Gueu­gneau @ro­main­gueu­gneau

Les risques d’in­ci­dents in­for­ma­tiques vont crois­sant, à me­sure que les banques nu­mé­risent leurs ser­vices. BNP Pa­ri­bas construit un ser­veur dé­ma­té­ria­li­sé pour concur­ren­cer les Ga­fa.

Les risques liés à la sé­cu­ri­té in­for­ma­tique sont pris de plus en plus au sé­rieux dans les cou­loirs de la Banque cen­trale eu­ro­péenne (BCE). Dans la car­to­gra­phie des risques 2020, pu­bliée lun­di, le su­per­vi­seur ban­caire pointe « la cy­ber­cri­mi­na­li­té et les ca­rences in­for­ma­tiques » comme « l’un des trois prin­ci­paux fac­teurs de risque aux­quels le sys­tème ban­caire de la zone eu­ro de­vrait faire face au cours des trois pro­chaines an­nées », juste après « les dé­fis éco­no­miques et po­li­tiques en ma­tière de sou­te­na­bi­li­té de la dette » et la « ré­si­lience du mo­dèle d’ac­ti­vi­té des banques » dans un en­vi­ron­ne­ment de taux bas et de concur­rence exa­cer­bée.

Dans ce contexte, la conver­sion du sec­teur ban­caire au cloud peut de­ve­nir source de pro­blème. L’amé­ri­cain Ca­pi­tal One l’a ap­pris à ses dé­pens : la banque, qui tra­vaille avec le géant du cloud Ama­zon Web Ser­vices, a vu les don­nées de 106 mil­lions de clients dé­ro­bées. « Avec la mi­gra­tion de ser­vices et de don­nées dans le cloud, les banques offrent une porte d’en­trée sup­plé­men­taire aux ha­ckers », consi­dère Laurent Gue­zo, di­rec­teur de la stra­té­gie cy­ber­sé­cu­ri­té chez Proof­point, un édi­teur de lo­gi­ciels de sé­cu­ri­té.

Les risques liés à la nu­mé­ri­sa­tion

« Il ne s’agit pas de li­mi­ter cette mi­gra­tion, qui est une ten­dance lourde. Mais il faut que les banques soient bien consciente­s des risques, de ce que ce­la im­plique en termes de ges­tion et de dis­po­ni­bi­li­té des don­nées », aver­tit un ex­pert de la BCE, qui si­gnale par ailleurs que cer­tains éta­blis­se­ments font par­fois ma­chine ar­rière dans l’adop­tion du cloud.

Outre le cloud, l’aug­men­ta­tion du risque in­for­ma­tique va de pair avec la nu­mé­ri­sa­tion des ser­vices fi­nan­ciers. Les banques pro­posent de plus en plus aux clients de réa­li­ser leurs opé­ra­tions en ligne ou sur leurs smart­phones. De quoi « am­pli­fier la vul­né­ra­bi­li­té des banques face à la cy­ber­cri­mi­na­li­té et les ca­rences in­for­ma­tiques opé­ra­tion­nelles », écrit la BCE dans son rap­port.

Le risque cy­ber vient aus­si d’une frag­men­ta­tion crois­sante des sys­tèmes in­for­ma­tiques à l’in­té­rieur des banques, qui dé­pensent plu­sieurs mil­liards par an dans leur in­fra­struc­ture IT. « Le sys­tème de­vient si com­plexe que les éta­blis­se­ments peinent à vé­ri­ta­ble­ment pou­voir le pro­té­ger, constate un ex­pert à Franc­fort. Les ha­ckers, eux, savent com­ment ex­ploi­ter cette com­plexi­té. » En ex­ter­na­li­sant cer­taines par­ties de leur in­for­ma­tique, les banques dé­lèguent la ges­tion des risques à des tiers.

In­ten­si­fier les ins­pec­tions

D’une ma­nière gé­né­rale, le su­per­vi­seur ban­caire pro­met d’être plus at­ten­tif aux pra­tiques en la ma­tière. Il va mul­ti­plier les mis­sions d’ins­pec­tion « sur site », au cours des­quelles il peut dé­pê­cher six à sept per­sonnes pour au­di­ter pen­dant plu­sieurs se­maines les dis­po­si­tifs. Ob­jec­tif : s’as­su­rer que les bonnes pra­tiques en termes de sé­cu­ri­té in­for­ma­tique sont bel et bien ap­pli­quées.

Dans une ré­cente note, la BCE re­mar­quait que la plu­part des pro­blèmes de sé­cu­ri­té re­le­vaient d’un dé­faut dans l’ap­pli­ca­tion des règles de dé­tec­tion des risques. « Dans cer­tains cas, les patchs lo­gi­ciels, qui per­mettent de mettre à jour le sys­tème de dé­fense contre de nou­velles vul­né­ra­bi­li­tés, ne sont tout sim­ple­ment pas ins­tal­lés », re­grette le su­per­vi­seur. ■

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.