Beyond Insurance : comment rester dans la course face aux assurtechs ?
13 mars 2024
L’équation gagnante de la connaissance client : Beyond Banking & science comportementale
2 avril 2024
Cybersécurité et secteur financier : 6 bonnes pratiques pour prévenir les risques
En collaboration avec Mathieu Maréchal et Edflex
Nous sommes en septembre 2022. Revolut, une néobanque dont les systèmes de sécurité ont pourtant été primés à de multiples reprises, fait les frais d’une cyberattaque touchant les données personnelles de 50 000 clients.
Puis, en novembre 2023, c’est au tour d’une des principales banques chinoise, ICBC, de subir une cyberattaque majeure (d’origine russe).
Ces deux exemples ne sont pas isolés, et ils montrent que des acteurs financiers de toute taille constituent des cibles potentielles pour les hackers.
La BCE (Banque Centrale Européenne) s’empare activement du sujet, et compte procéder en 2024 à des tests de cyber-résilience des établissements bancaires de la zone euro.
Il est donc temps de sécuriser vos opérations, afin de faire de votre établissement financier un acteur totalement sécurisé, et d’ainsi préserver la confiance de vos parties prenantes : clients, actionnaires, instances réglementaires, etc.
Voyons comment procéder avec cette série de 6 conseils opérationnels !
Sensibiliser et former votre personnel
Une banque ne sera jamais plus sécurisée que le moins sécurisé des postes de travail de ses équipes.
Cet adage constitue une incitation forte pour s’assurer que l’ensemble des collaborateurs de votre entreprise disposent d’un niveau suffisant de connaissances et de bonnes pratiques sur la cybersécurité.
Pour assurer une formation cybersécurité optimale, il est nécessaire d’identifier les profils des salariés et leur niveau de connaissances sur cet enjeu. En effet, des profils tech ou experts en informatique n’auront pas besoin du même niveau d’information que des personnes complètement novices sur les risques liés à la cybersécurité.
Il est aussi important de distinguer les types de formations à proposer :
-
La formation de sensibilisation : dédiée à un public non averti, les objectifs sont de sensibiliser aux cybermenaces et de fournir quelques bonnes pratiques qui vont permettre de réduire les actions qui pourraient fragiliser l’entreprise.
La formation des utilisateurs : elle s’adresse à tous les salariés impactés par les risques informatiques. Dans le cadre de cette formation, il est recommandé d’aborder la gestion des mots de passe, l’identification des emails de phishing ou bien encore la protection des données personnelles.
La formation technique : cette dernière est destinée aux professionnels en informatique, elles ont un niveau beaucoup plus avancé sur les normes en vigueur et délivrent souvent des certifications.
L’enjeu autour de la cybersécurité en entreprise n’est pas ponctuel. C’est pourquoi il est nécessaire de proposer des formations régulièrement sur ce sujet, peu importe le profil et le niveau du collaborateur. D’ailleurs, la formation ne s’arrête pas simplement aux compétences techniques directement liées à une potentielle attaque : on peut par exemple avoir besoin de soft skills en gestion des risques ou en communication de crise, pour collaborer efficacement et résoudre le problème au plus vite.
Enfin, au-delà des compétences et des niveaux, l’expérience d’apprentissage doit être marquante. La thématique n’est pas la plus engageante pour les salariés, il faut donc réussir à rendre l’expérience ludique et impactante.
De nombreux contenus de formation sur la cybersécurité existent déjà et peuvent répondre aux besoins de vos salariés, aussi bien sur la prévention que sur le plan d’action en cas d’attaque réussie. Des solutions de formation comme Edflex peuvent vous accompagner sur ces enjeux. Grâce à leur partenariat avec les meilleurs éditeurs de contenus, vous accédez à une solution unique offrant les meilleurs contenus de formation dans +230 thématiques identifiées comme essentielles pour les entreprises. Edflex est un agrégateur de contenus, notamment partenaire de Lawpilots, Packt, Intellezy, Skills4All et Pluralsight, des experts sur le domaine de la cybersécurité.
✚ Mise à jour régulière des politiques de sécurité, incluant une communication de celles-ci aux salariés de votre entreprise.
✚ Activation de l’authentification à deux facteurs de manière systématique sur tous les appareils numériques.
✚ Déploiement de pratiques robustes de gestion des mots de passe.
✚ Sensibilisation à la sécurité physique des locaux et à la protection des équipements informatiques.
✚ Réalisation de rapports d'incidents, dès qu’un comportement suspect ou un incident de cybersécurité est identifié.
✚ Sensibilisation à la conformité réglementaire des équipes. Les normes et réglementations en matière de cybersécurité spécifiques au secteur financier doivent être connues des équipes.
✚ Responsabilisation individuelle des collaborateurs, afin que chaque individu de votre organisation prenne individuellement part à l’effort collectif de sécurisation des données.
✚ Sécurité des dispositifs mobiles, qui sont particulièrement sensibles aux attaques.
Comment les plateformes SaaS d’obendy® répondent-elles aux enjeux de cybersécurité ?
Les plateformes obendy® s’intègrent directement aux systèmes d’information (SI) des banques et des assurances. Elles offrent un parcours simplifié et sans couture à leurs clients, notamment via une connexion SSO. Les équipes techniques d’obendy®, construisent un projet de plateforme conjointement avec les établissements financiers et de ce fait, s’adaptent aux contraintes de développement. En effet, notre solution de plateforme est 100% conforme aux enjeux réglementaires (RGPD, secret client, etc.) et offre un socle technologique à haut niveau de sécurité.
Vous souhaitez le découvrir par vous-même ?
Mettre en place les mesures de sécurité techniques
Votre système informatique doit respecter les meilleures pratiques technologiques, en restant en alerte permanente sur les menaces qui apparaissent.
Une faille fréquemment exploitée par les hackers est celle de l’absence de mise à jour de sécurité des logiciels et des systèmes d’exploitation. Il est vital d’appliquer les correctifs logiciels dès qu’ils sont disponibles. L’utilisation de solutions automatisées pour garantir la mise à jour constante des systèmes doit dans l’idéal être adoptée. Par ailleurs, toute la batterie des protections technologiques doit être mise en place : pare-feu, antivirus, filtrages web, cryptage des données et contrôle des accès.
Des évaluations régulières des vulnérabilités des systèmes informatiques doivent être prévues, avec l’adoption de mesures proactives pour atténuer les risques identifiés. Vous devez aussi vous assurer d’une bonne protection physique des serveurs et des centres de données, avec un contrôle d'accès strict aux installations sensibles.
Pourquoi les établissements financiers font-ils confiance à obendy® en matière de sécurité ?
Pour que les établissements financiers puissent venir déposer de la donnée, obendy® a dû ouvrir ses propres API. Ainsi, certains partenaires font le choix de leur confier leur base de clients éligibles aux différents services extra-financiers, afin que les équipes d’obendy® les contactent directement. Dans ce genre de situation, obendy® limite fortement les données stockées de manière à limiter les risques en cas d’incident de sécurité. C’est un travail collaboratif, puisque les experts d’obendy® travaillent aussi main dans la main avec les équipes Sécurité et Risques des banques et assurances pour leur garantir le meilleur niveau possible de protection des données de leurs clients finaux.
Enfin, il est crucial de mettre en place des procédures de sauvegarde robustes pour éviter la perte de données sensibles en cas d'incident. En parallèle, des tests réguliers de restauration de ces sauvegardes doivent être prévues, afin d’en garantir l’efficacité.
Les ETI font face aux plus grands risques de cybersécurité
Instaurer une gouvernance de cybersécurité solide
La cybersécurité nécessite la mise en place :
- De processus clairs
- De responsabilités définies
- D'une approche stratégique globale
Il est tout d’abord impératif d'élaborer un Plan de réponse aux incidents (PRI) rigoureux. Ce dernier doit détailler les étapes à suivre en cas d'attaques et identifier les responsabilités des différentes parties prenantes. La mise en place d'un Plan de Reprise d'Activité (PRA) est également cruciale pour garantir la continuité des opérations en cas de perturbation majeure. Ce plan inclut des procédures détaillées pour restaurer les systèmes critiques, ainsi que des mécanismes de sauvegarde et de récupération des données.
Il est par ailleurs nécessaire de désigner des responsables dédiés à la cybersécurité au sein de votre structure, ayant des rôles et des responsabilités bien définis. La gouvernance de la cybersécurité nécessite une réévaluation régulière, de manière à s'adapter aux évolutions technologiques et aux nouvelles menaces.
Quelle est la gouvernance de la gestion des données clients
d'obendy® ?
Toutes les données sont stockées de manière sécurisée sur des serveurs qui lui sont propres, et cloisonnées à la fois physiquement et logiquement entre chaque partenaire. Par la suite, ces données sont transférées à ses clients en utilisant des connecteurs spécifiques, adaptés à chaque client : en temps réel, en mode batch (traitement par lots), via une connexion SFTP (protocole de transfert de fichiers sécurisés), par un dépôt via SSH (protocole de connexion sécurisée), ou encore un accès par API (interface de programmation d’application) avec OAuth2 (une norme conçue pour permettre à un site Web ou à une application d’accéder aux ressources hébergées par d’autres applications Web au nom d’un utilisateur)...
Pour plus d'éléments sur la gouvernance d'obendy® :
Être attentif aux technologies Cloud
Un nombre croissant d’acteurs de la banque-assurance adoptent le cloud computing, du fait de ses nombreux avantages technologiques et financiers. AWS, Azure et autres Google Cloud ont de beaux jours devant eux ! Pourtant, l’utilisation des services cloud doit inciter à la mise en place de mesures de sécurité spécifiques pour protéger les données et les applications dans le cloud.
✚ Voici quelques conseils stratégiques pour avancer en toute sécurité :
Utiliser l’IA pour détecter les menaces
L'intelligence artificielle (IA) et le Deep Learning sont en train de révolutionner des pans entiers de notre économie, et la cybersécurité dans le secteur bancaire en fait partie.
Capables d’analyser des volumes de données énormes, ces technologies permettent de détecter les menaces et les incidents de sécurité plus rapidement et plus efficacement que les méthodes traditionnellement utilisées.
De leur côté, les cyber-attaquants se servent activement de l’IA pour élaborer des systèmes d’attaques de plus en plus performants.
Grâce à l’IA, vous pouvez :
✚ Identifier des schémas anormaux de transactions bancaires
✚ Repérer des comportements suspects
✚ Prédire à l’avance les attaques potentielles
Vous pouvez ainsi réagir de manière proactive et minimiser les dommages causés par les cyberattaques. Il est également important d’investir dans la R&D pour rester à la pointe des technologies de sécurité. Recruter des experts en cybersécurité, ou faire appel à des prestataires spécialisés, vous permet de maintenir une longueur d’avance pour contrer les menaces de cybersécurité.
L’enjeu de la cybersécurité prend une ampleur croissante ! 🚀
Collaborer avec les organismes de régulation
La collaboration étroite avec les organismes de régulation (AMF, ACPR, ANSSI, etc.) est une composante essentielle de toute stratégie de cybersécurité dans le secteur bancaire.
Les réglementations en matière de cybersécurité évoluent constamment, et il est important pour les banques et les fintechs de rester conformes à ces exigences pour minimiser les risques de sanctions et de cyberattaques.
En conclusion, les banques et les fintechs comme obendy® doivent plus que jamais agir proactivement pour mitiger les risques liés à la cybersécurité. Les attaques se multiplient, avec une professionnalisation et une organisation croissante des attaquants. De nombreuses stratégies peuvent être implémentées pour faire face efficacement : de la sensibilisation du personnel à la mise en place d’une gouvernance performante, en passant par la collaboration avec les instances de régulation.