Fintech et Blockchain : espoir ou menace pour la sécurité bancaire?
La Fintech et la technologie Blockchain associée au bancaire vont-elles renforcer la sécurité ou introduire de nouveaux risques au niveau des systèmes ? L'avis d'expert de Christophe Auberger, Directeur Technique France de Fortinet, leader mondial de la sécurité réseaux installé à Sophia Antipolis.
L’émergence des startups de la Fintech (à savoir ces acteurs technologiques qui redéfinissent la prestation des services financiers) et des nouvelles technologies disruptives invitent à repenser les processus bancaires et la fourniture des services financiers. Titillées par la concurrence de cette Fintech et des nouveaux services grand public offerts par les acteurs (prêts en peer-to-peer, crowdfunding via des places de marché…), les banques vont miser davantage sur la technologie pour améliorer leurs processus et modèles métier, et ainsi redéfinir l’expérience des clients.
Le magazine The Economist révèle que plus de 25 milliards de dollars US ont été investis dans les Fintech au cours des 5 dernières années. Les Fintech françaises profitent également de cette manne, en recueillant 80 millions d’euros en 2015. Aujourd’hui, cette nouvelle génération d’acteurs représente un défi pour les banques traditionnelles et leurs offres commerciales. En Chine, par exemple, les clients des Fintech comme Tencent et Alipay sont désormais plus nombreux que ceux des principales banques.
Pour relever les défis, de nombreuses banques remettent en cause leur périmètre business ou technologiques, et font migrer les systèmes existants et transactionnels vers des solutions plus réactives, tout en explorant de meilleures façons de partager leurs données clients. Certaines banques ont migré partiellement leurs systèmes vers le Cloud, en laissant leurs collaborateurs accéder à de multiples référentiels de données. D’autres mettent en oeuvre des architectures orientées services pour favoriser l’interopérabilité et lier leurs systèmes et interfaces clients à des sources de données et applications communes.
Nouvelles orientations, nouveaux risques
Les nouvelles orientations des institutions financières et bancaires les amèneront à traiter des volumes toujours plus importants de données. Selon certains analystes, le volume actuel de données devrait bondir par un facteur de 7 d’ici 2020. Ce Big Data est généré par de nombreuses sources : informations financières de clients, informations de comptes, données de titulaires de cartes de paiement ou encore données personnelles et transactionnelles. Autant d’informations confidentielles et donc généralement réglementées.
Alors que les transactions digitales et mobiles se généralisent, les banques qui veulent pleinement tirer parti de la nouvelle économie digitale seront inévitablement confrontées à des risques de sécurité et de piratage de données. Elles devront notamment tenter de neutraliser des logiciels malveillants de nouvelle génération et des attaques sophistiquées par phishing qui cibleront le volume croissant de données qu’échangent les banques avec leur réseau, les utilisateurs mobiles et même le Cloud.
La recrudescence de la cybercriminalité, des attaques et des fuites de données plaide en faveur de programmes de sécurité plus sophistiqués. De plus, la généralisation des smartphones et autres plateformes mobiles donne lieu à de nouveaux vecteurs et passerelles d’attaques. Plus que jamais, tout détournement de données peut ternir la réputation des organisations victimes et entraîner des poursuites judiciaires et pénalités financières.
En 2015, JP Morgan subissait le piratage de données le plus important de l’histoire des bancaires, avec le détournement de plus de 83 millions d’enregistrements. Dans le cas de cette attaque, ce ne sont pas des informations bancaires, mais des emails qui ont été détournés. Les hackers ont utilisé des données email pour tenter de manipuler les marchés financiers.
La technologie Blockchain est-elle sécurisée ?
Les institutions financières sont en permanence à la recherche d’outils technologiques pour maîtriser leurs coûts, améliorer leur service client et assurer leur conformité réglementaire. Nombre d’entre elles misent sur l’innovation en adoptant et expérimentant de nouvelles technologies comme Blockchain – la technologie répertoriant les échanges en Bitcoins – et en simplifiant leurs opérations IT.
De nombreuses transactions digitales actuelles dépendent encore de processus traditionnels et sont soumises à des risques, pour cause de défaillance en matière de surveillance et de visibilité, d’une administration inadaptée ou d’un cadre de confiance inapproprié. D’autre part, le secteur de la finance connaît un développement et une diversification des options de paiement : cette tendance incite les banques à rendre leur infrastructure de traitement plus résiliente.
La technologie BlockChain est prometteuse : elle repose, en effet, sur une architecture décentralisée de fichiers qui permet aux banques de conserver des copies de fichiers et de valider tout changement de manière consensuelle. Chaque fichier est composé de blocs, et chaque bloc intègre une signature cryptographique du bloc précédent. Les transactions Blockchain ont ainsi pour promesse d’être instantanées, chiffrées et vérifiables publiquement, et ce, sans qu’une institution financière ne joue un rôle d’intermédiaire de confiance.
Blockchain est également intrinsèquement plus sécurisé, puisque l’architecture distribuée permet de vérifier l’intégrité de ces transactions. De plus, les transactions sont transparentes et ne peuvent être altérées, ce qui rend toute attaque particulièrement difficile, si ce n’est impossible. Blockchain joue ainsi le rôle « d’intermédiaire financier », pour accélérer et sécuriser les transactions. Les banques espèrent que cette technologie sera capable de sécuriser toutes les opérations transactionnelles, des virements au trading de valeurs mobilières, et qu’elle s’imposera en tant que standard pour les échanges internationaux.
Mais Blockchain doit encore faire ses preuves, et il faudra du temps avant que cette technologie ne soit parfaitement conforme aux exigences les plus sophistiquées applicables aux instruments bancaires actuels. D’autre part, les carences en matière de réglementation, de conformité et d’application des règles devront être prises en compte. Le Bitcoin, qui utilise la technologie Blockchain, est populaire au niveau des systèmes Peer-to-peer depuis des années. Mais le Bitcoin est également une cible pour les cybercriminels, aboutissant à des pertes représentant des millions de dollars.
Blockchain, si elle se substitue avantageusement à des processus manuels obsolètes et inefficaces, pose, à juste titre ou pas, une problématique de sécurité pour les banques. De plus, la confidentialité des transactions est une préoccupation majeure. Si un bloc est utilisé pour stocker des données confidentielles de paiement ou contractuelles, le fichier est « dupliqué » dans le cadre de l’architecture distribuée qui sous-tend Blockchain, offrant ainsi des opportunités supplémentaires pour un cybercriminel de pirater et de détourner des données.
Les institutions financières et bancaires doivent rester vigilantes
Les Fintech commencent à se positionner sur des rôles traditionnellement attribués aux banques, tandis que les nouvelles technologies mobiles de paiement et bancaires améliorent et simplifient l’expérience des utilisateurs. Les institutions financières et bancaires ne peuvent baisser leur garde lorsqu’elles adoptent de nouvelles solutions et technologies. Elles doivent continuer à protéger leurs données et investir en permanence pour étayer leur arsenal de sécurité et juguler les attaques. Elles doivent également concevoir les moteurs de défense les plus pertinents face à ces attaques.
Alors que la technologie est au coeur de cette transformation, nombre d’institutions vont devoir allouer davantage de ressources pour renforcer leurs compétences et les fonctions de sécurité. Les banques doivent également être capables, aujourd’hui, de répondre rapidement à leurs clients, et d’adopter de nouvelles technologies, outils et processus lorsque ces derniers sont disponibles et éprouvés.
Il est important de comprendre comment la réglementation et la conformité réglementaire évoluent pour encourager l’innovation et le changement. Il est essentiel de pouvoir constamment analyser les nouvelles technologies, évaluer leur pertinence, et les intégrer, le cas échéant, au sein des architectures IT.
Définir la stratégie de sécurité la plus pertinente
Avec l’émergence des Fintech, la sécurité devient une préoccupation toujours plus importante pour les banques, et ne se concrétise que si les données sont sécurisées et protégées. Il devient crucial pour les institutions financières de concevoir une stratégie de sécurité globale et de se préparer à l’émergence de nouvelles technologies et de menaces de sécurité associées.
Les banques doivent pouvoir identifier les risques qui pèsent sur les données de clients, et concevoir une stratégie intégrant des règles et procédures pour gérer et maîtriser ces risques. Il est tout aussi important de déployer des mesures de sécurité appropriées et de revoir sa stratégie à l’aune des changements technologiques, du niveau de confidentialité des données clients et des menaces internes et externes à la sécurité de l’information.
Alors que ces menaces évoluent, les lignes de défenses doivent s’y adapter, dans l’objectif de contrer les attaques en temps réel, de protéger les données et d’assurer la conformité réglementaire. Il est peu réaliste de s’attendre à ce que les institutions financières puissent, "per se", mener des actions et initiatives de manière autonome. Lorsqu’elles conçoivent leur stratégie de sécurité, elles doivent se rapprocher d’un fournisseur de solutions de sécurité capable de sécuriser leurs applications et de leur offrir formation et support pour que les équipes comprennent parfaitement les tenants et aboutissant de toute nouvelle technologie.
Au final, les directions informatiques et leur partenaire externe doivent disposer de l’expérience nécessaire pour faire évoluer les règles et équipements de sécurité et adopter de manière intelligente et éclairée des nouvelles technologies et solutions.