Recelant des millions de données sensibles, les banques représentent une cible de choix pour les cybercriminels. Lesquels chercheront toujours à exploiter la moindre faille dans leurs systèmes, risquant ainsi de provoquer des dégâts économiques considérables. En témoigne la Banque Cantonale de Genève (BCGE) qui a été l’objet d’une cyberattaque massive en janvier dernier : plus de 30.000 messages de clients, renseignant sur leurs noms, adresses et coordonnées ont été subtilisée par les hackers qui se sont empressés d’exiger en retour de fortes rançons. En vain. Puisque les informations volées se sont avérées obsolètes ou non exploitables… Une chance pour cette banque qui a risqué gros dans cette affaire. Si les institutions financières banques se mettent à investir massivement dans la sécurité informatique, notamment dans des solutions de lutte contre le vol des données, le risque zéro n’existe pas. Et certaines banques présentent toujours des brèches dans leur système de sécurité.
Il faut savoir que, la plupart du temps, l’on s’attend à ce que l’attaque vienne logiquement de l’extérieur. Alors que nombre d’employés opérant dans l’enceinte même de l’entreprise ou de la banque disposent de droits d’accès souvent démesurés par rapport à leurs responsabilités. Certains salariés constituent ainsi une menace qui joue un rôle bien plus important qu’on ne le pense dans les défaillances de sécurité. En s’impliquant par exemple dans des activités malveillantes. D’autres deviennent à leur insu les fournisseurs de comptes piratés et de droits associés en se faisant eux-mêmes hacker. Ainsi, d’après le groupe bancaire portugais Millenium Bcp, entre 50 et 70% des cyberattaques réussies seraient attribuées à des personnels internes. Dans ce contexte, la gestion des identités des utilisateurs et la limitation de leurs droits d’accès devient une démarche incontournable dans la construction d’un système de sécurité.
Un enjeu véritable pour le groupe bancaire portugais Millenium Bcp qui dispose d’implantations en Angola, au Portugal, en Pologne ou encore au Mozambique. Afin de sécuriser au maximum les usages informatiques de ses employés, le groupe a décidé d’étendre la couverture de son système de gestion des identités et des accès (IAM) en se dotant de la solution SAM EIM de l’éditeur allemand Beta Systems. « Dans une banque, une gestion inadaptée des identités et des droits d’accès des utilisateurs peut facilement déboucher sur une brèche de sécurité avec un impact fort. Dans un environnement informatique hétérogène, comme celui de Millennium bcp, une solution IAM améliore considérablement l’efficacité et le contrôle de l’administration de la sécurité. À ce titre, la solution SAM de Beta Systems a fait preuve d’une grande fiabilité » commente Jorge Carreteiro, responsable de la sécurité informatique chez Millennium Bcp.
En effectuant ce partenariat, il s’agissait d’intégrer la solution SAM EIM à l’application bancaire stratégique (ICBS) de la banque, dans un environnement OS/400 d’IBM. Notamment afin de gérer la sécurité des transferts dans le cadre d’opérations internationales. Outre cette solution, la banque a intégré la solution Garancy Access Intelligence Manager. Ce module de gouvernance des risques générant des tableaux de bord, des rapports et des analyses multidimensionnelles a pour fonction d’auditer la structure des autorisations de l’entreprise.
Cette démarche a eu pour objet d’étoffer le partenariat existant depuis quinze ans entre le groupe bancaire et cet éditeur. Au départ, en 2000, la banque avait fait appel à Beta Systems pour la gestion de ses comptes Resource Access Control Facility (RACF) grâce à la solution SAM Enterprise Identity Manager. Ensuite, en 2002, la banque y intègre la gestion de ses comptes Active Directory et, un an plus tard, elle étend la solution à ses opérations internationales. En 2003, s’ajoute la gestion des comptes OS/400. Durant ces années, l’extension gagne de nombreux autres systèmes informatiques de la banque avec, notamment, un outil de réinitialisation des mots de passe, le SAM Password Reset.
Pour conclure, n’oublions pas que cette course à la sécurisation des données n’est pas sans rappeler l’affaire Falciani en 2008. Durant laquelle un ex-employé de la banque HSBC avait fourni à l’administration fiscale une liste d’évadés fiscaux. Un fait qui a pesé un certain poids dans le développement de la gestion des IAM auprès du secteur bancaire…
Ségolène Kahn
Commentez