Gérer les risques
Aujourd'hui et demain

Cybersécurité

Philippe Carrère (Gemalto) : « L’univers digital a su tirer profit des mesures sécuritaires déployées au sein du monde réel »

Interview de Philippe Carrère, directeur Europe du sud de la protection des données et de l'identité chez Gemalto, le spécialiste de la sécurité numérique. Cet expert nous dresse un historique comparatif des solutions physiques et virtuelles de sécurité dans le milieu bancaire.

Comment les banques devraient-elles appréhender le risque de piratage informatique ?
Les dirigeants du secteur bancaire doivent constamment prendre en compte les aspects liés à la cybersécurité pour déterminer quels sont les actifs qu’il est indispensable de protéger, de quelle manière et à quel coût. Un état des lieux qui est réalisé de la même manière par les cyberpirates convoitant ces mêmes actifs. Le risque zéro n’existe pas. C’est pourquoi les équipes en charge de la sécurité informatique ne doivent pas uniquement chercher à éviter à tout prix les attaques mais plutôt à donner du fil à retordre aux pirates en rendant ces dernières plus difficiles à mettre en place, plus coûteuses et plus risquées. Partant de ce constat, il est intéressant de comparer les actions qui ont été mises en place par les banques pour protéger leurs actifs physiques à celles dont elles ont aujourd’hui besoin pour garantir leur cybersécurité. Si les moyens utilisés pour protéger leurs biens physiques diffèrent de ceux mis en place pour s’assurer de la sécurité de leur périmètre virtuel, des similitudes existent. Mieux encore, l’univers digital a su tirer profit des mesures sécuritaires déployées au sein du monde réel.
Comment les méthodes d’effraction physique ont-elles évolué au fil du temps et quels moyens les banques ont-elles mis en œuvre pour protéger leurs biens ?
Jusqu’au milieu du 19ème siècle, les banques avaient recours à de petits coffres-forts pour protéger leurs biens de valeur. Après la conquête du Far West, les chercheurs d’or, rentrés les mains vides, se sont tournés vers une autre source de convoitise : les coffres-forts et les richesses qu’ils renfermaient. Utilisant leurs pioches, ils sont parvenus à les forcer et à en piller le contenu. Avec le temps, ces coffres-forts de petite taille ont été remplacés par d’autres plus volumineux et donc plus difficiles à déplacer, sans pour autant décourager les voleurs qui ont utilisé des explosifs pour parvenir à leurs fins. A l’aube des années 20, la plupart des banques se sont équipées de coffre-forts renforcés, spécialement conçus pour résister aux cambrioleurs, aux émeutes ou encore aux catastrophes naturelles. Les malfaiteurs se sont alors dotés de chalumeaux leur permettant de transpercer l’acier. Lorsque les serrures ont démontré leurs limites, les banques ont eu recours à des cadenas à combinaison. Cette transition a marqué un glissement vers une sécurité basée sur l’humain, chargé de retenir la combinaison du coffre. Ce point souligne un constat qui s’est avéré vrai tout au long de l’histoire de la sécurité du secteur bancaire : ce sont souvent les individus qui constituent le maillon faible.

Quel rapport peut-on donc établir avec la cybersécurité ?
Aujourd’hui, la combinaison d’un coffre peut être comparée à des identifiants de connexion pouvant faire l’objet d’une attaque de hameçonnage après intrusion sur le serveur ou le réseau. Un utilisateur disposant de certains accès peut également servir d’appât et ouvrir ou télécharger un fichier malveillant. Une fois installé sur l’ordinateur de ce dernier il devient alors possible, pour le pirater, de piloter à distance les préférences système et de lancer une attaque. Ce qui fait des banques, avec leurs nombreuses ramifications, des proies idéales pour un pirate… En effet, au fil des décennies, le réseau des banques n’a cessé de s’étendre, accentuant ainsi le nombre de points d’entrée à surveiller. Au siège, viennent s’ajouter un nombre toujours plus croissant de succursales, de vitrines, de guichets automatiques, représentant autant de menaces potentielles. Ces sites annexes sont des cibles privilégiées pour les malfaiteurs qui délaissent les sites principaux, dont la sécurité est devenue trop élevée. Selon des sources policières, les braquages de banques ou de sociétés de transports de fonds diminuent au fil des ans en raison de la protection de plus en plus sophistiquée mise en place. En outre, une étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) indique que, parmi les 5.142 faits de vols à main armée recensés en 2013, 63% ont visé le « secteur marchand » (bijouteries, agences bancaires et de la Poste, etc.).

Quel est le talon d’Achille commun à la sécurité des biens physiques et virtuels ?
D’années en années, les malfaiteurs ont privilégié les cibles présentant la valeur la plus conséquente et le risque le moins élevé. Quiconque a déjà regardé un Western sait que l’étape du transport reste la plus vulnérable. Aujourd’hui, le transfert des données numériques sensibles transitant sur le réseau est particulièrement convoité.
D’où le recours au chiffrement ?
Lorsque des attaques telles que celles de l’homme du milieu (Man in the Middle) et les écoutes clandestines se sont banalisées, se doter de solutions de chiffrement des données est devenu plus que primordial. Selon un sondage réalisé par le Département des services financiers de l’Etat de New York, 90% des banques ont recours à des solutions de chiffrement pour sécuriser les données transmises ou reçues par des utilisateurs tiers. Cependant, seulement 38% des établissements interrogés utilisent le chiffrement pour des données qui ne quittent jamais le réseau.

Effractions, vols d’identifiants, attaques durant les transferts… les voleurs virtuels ou réels ne manquent pas de ressources ! Que faire pour y remédier ? Faut-il anticiper ? Multiplier les tactiques de défenses ?
Comme l’illustre parfaitement l’évolution de la sécurité bancaire, se concentrer sur une seule ligne de défense peut s’avérer risqué et inefficace. La mise en place de nouvelles mesures de défense ne permet pas de garantir à 100% et en continu la sécurité de l’établissement bancaire. En effet, une fois que ces mesures sont identifiées et écartées par les malfaiteurs, ils se tournent vers d’autres failles potentielles. En matière de sécurité physique, les coffres forts sont devenus plus volumineux et plus difficiles à forcer, avec notamment la construction de voûtes protégées par des murs de plusieurs mètres d’épaisseur. Mais les banques ne se sont pas arrêtées là. Elles ont aujourd’hui recours, entre autres, à des détecteurs de mouvement et de chaleur ainsi que des caméras de vidéosurveillance afin de se prémunir d’une éventuelle attaque.
Il n’y a pas d’outil ou d’approche pouvant garantir une sécurité infaillible à 100%. Cela est vrai tant pour la sécurité physique que digitale des banques. Cependant, une stratégie de sécurité à plusieurs niveaux reste la meilleure option pour se protéger des cyberattaques. D’autant plus que les défenses du réseau continuent d’être contournées. C’est pourquoi l’utilisation de solutions de chiffrements des coffre-forts digitaux aujourd’hui constitués de bases de données, de systèmes de stockage et des services utilisés au sein des environnements IT des banques, est devenue une mesure de sécurité essentielle à la protection des ressources clés des banques.

Ségolène Kahn

Commentez

Participez à la discussion