« La sécurité informatique ne connaît pas la crise ! »

0
119

La Croix A quels risques majeurs le secteur bancaire est-il aujourd’hui confronté ?

Eric Filiol : Les banques sont la cible d’attaques très évoluées, ce qui a contribué à les sensibiliser. Par exemple, une grande banque française, en pleine négociation avec des établissement bancaires chinois, s’est aperçue qu’un cheval de Troie (un logiciel espion, NDLR) avait été installé sur un de ses postes depuis plusieurs mois, via un fichier informatique. Il permettait d’espionner tout le système d’information de cette entreprise. Suite à la multiplication de ces événements, les établissement bancaires ont pris la mesure des enjeux et ont mis en place de nouvelles protections.

Comment les banques se protègent-elles ?

Depuis un an ou deux, les établissements bancaires recrutent des équipes spécialisées, qui fonctionnent 24 heures sur 24. Une banque de taille moyenne peut ainsi compter une centaine de cadres affectés à la sécurité informatique. Car aujourd’hui, il ne suffit pas de développer un logiciel anti-virus. Il faut mettre en place une structure organisationnelle importante, déployée dans le monde entier.

Est-ce suffisant ?

En matière de sécurité bancaire, la cryptographie est aujourd’hui au centre de toutes les attentions. C’est un système chargé d’assurer la sécurité des transactions bancaires – le chiffrement, la capacité à ne pas modifier un ordre bancaire, l’identification du débiteur et du créditeur.

Et aussi surprenant que cela puisse paraître, les scientifiques ont conduit l’industrie et le secteur bancaire à utiliser ces technologies, alors que personne n’a pu prouver leur validité. Elles ne reposent en effet sur aucun fondement scientifique. Si ces technologies avaient une faille, on ne disposerait d’aucun substitut, ce qui serait dramatique.

Les moyens mis en œuvre aujourd’hui ne sont-ils pas en deçà des enjeux ?

En juin, une grande conférence s’est tenue sur le sujet, organisée à l’initiative de l’Agence nationale des systèmes d’information (ANSSI). Le directeur technique de la Direction générale de la sécurité extérieure et le patron de l’ANSSI, chargée d’organiser la sécurité des réseaux d’information des ministères et des grandes entreprises, ont tous deux constaté un retard en la matière, notamment dans le secteur hospitalier. Ces deux organismes ont d’ailleurs annoncé un plan d’embauche de 150 à 200 ingénieurs en sécurité informatique par an, sur les cinq ans à venir.

Selon l’ANSSI, un effort comparable devra également être fait par toutes les grandes entreprises. Mais un problème persiste : trop peu de jeunes sont attirés par les écoles d’ingénieur, alors que les besoins sont énormes. Aujourd’hui, nos étudiants sortent d’ailleurs de formation avec un salaire moyen de 37 000 euros nets pour leur premier emploi. La sécurité informatique ne connaît pas la crise !

Cyril Charon, La-croix.com