Le Forum des Compétences, association regroupant des experts en sécurité des systèmes d’information, la Banque de France et Proofpoint, leader dans le domaine de la cybersécurité, présentent aujourd’hui leurs recommandations à destination des banques et assurances, dans un contexte où le travail hybride s’est fortement généralisé alors que les menaces cyber ne cessent d’augmenter.
Le rapport publié aujourd’hui est le fruit de deux ans de travaux sur l’évolution du modèle de sécurité dans le secteur bancaire et de l’assurance en France. Il révèle que, si le secteur financier reste l’un des mieux équipés structurellement en termes de cybersécurité, la pandémie de Covid-19 a donné lieu à un bouleversement profond et brutal des méthodes de travail.
Les vulnérabilités créées par ce nouveau paradigme, et largement exploitées par les cybercriminels, exigent du système financier qu’il continue de s’adapter, et qu’il réfléchisse encore plus sérieusement à la réponse qu’il peut apporter aux menaces cyber.
Le Forum des Compétences, cercle d’échanges entre banques et assurances, et Proofpoint, leader mondial de la cybersécurité et de la mise en conformité, publient aujourd’hui un rapport sur l’impact du travail hybride sur la cybersécurité des entreprises dans la banque et assurance. Le groupe de travail « Évolution du modèle de sécurité dans les entreprises » a été mis en place en 2020 pour réfléchir aux risques liés à la généralisation du travail à distance, au développement, déjà engagé, de la transformation digitale, et à l’utilisation de plus en plus fréquente de services en ligne telle que les solutions Cloud.
Un changement de paradigme accentué par le contexte de crise
La pandémie de Covid-19 a donné lieu à un bouleversement profond et brutal des méthodes de travail. Les banques et assurances ont dû prendre des mesures difficiles, souvent dans l’urgence, pour assurer la continuité du travail, même depuis la maison.
Les interactions clients se sont largement déplacées en ligne plutôt qu’en agence, ouvrant la voie à de nouveaux risques par l’utilisation de messageries instantanées non sécurisées, un plus grand volume d’échange de données sensibles (par exemple les justificatifs envoyés en pièces jointes pour une demande d’emprunt ou d’assurance vie), ou encore le recours aux applications mobiles bancaires.
Sur ce point, les chercheurs de chez Proofpoint ont récemment révélé que les attaques sur smartphone avaient augmenté de 500 % en 2021, démontrant bien les vulnérabilités créées par ce nouveau paradigme, et largement exploitées par les cybercriminels.
Quelles implications pour le secteur des banques et des assurances
Si le secteur financier reste l’un des mieux équipés structurellement en termes de cybersécurité (selon le rapport State of the Phish 2022), le contexte géopolitique actuel montre aussi les limites de ce système. L’intrication du système financier à l’international signifie que les collaborateurs basés dans les pays à risques seront les premières cibles de spear phishing.
Pour Pierre Poulain, Contrôleur Général et Chef de l’Inspection de la Banque de France, « comme rappelé dans la dernière évaluation des risques du système financier français, publié par la BDF en décembre 2021, le système financier doit continuer de s’adapter pour faire face à la transformation numérique des pratiques, et aux risques cyber. Le Forum des Compétences et ses travaux, dont ce dernier livrable, sont là pour accompagner les acteurs français du secteur »
Loïc Guézo, Directeur, Stratégie Cybersécurité pour l’Europe du Sud, le Moyen-Orient et l’Afrique (SEMEA) chez Proofpoint, commente :
« À travers ces travaux, il apparaît clairement qu’une véritable prise de conscience des changements rapides s’est enclenchée. L’ensemble du secteur financier doit désormais réfléchir encore plus sérieusement à la réponse qu’il peut apporter aux menaces cyber, transformer la façon de considérer la relation client, le rapport aux institutions et le niveau de confiance accordé aux systèmes d’information ».
Xavier Boidart, Président du Forum des Compétences, ajoute :
« Pour faire face à l’ampleur du paysage de la menace, une nouvelle trajectoire doit être définie par tous les acteurs du secteur financier, en tenant compte de ces spécificités, mais aussi des obligations légales grandissantes liées à la cybersécurité. Ce rapport inédit offre des pistes de réflexion et d’action, comme la mise en place du modèle Zéro Trust, pour aider ces acteurs à faire évoluer leur modèle de sécurité ».
Le rapport « Évolution du modèle de sécurité » est disponible sur le site du Forum des Compétences : https://www.forum-des-competences.org/nos-publications/evolution-du-modele-de-securite-dans-les-entreprises.html