M moins deux mois et demi. Le 1er juillet prochain, les « opérateurs d'importance vitale » (OIV) devront mettre en place des mesures de sécurité informatique renforcées, dans le cadre de l'article 22 de la loi de programmation militaire du 18 décembre 2013. Cette obligation concerne quelque 200 entreprises françaises, dont le piratage des systèmes informatiques pourrait être lourd de conséquences pour le pays, à l'image des énergéticiens, des transporteurs, des opérateurs de télécommunication ou encore des sociétés de services financiers.
Ces dernières, qui regorgent de données sur leurs clients et brassent quotidiennement des millions d'euros, constituent une cible de choix pour les « hackers ». Pas plus tard qu'au mois de février, des pirates informatiques ont dérobé 81 millions de dollars à la banque centrale du Bangladesh. Et ce, en adressant de la part de cette dernière et à leur profit, de faux ordres de virement à la Réserve fédérale de New York, qui gérait l'un des comptes de la banque centrale du Bangladesh. L'affaire a coûté son poste au gouverneur de l'institution, Atiur Rahman.
Un mois plus tard, nouvelle actualité en matière de cybercriminalité financière, le département américain de la Justice annonçant l'inculpation de sept Iraniens, au titre d'attaques informatiques perpétrées entre 2011 et 2013 contre une quarantaine de sociétés financières, dont la Bourse de New York et Bank of America. Mais s'il y a une banque qui a défrayé la chronique au sujet des cyberattaques, c'est bien JPMorgan. A l'automne 2014, la première banque américaine en termes d'actifs avait reconnu avoir été victime d'un piratage informatique, lequel avait abouti au vol des noms, numéros de téléphone et adresses électroniques de 76 millions de foyers américains. Pas étonnant que JPMorgan ait prévu d'investir 500 millions de dollars dans la cybersécurité en 2016, un montant deux fois supérieur à son budget habituel.
La Société générale va consacrer 5% de son budget informatique à la sécurité
La multiplication des attaques informatiques contre les banques est une conséquence de leur transformation digitale. Il y a 20 ans, les clients n'étaient pas en prise directe avec le système informatique des banques, la relation bancaire se faisant alors essentiellement en agence, par l'intermédiaire du conseiller. La démocratisation d'Internet, puis des smartphones, a bouleversé la donne, les consommateurs s'enthousiasmant pour les services bancaires en ligne. A la Société générale, pas moins de 86% des contacts entrants, entre le client et la banque, passent désormais par les canaux digitaux. Les banques ont donc été obligées d'ouvrir une partie de leurs systèmes informatiques à leurs clients et prospects, ce qui a « augmenté de façon considérable les risques de fraude », avait reconnu Bruno Delas, « chief operating officer » des réseaux France à la Société générale, en début d'année, à l'occasion d'une conférence de presse.
Conséquence, sur le 1,5 milliard d'euros que la banque investira dans le digital d'ici à 2020, près de 5% sera consacré à la sécurité, alors que celle-ci ne pesait jusqu'à présent « que » 2% à 3% du budget informatique annuel de la banque, en France. L'année 2016 verra ainsi la Société générale expérimenter le « machine learning » (apprentissage automatisé des machines), afin de tenter de détecter les schémas de fraude encore inconnus, au moment où ceux-ci sont en train de se construire. Une technologie qui va au-delà de celle du « big data », laquelle permet certes d'analyser 60 millions de données chaque jour, mais se cantonne aux techniques de fraude connues.
Une première dans l'authentification par biométrie vocale
Le groupe concentrera également ses efforts sur les paiements à distance, qui, toutes banques confondues, concentrent les deux tiers de la fraude à la carte bancaire en France, d'après l'Observatoire de la sécurité des cartes de paiement. Dans le sillage du groupe BPCE (Banque Populaire Caisse d'Epargne), la Société générale a ainsi prévu d'expérimenter, à partir du printemps 2016, des cartes à cryptogramme dynamique (les trois chiffres figurant au dos de la carte). Celui-ci changeant toutes les 45 minutes, les hackers qui auront réussi à le subtiliser disposeront de très peu de temps pour l'utiliser. « L'objectif est de faire en sorte que ce qui a été volé n'ait plus de valeur », résume Philippe Marquetty, directeur des produits de paiement de la banque de détail de la Société générale en France.
La banque vient également de lancer « Secure Access », le pendant pour les entreprises du Pass Sécurité. Destiné aux clients particuliers et professionnels et opérationnel depuis 2014, ce système associe l'identifiant bancaire du client (son code d'accès aux services en ligne) à son smartphone, via l'application mobile de la Générale, transformant ainsi le téléphone en instrument de validation des paiements à distance. A moins d'être parvenu à vous voler à la fois votre smartphone et votre identifiant bancaire, difficile, pour un hacker, de se faire passer pour vous lors d'une transaction en ligne...
Toujours dans le registre de l'authentification de l'auteur d'un paiement à distance, la Banque Postale a frappé un grand coup, début mars. La filiale bancaire de La Poste a obtenu de la Commission nationale de l'informatique et des libertés (Cnil) le droit de généraliser à l'ensemble de ses clients « Talk to Pay », un système d'authentification par biométrie vocale testé depuis trois ans auprès de 650 clients et collaborateurs. Une première car la Cnil refusait jusqu'à présent la conservation d'échantillons biométriques sur un serveur central. Il faut dire que l'ingéniosité grandissante des hackers contraint à innover toujours davantage dans le domaine de la cybersécurité.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés