Sécurité informatique, le double enjeu des banques

le 05/04/2012 L'AGEFI Hebdo

Elles doivent renforcer la surveillance de leurs services en ligne et sont aussi tenues de mieux contrôler les accès en interne.

Début 2012, Postbank, une banque sud-africaine, reconnaissait un casse de plus de 6 millions de dollars sans un coup de feu ou une fracture de coffre d’aucune sorte. Le larcin s’est déroulé via internet et grâce à une complicité interne. Les braqueurs, agissant pendant la trêve du nouvel an, ont utilisé des identifiants pour créer des comptes et les alimenter avec l’argent de la banque. Comptes qu’ils ont ensuite vidés par l’intermédiaire de distributeurs automatiques de billets, après avoir pris soin d’élever au maximum le plafond de retrait. Un braquage non violent mais désastreux pour l’image de la banque, même si celle-ci a assuré qu’aucun de ses clients n’avait été affecté. Un cauchemar que voudraient éviter tous les établissements bancaires du monde entier. Et même si la menace est venue de l’intérieur, le cas rappelle combien la cybersécurité représente un sujet brûlant. Selon une enquête de PricewaterhouseCoopers publiée fin mars 2012 et menée auprès de 856 établissements financiers dans le monde, les attaques en ligne ont représenté 38 % des actes criminels dont ils ont été victimes en 2011.

Avec le développement des services en ligne et la multiplication des canaux d’accès, les occasions de fraudes se multiplient. Une des grandes tendances dans le monde bancaire est l’ouverture d’interfaces de programmation sur le web pour permettre à des développeurs tiers de proposer des applications mobiles notamment. « Un bon moyen de profiter des capacités d’innovation de tiers, un peu à l’image de l’Apple Store, mais qui pose de sérieuses questions quant à la sécurité, souligne Mikael Robert, architecte système d’information, spécialiste de la sécurité dans le domaine bancaire, de la SSII (société de services en ingénierie informatique) Octo Technology. C’est assez surprenant quand on y réfléchit car les banques ont toujours été très réticentes à l’ouverture de leur système d’information à des tiers. » Même si des procédures strictes sont appliquées depuis toujours comme la ségrégation entre les systèmes front-office, composés essentiellement d’applications graphiques, et le back-office, les utilisateurs en bout de chaîne demeurent le maillon faible de la sécurité. « Les attaques ‘man in the middle’ (interception de communication entre deux parties dans le but d’exploiter les informations détournées, NDLR) ou ‘man in the browser’ (interception des données entre un utilisateur et une application en ligne, NDLR) sont assez simples techniquement et reviennent à la mode du fait de la montée en puissance du multicanal », explique Pascal Boulvais, directeur avant-vente de l’éditeur de solutions de sécurité ActivIdentity. En France, les montants en jeu ne sont pas très importants, même si l’ONDR (Observatoire national de la délinquance et des réponses pénales) avance, dans sa dernière étude parue en mars 2012, un montant moyen de 750 euros par débit bancaire frauduleux, 500.000 ménages en ayant été victimes. « Mais l’image de marque des banques est en jeu et la perte de confiance d’une clientèle de plus en plus exposée aux problèmes de sécurité est un enjeu majeur », souligne Pascal Boulvais.

Nouvelle approche par les risques

Aussi les banques ont-elles multiplié depuis deux ans maintenant la mise en place de solutions innovantes tout en privilégiant la simplicité pour leurs clients avec des identifiants à usage unique, délivrés via SMS ou e-mail pour contrer les attaques « man in the middle » (MITM) ou « man in the browser » (MIB). « Mais elles ont pris conscience que la flexibilité de leurs solutions de sécurité était incontournable car les attaques sont différentes chaque année, révèle Pascal Boulvais.

Or les banques, historiquement, n’avaient pas anticipé le besoin d’ajuster fréquemment leur modèle de sécurité, ce qui les a obligées à coder à nouveau leurs applications métiers. » Dernier exemple en date de nouveau type de fraude, l’éditeur israélo-américain Trusteer a démontré que certains escrocs avaient réussi à injecter des formulaires frauduleux dans des services bancaires en ligne pour obtenir des clients le numéro IMEI (International Mobile Equipment Identity) et fabriquer ainsi des cartes SIM de façon à intercepter les identifiants envoyés par SMS. Aussi, commence à se développer une approche par les risques concernant la connexion aux services bancaires en ligne. Celle-ci consiste à analyser le détail d’une connexion (lieu, heure, adresse IP…) et à la soumettre à un calcul de risque, le scoring. Ainsi, une demande de connexion à un horaire inhabituel au vu des habitudes du client concerné, ou en provenance d’un pays à risque comme la Russie, pourrait être bloquée ou nécessiter une nouvelle authentification. « Une pratique encore peu mature en France, contrairement aux Etats-Unis où les banques en ligne sont confrontées massivement à des attaques de type MITM ou MIB », précise Arnaud Gallut, directeur de la division sécurité de l’éditeur CA Technologies.

Une traçabilité très fine

Mais les efforts des banques concernent également la sécurité interne de leurs systèmes d’information. « Ces deux dernières années, les établissements bancaires, pour se mettre en conformité avec la législation les obligeant à garder une trace de tous les flux de données générées par les applications manipulant des informations sensibles, ont dû faire de gros efforts concernant leur architecture informatique, relate Mikael Robert. Le protocole de communication Soap, par exemple, est très ‘bavard’ et génère beaucoup de données de ‘log’, soit des terabits à stocker pour des raisons légales, ce qui peut influer significativement sur la performance des applications. » Et depuis 18 mois environ, sous la pression des auditeurs externes, et des commissaires aux comptes notamment, les banques travaillent pour obtenir une traçabilité très fine, dans leurs systèmes d’information, des actions des utilisateurs privilégiés. Ceux-ci, comme les auditeurs internes ou les administrateurs système, disposent en effet de droits très étendus. « Les établissements financiers investissent actuellement dans des outils pour segmenter les droits d’accès de façon plus fine et automatisée pour ces utilisateurs privilégiés dans les environnements critiques », rapporte Arnaud Gallut. Ainsi, courant 2011, CA Technologies a déployé sa technologie Access Control au sein d’un acteur du domaine public spécialisé dans la compensation financière avec une ségrégation des accès en fonction du caractère critique des plates-formes, des plages horaires et des adresses de connexion. Un projet portant sur un périmètre de plusieurs centaines de serveurs sous différents systèmes d’exploitation (Solaris, Linux, Windows…) et qui a nécessité 250 jours/homme de développement. « Ces projets de traçabilité et de contrôle des utilisateurs privilégiés peuvent atteindre, globalement, un million d’euros pour une banque moyenne, avance Jean-Noel de Galzain, président de Wallix, éditeur de solutions pour la sécurité des infrastructures de sécurité et la gestion des utilisateurs. Tous les établissements ne sont pas au même stade de maturité, mais ce type de projet est en phase de test ou de déploiement au sein de filiales dans les grands groupes bancaires. »

A lire aussi