Cybersécurité

Cybersécurité : Un enjeu réglementaire

le 20/07/2017 L'AGEFI Hebdo

Plusieurs textes européens entrent en vigueur en 2018 et 2019, nécessitant adaptations et investissements.

Cybersécurité : Un enjeu réglementaire
Exemple de cyberattaque avertissant que les fichiers de données ont été cryptés le 15 mai 2017.
(Bloomberg)

Wannacry et Petya/NotPetya sont là pour le rappeler : le risque cyber s’accroît d’année en année parallèlement à la numérisation de l’économie. C’est pourquoi les réglementations sur la sécurité se sont multipliées, donnant parfois l’impression de partir dans tous les sens. Pour les banques, il va falloir faire face à au moins trois grands textes : la deuxième directive sur les services de paiement (DSP2), qui entre en vigueur en janvier 2018 et sera suivie en 2019 des standards techniques réglementaires (RTS), touchant notamment à l’authentification forte et à l’accès aux comptes par des tiers ; le règlement européen sur la protection des données personnelles (GDPR), qui augmente les exigences pour toutes les entreprises à partir de mai 2018 ; la directive Network and Information Security (NIS), qui élargit à de nombreuses entreprises l’obligation de renforcer leur cybersécurité, comme l’a fait dès 2013
la loi française de programmation militaire (LPM) pour les seuls organismes d’importance vitale (OIV) ; elle doit être transposée dans les droits nationaux d’ici à mai 2018.

Contraintes

Chacune de ces réglementations fait intervenir un régulateur différent : la Banque centrale europééenne (BCE) et l’Autorité de contrôle prudentiel et de résolution (ACPR) pour la DSP2, la Commission nationale de l’informatique et des libertés (Cnil) pour le GDPR et l’Agence nationale de sécurité des systèmes d’information (Anssi) pour la LPM et la directive NIS. Ces nouvelles contraintes s’ajoutent à d’autres déjà en vigueur comme la norme PCI DSS (Payment Card Industry Data Security Standard) pour la protection des données de carte bancaire, ou à venir comme le Customer Security Programme que Swift a lancé pour aider les banques membres à sécuriser leurs systèmes et l'accès à sa messagerie après l’affaire de la Banque du Bangladesh. Celle-ci s’était fait dérober 81 millions de dollars à la suite d’une intrusion dans ses systèmes. Même si ce programme n’a pas force de loi, Swift laisse à ses clients jusqu’à fin 2018 pour déclarer leur conformité avec les 16 règles en question, sinon les noms des établissements qui n’auront pas réalisé leur self attestation seront transmis aux régulateurs… En France, l’ACPR n’est pas réputée pour sa tolérance, mais la Banque de France, qui accompagne les banques sur les sujets de cybersécurité, cherche surtout à rationaliser les efforts. « Nous souhaitons limiter le foisonnement des cadres sécuritaires contraignants afin que les établissements puissent se concentrer sur leur préparation aux incidents de sécurité », a déclaré Carole Fromont, en charge de la surveillance des infrastructures de marché à la Banque de France.

Effectivement, les banques françaises sont très au fait de leurs obligations et se protègent plutôt bien contre les cyberattaques. Seule BNP Paribas Real Estate a été citée comme établissement financier touché par les récentes attaques de ransomwares. « Les banques sont habituées à faire face à des réglementations qui s’accumulent, résume Michaël Bittan, associé en charge de la cybersécurité chez Deloitte. Les banques OIV ont déjà accompli une grande part du travail de protection sur les périmètres concernés par la LPM. Nous préconisons une analyse globale des différentes exigences réglementaires et une approche par les risques. Cela permet d’identifier les actifs critiques qui doivent être protégés en priorité et d’établir un programme de mesures cohérentes en évitant les projets redondants. »

Autre obligation : pour pouvoir notifier les incidents significatifs à l’Anssi sous 72 heures, il est nécessaire de s’équiper d’un SOC ou security operation center (centre de surveillance interne). La nouvelle obligation de notification des incidents significatifs à l’Anssi devrait permettre « de réduire la contamination en alertant les entreprises, estime Eric Boulay, directeur d’Accenture Securité en France et au Benelux. Pour détecter les attaques, il va falloir aller au-delà de la simple détection des signatures connues, nous devons travailler sur les prochaines menaces, nous mettre à la place des attaquants et utiliser des technologies apprenantes (‘deep learning’) capables de corréler des milliards de données en temps réel et de détecter les nouvelles formes d’attaques en cours. »

Des investissements que les grandes banques ont déjà réalisés en créant des CERT (computer emergency response teams) chargées d’identifier et de réagir aux attaques. « Nous détectons les attaques d’origine mafieuse avant même qu’elles soient lancées, indiquait Marc-Frédéric Gomez, responsable du CERT Crédit Agricole lors d’une conférence sur la cybersécurité organisée par Swift. Mais il faut rester modeste et admettre que les pirates entreront tôt ou tard dans notre système d’information. Notre objectif est de connaître leurs modes d’action pour mieux nous en protéger. » Pour cela, les banques s’entraînent à la gestion de crise, sensibilisent leurs collaborateurs et leurs clients, et partagent leurs informations entre elles. Une forme de solidarité s’est ainsi créée parmi les responsables sécurité des banques, notamment au sein du Forum des compétences. La Société Générale a pris la tête d’un groupe de travail chargé de traduire techniquement les exigences de la LPM et de dialoguer avec l’Anssi. L’entrée en vigueur de la directive NIS arrive comme un complément. « Ce texte étend à l’Europe et à des filiales hors métier bancaire des pratiques que nous avons déjà mises en œuvre en France, ce qui nous permettra de tirer bénéfice de notre expérience de la LPM, explique Thierry Olivier, responsable sécurité des systèmes d’information de la Société Générale. Par exemple, nous avons équipé certains collaborateurs de postes de travail qui créent une étanchéité entre les fonctionnalités d’administration des systèmes et la connexion à internet, afin d’être conformes à la LPM. » Des astuces qui facilitent la vie des informaticiens tout en préservant la sécurité.

Grand ménage

L’enjeu du règlement sur les données personnelles est différent. Les banques protègent déjà ces données, elles vont devoir mettre à la disposition de leurs clients de nouvelles fonctionnalités : droit à l’oubli, portabilité, consentement à l’utilisation des données pour chaque traitement… Dans des systèmes d’information anciens, il n’est pas évident de cartographier ces données. Le GDPR va les amener à faire un grand ménage et à réaliser quelques développements, mais pas sûr que tout le monde soit prêt le 25 mai prochain. Pourtant, ce règlement peut déboucher sur de bonnes idées. « La révolution numérique incite les banques à imaginer de nouvelles synergies porteuses de valeur ajoutée, souligne Philippe Auther, responsable secteur banques chez Kéa Partners. Par exemple, leur capacité à préserver les données de leurs clients devrait les pousser à en faire un service qu’elles pourraient monétiser comme autant de nouveaux ‘business models’ à construire. »

En attendant, les banques travaillent sur la DSP2 porteuse d’un important changement avec l’open banking (accès aux comptes ouvert à des tiers), qui doit s’accompagner de mesures de sécurité renforcées comme la systématisation de l’authentification forte pour les clients. De nombreuses opérations nécessitent déjà une authentification forte, elle devra être déployée plus largement. « Sur ce sujet, nous sommes conformes à 80 %, estime Thierry Olivier, mais la DSP2 aura un impact sur les usages car elle obligera les clients à s’authentifier plus fréquemment, ce qui va à l’encontre d’une expérience utilisateur fluide. » Là encore, la créativité sera bienvenue pour faciliter cette authentification. Sur l’accès aux comptes par des tiers, le choix a été fait d’offrir des API (interfaces de programmation) considérées comme plus sécurisées que le screen scraping pratiqué par beaucoup de fintech. La STET, mandatée par les banques françaises, vient d’ailleurs de publier un standard de place censé garantir un service de qualité. Néanmoins, le débat se poursuit à ce sujet. Quant à la contradiction entre protection des données personnelles (GDPR) et open banking, elle n’est qu’apparente. « Il y a au contraire une vraie convergence de ces deux textes sur le consentement du client, qui devra se traduire dans les processus de connexion des API afin que la banque soit bien assurée que son client a autorisé un tiers à accéder à ses données, note Marie-Benoîte Chesnais, senior principal consultant chez CA Technologies. Finalement, ces réglementations vont pousser tous les acteurs à mettre en place des interfaces ergonomiques et efficaces, pour le bénéfice du client. » Une bonne chose. 

Le Royaume-Uni se met en ordre de marche

Le National Cyber Security Centre (NCSC) chargé de renforcer la résistance du Royaume-Uni aux cyberattaques a été créé en octobre dernier, sept ans après l’Anssi, son homologue français. « La création de ce centre a permis de résoudre l’absence de coordination au Royaume-Uni sur les problèmes de cybersécurité, explique Ian Benson, associé au sein de l’équipe cybersécurité chez PwC à Londres. L’implication du gouvernement a également poussé les institutions financières à mieux partager leurs informations. Mais des progrès restent à faire. » Face à l’afflux des nouvelles réglementations européennes (DSP2, GDPR, directive NIS, etc), les établissements financiers ont dû prendre ces dossiers à bras-le-corps. « Toutes les banques ont désormais un programme destiné à mettre en œuvre le GDPR, explique John Skipper, expert cybersécurité chez PA Consulting Group. La transformation est importante car la législation couvre un ensemble de données beaucoup plus large que celles couvertes auparavant par le UK Data Protection Act, la loi britannique sur les données. » Or pour certains, se mettre en conformité a nécessité un véritable changement de culture interne. « Beaucoup de projets cybersécurité ne prennent pas en compte les programmes liés aux données, estime une responsable cyber d’un gérant américain à Londres. La difficulté est de trouver un équilibre entre la protection des données et le cyber. Le cas par cas reste encore souvent la norme. » Les divergences entre certaines réglementations restent aussi un défi pour les établissements financiers. « Certaines exigences de GDPR et DSP2 sont difficiles à réconcilier, explique Doug Davidson, responsable mondial cloud et responsable technologique cyber security chez Capgemini. Dans un premier temps, il est à craindre que les établissements choisissent de travailler en priorité sur les réglementations impliquant les sanctions et amendes les plus élevées. » De plus, l’absence de communication entre départements internes fait aussi figure de défi : « Nous aidons les banques à mieux faire converger leurs équipes de conformité et de sécurité informatique, explique John Skipper. Mais les progrès ne sont pas encore suffisants. » Sous couvert d’anonymat, le responsable cyber d’une grande banque britannique souligne la difficulté de gérer la confidentialité des données dans le cadre des relations avec des fournisseurs. « D’un côté, les petits fournisseurs ne semblent pas conscients de l’importance du défi conjugué des données et de la cybersécurité, indique-t-il. De l’autre, nos grands fournisseurs, dont les ressources reposent sur le ’cloud’, sont souvent réticents à partager avec nous la façon dont ils transfèrent les données. Il va pourtant falloir qu’ils nous apportent les preuves nécessaires pour convaincre le régulateur. »

Stéphanie Salti, à Londres

Il faut rester modeste et admettre que les pirates entreront tôt ou tard dans notre système d’information. Notre objectif est de connaître leurs modes d’action pour nous en protéger
Marc-Frédéric Gomez, responsable du CERT Crédit Agricole

Sur le même sujet

A lire aussi