Un autre domaine dans lequel les banques continueront de faire l’objet d’un examen minutieux est celui de la gestion et de la protection des données. Avec l’essor des services bancaires en ligne et mobiles, elles se sont vu confier une quantité croissante de données personnelles particulièrement sensibles sur leurs clients et, avec la montée en puissance du télétravail, au plus fort de la pandémie de COVID-19, ces données ont été plus dispersées que jamais. En conséquence, les banques ont dû rapidement étendre leurs infrastructures informatiques avec des combinaisons complexes d’infrastructures cloud, virtuelles et sur site, qui peuvent devenir de plus en plus fragmentées et difficiles à gérer. Une récente étude a révélé que la plupart des banques font actuellement face à ce problème : 63 % d’entre elles souffrent de lacunes de transformation, leurs mesures de sécurité étant en retard sur leurs infrastructures IT complexes. Ce décalage génère alors un manque inédit de visibilité et de contrôle sur leurs données.

Si les établissements bancaires continuent sur cette voie, ils risquent de s’exposer à la triple menace d’être victimes de la cybercriminalité, de devoir régler de lourdes amendes pour non-respect de la réglementation, ainsi que de perdre la confiance de ses clients. Bien malheureusement, les cybercriminels ont déjà profité de cette brèche. En 2020, l’ANSSI a signalé une hausse de 255% du nombre d’attaques par ransomwares.

Un jeu de confiance

Lorsque les clients choisissent une banque, ils lui transmettent de grandes quantités d’informations personnelles très sensibles en s’attendant à ce qu’elles soient traitées avec le plus grand soin et qu’elles soient particulièrement bien protégées. Effectivement, si ces données tombaient entre les mains d’acteurs malveillants, elles peuvent considérablement affecter leur situation financière, parfois même de manière irréversible. En fin de compte, cela se résume en un mot : la confiance. Concept sur lequel le secteur s’appuie fortement pour attirer et fidéliser les clients.

Cependant, le développement d’un secteur d’activité fondé sur la collecte et l’utilisation de données client sensibles est une arme à double tranchant : si les banques peuvent tirer parti d’un vaste référentiel de données client, précieuses pour offrir des services personnalisés et explorer de nouvelles sources de revenus, elles deviennent aussi une cible de choix pour les cybercriminels. En effet, une étude a révélé un triplement des cyberattaques (+238 %) contre les institutions financières dans le monde entre février et avril 2020, ainsi qu’une multiplication par neuf des tentatives d’extorsion de données personnelles. En outre, l’exigence d’une plus grande transparence sur les incidents opérationnels et de sécurité a été formulé par de nombreuses instances internationales tandis que la Banque de France, dans un rapport trimestriel 2021, a révélé que les risques liés aux cyberattaques pesant sur le système financier sont en hausse (même s’ils ne sont pas les plus importants). Dans un passé récent marqué par les cybermenaces et divers incidents internes, la confiance entre les banques et leurs clients est plus que jamais fragilisée. Il suffirait d’un unique nouvel événement pour que tout s’effondre.

Confronter quelques vérités crues

La vérité est que de nombreuses banques ne gèrent pas leurs données aussi bien qu’elles le pourraient. Elles courent alors un risque immense d’échouer aux différents contrôles de conformité.

Compte tenu de la menace croissante des ransomwares, il est aujourd’hui vital de tester et perfectionner ses plans de reprise. Pourtant, une récente étude également révélé que 46 % des banques n’ont jamais testé leurs plans de reprise après sinistre en cas d’attaque par ransomware, ou ne l’ont pas fait depuis plus de 90 jours. Et bien que près de deux tiers (63 %) des banques interrogées admettent avoir été victimes d’une attaque par ransomware à un moment donné de leur histoire, plus d’un établissement sur 10 (11 %) estime qu’il lui faudrait plus d’un mois pour s’en remettre, si tant est qu’il y parvienne.

Ces données prouvent que les banques ne sont pas préparées à ces inévitables attaques par ransomwares et qu’elles pourraient faire beaucoup plus pour protéger leurs actifs numériques les plus précieux. En effet, en 2020, la moitié (29 %) des banques interrogées ont admis avoir payé une rançon pour récupérer les données de leurs clients.

Éliminer le facteur risque

Dans un monde où les banques ont dû accélérer rapidement leur transformation digitale et changer fondamentalement leur mode de fonctionnement au plus fort de la pandémie de la Covid-19, comment peuvent-elles s’assurer que leurs stratégies de protection des données sont à la hauteur ?

La réponse ne peut pas se résumer à une simple rationalisation de l’infrastructure informatique : le volume des données stockées par les banques ne cessant d’augmenter, celles-ci doivent accepter que leur environnement IT sera toujours complexe. Toutefois, il existe des outils qui permettent d’éliminer une grande partie de la complexité. En standardisant les systèmes qui gèrent les données dans l’ensemble de leur organisation, les banques sont alors en capacité d’extraire de la valeur sur l’ensemble de leurs données.

Avant de se lancer dans quelconque action, elles doivent connaître précisément la nature des données dont elles disposent, leur valeur, l’emplacement idéal pour leur stockage, les personnes autorisées à les consulter et leur durée de conservation. Cependant, cette visibilité nouvelle sur leurs données ne doit pas être une simple mesure de défense : en comprenant mieux les données qu’elles détiennent, les banques pourraient identifier des tendances puis les utiliser pour offrir de meilleures expériences aux clients ou développer de nouvelles offres. Sans une vue et une analyse complète de ces données, le potentiel de ces entreprises restera invisible.

Une fois cette visibilité obtenue sur l’ensemble de leurs données critiques, les banques doivent s’assurer que leurs processus de continuité des activités et de reprise après sinistre sont optimisés pour les protéger. En cas d’attaque par un ransomware, une sauvegarde chiffrée est la seule ligne de défense. Mais attention : tout plan de secours mis en place doit impérativement être testé au préalable.

Le test des plans de reprise après sinistre permet de révéler des failles et des vulnérabilités que les entreprises n’auraient jamais découvertes autrement. Les sauvegardes sont-elles suffisamment isolées pour éviter que l’infection ne se propage ? Il y a-t-il suffisamment de copies des données critiques, et ces copies sont-elles conservées assez longtemps ? Seuls les tests et les simulations d’incidents réguliers peuvent répondre à ces questions de manière concluante. Ces tests peuvent être très simples : il suffit par exemple de demander au personnel de s’assurer qu’un site de sauvegarde sera bien activé en cas de défaillance de l’application principale ou qu’il sera possible de récupérer un fichier, tout en vérifiant que la copie restaurée correspond bien à l’original. L’important est que ces tests soient réguliers, reproductibles et prioritaires dans la stratégie de sauvegarde de l’entreprise.

Quoi que les prochains mois nous réservent, les banques devront être prêtes à s’adapter constamment pour suivre le rythme. Elles doivent donc adopter les outils nécessaires pour réduire la complexité de leurs environnements informatiques et mettre en place de solides plans de reprise après sinistre pour protéger leurs actifs numériques. Malgré tous leurs efforts, la plupart des entreprises subiront au moins une cyberattaque au cours de leur existence. Ce qui distingue alors une victime d’une autre, c’est sa capacité à résister, à se relever et à rebondir. La responsabilité des données est le fondement même de la défense de toute organisation contre les ransomwares, tandis que les sauvegardes en sont leurs armes secrètes.