Banques et «fintech» s’arment contre les pirates

Se protéger contre des hackers de plus en plus performants constitue une préoccupation majeure pour les banques et start-up financières, dites «fintech», au moment où émergent de nouvelles législations de contrôle des flux de données bancaires.

Les exigences de plus en plus grandes des clients d’accéder à leurs comptes partout et sur tous les supports (téléphones, ordinateurs, etc.), et l’arrivée de fintech pour répondre à ces nouveaux besoins ont conduit à une exposition accrue des données bancaires, objets de convoitise des pirates.

«On voit des attaques qui sont, d’une part, de plus en plus nombreuses, et d’autre part, de plus en plus sophistiquées. Les (pirates) en face s’industrialisent et les mécanismes de défense qu’on utilise, ils les utilisent aussi, et contre nous», annonce d’emblée Thierry Olivier, responsable de la sécurité des systèmes d’information de la Société Générale.

Segmenter le trajet des données

Pour coordonner banques et fintech face à cette explosion de données, les législations apparaissent progressivement. Les acteurs du secteur mettent actuellement en oeuvre une directive, la DSP2, entrée en vigueur en janvier. Cette loi européenne prévoit la mise en place d’interfaces – dites API – entre les banques et les fintech d’ici à septembre 2019 pour accroître la sécurisation des données.

«L’API est non seulement standardisé, mais il est aussi sécurisé et, en quelque sorte, c’est un corridor dans lequel il y aura une requête formulée par un agrégateur de comptes, et sur la base de cette requête, les informations seront poussées par la banque», indique Jérôme Raguénès, directeur du département numérique, systèmes et moyens de paiement de la Fédération bancaire française.

Plutôt qu’aux API bancaires, les pirates tenteront peut-être de s’attaquer directement aux fintech pour «manipuler à la source et essayer de communiquer à travers l’API», explique David Grout, spécialisé dans la lutte contre les cyberattaques au sein de la société de sécurité informatique FireEye.

Du côté des fintech, dont certaines sont méfiantes face à la mainmise qu’exerceront les banques sur les API, on minimise cette vulnérabilité.

Les identifiants des clients constituent les seules portes d’entrée pour les hackeurs, selon Bruno Van Haetsdaele, PDG de l’agrégateur de comptes Linxo. Mais ils «sont stockés dans des serveurs sécurisés avec plusieurs niveaux de chiffrement et avec une architecture (…) qui nous permet de garantir que personne dans l’entreprise ne peut avoir accès à ces informations», explique-t-il.

Des banques plutôt cyber-matures

Chiffrements de données qui les rendent inutilisables en cas de vol, vérification automatique des pièces jointes des mails… les banques sont loin d’être désarmées face aux pirates.

La Société Générale dispose d’un centre de sécurité opérationnel «qui regarde toutes les alertes passer, fonctionne 24h sur 24, 7 jours sur 7, avec un périmètre mondial, et qui voit toutes les opérations internes déviantes», souligne M. Olivier.

La banque possède aussi une division qui observe toutes les opérations externes pour, par exemple, détecter la publication sur internet de données bancaires volées à un client.

Préserver la confiance

Banques comme fintech veulent à tout prix préserver la confiance que leur accordent leurs clients. «On sait très bien que le métier des banques est un métier de confiance et on ne peut pas se rater là-dessus», souligne Cyril Chiche, PDG de Lydia, fintech spécialisée dans les services de paiement.

Le secteur bancaire est même «probablement le plus en avance en termes de prise de conscience et de politiques de sécurité», argumente Christophe Auberger, directeur technique France de Fortinet, autre entreprise spécialisée en cybersécurité.

Mais les banques savent que les chances d’une attaque réussie sont de plus en plus grandes. «Dès qu’une mesure de sécurité se met en place, il y a toujours quelqu’un pour venir essayer de la contourner», rappelle Julien Arsac, manager chez Investance Partners, cabinet de conseil financier notamment spécialisé dans la sécurité informatique. (ats/nxp)

monchange.ch