Auteur : RSBP
Date de publication: 27-01-2021

Alors que la cybersécurité et les risques liés à la cybercriminalité sont des priorités croissantes pour les institutions financières (IF) depuis plus de deux décennies, la crise COVID-19 a brusquement "changé la donne", obligeant les IF à changer brusquement de pratiques et à s'adapter à de nouvelles manières de fonctionner et de communiquer.

 

Alors que la cybersécurité et les risques liés à la cybercriminalité sont des priorités croissantes pour les institutions financières (IF) depuis plus de deux décennies, la crise COVID-19 a brusquement "changé la donne", obligeant les IF à changer brusquement de pratiques et à s'adapter à de nouvelles manières de fonctionner et de communiquer.

La plupart des institutions financières ont entrepris depuis quelques années un voyage numérique dans le but d'améliorer leur efficacité et de tirer parti de la technologie pour offrir de meilleurs services financiers aux clients. Cependant, avec la pandémie COVID-19 et les efforts de confinement qui y sont liés, les agendas numériques de nombreuses institutions ont été accélérés ou réorganisés de manière inattendue en période d'urgence. L'abandon des succursales physiques au profit de services plus mobiles et de la communication numérique est devenu une nécessité, et ces changements de stratégie ont déclenché et continueront de déclencher l'exposition aux risques et la mise en œuvre de nouvelles pratiques à différents niveaux des IF.

Cette nouvelle réalité s'installe et a un impact sur tous les individus qui doivent se conformer aux directives de confinement à domicile et de distanciation sociale en pleine pandémie. Les employés ont dû passer à des modalités de travail à distance sans préparation ou formation suffisante pour comprendre et connaître les limites et les changements requis par cette nouvelle façon de travailler. Comme de nouveaux canaux numériques pour les clients sont utilisés pendant l'urgence pour accéder aux services des IF, de nouvelles menaces sont apparues et de nouvelles pratiques doivent être établies. Pour les institutions elles-mêmes, l'initiation de changements au niveau structurel est nécessaire pour garantir que les nouvelles menaces posées par les nouveaux modèles de travail ne se fassent pas au détriment de la sécurité.

1       Travail à domicile et protection des salariés

La pandémie a déclenché une augmentation soudaine et rapide du nombre d'employés travaillant à domicile, ainsi qu'un besoin urgent de fournir des services bancaires numériques aux clients des institutions financières. Si les cybermenaces ne sont pas nouvelles, dans le contexte de la pandémie mondiale, les risques liés à la cybersécurité ont considérablement augmenté. Les principaux défis liés à la cybersécurité sont notamment les suivants :

  1. Exposition à la cybercriminalité pour les employés travaillant à domicile
  2. Déploiement de canaux numériques sécurisés pour la fourniture de services bancaires
  3. Capacité de la FI à détecter et à répondre aux cyber-menaces

Lorsqu'ils travaillent dans un bureau, les employés respectent généralement les politiques de l'entreprise, qui comprennent certains contrôles en matière de cybersécurité, tels que des règles sur la configuration des dispositifs, la protection par pare-feu, les contrôles d'accès au réseau interne, les mises à jour régulières de l'antivirus, etc. Toutefois, en travaillant à domicile, les employés travaillent loin de l'environnement de bureau sécurisé et, par conséquent, ils opèrent souvent à partir de réseaux Wi-Fi moins sécurisés et de dispositifs qui ne sont pas configurés conformément aux contrôles de la politique de l'entreprise. Cela rend les employés plus vulnérables aux cyber-attaques. Les employés travaillant à domicile sont très probablement confrontés à des attaques de phishing et d'ingénierie sociale. Normalement, lorsqu'un employé a besoin d'un accès à distance, une formation appropriée et des dispositifs sécurisés sont fournis. Cependant, avec la demande inattendue et accrue d'accès à distance pour permettre aux employés de travailler à domicile, il est possible que la protection adéquate n'ait pas été appliquée à l'accès à distance.

2       Accès à distance aux logiciels

Les institutions financières doivent considérer tout accès à distance comme un risque moyen à élever et adhérer aux approches suivantes pour un accès à distance sécurisé :

  • L'authentification à plusieurs facteurs pour tous les accès d'utilisateurs à distance, car les mots de passe seuls peuvent être facilement compromis.

  • Il faut mettre en place des politiques strictes en matière de mots de passe. Une politique de mot de passe qui exige un minimum de 6 chiffres, avec une combinaison aléatoire de caractères, de chiffres et de lettres minuscules et majuscules est plus forte.
  • Les réseaux privés virtuels (VPN) d'entreprise devraient être utilisés au lieu de recourir aux protocoles de bureau à distance (RDP) sur Internet. Un accès limité et sécurisé par les VPN peut réduire considérablement la surface d'attaque, le cas échéant.
  • Les ordinateurs privés des employés qui ne sont pas fournis par l'IF doivent être connectés en respectant la politique de l'IF concernant les logiciels antivirus et les solutions anti-espionnage, ainsi que sous réserve de l'application de certains paramètres de sécurité dans les navigateurs web.
  • Les connexions wi-fi domestiques sécurisées doivent utiliser un protocole de sécurité rigoureux (par exemple WPA2) et modifier les noms d’utilisateur et les mots de passe par défaut des équipements de réseau domestique, tels que les routeurs Wi-Fi.

3       Bonnes pratiques pour les réunions virtuelles

Le travail à distance a accru le recours aux applications de vidéo et d'audioconférence, mais ces outils sont de plus en plus pris pour cible par les cybercriminels.  Les institutions financières doivent configurer ces outils pour limiter les accès non autorisés et s'assurer que les employés reçoivent des conseils sur la manière de les utiliser en toute sécurité. Les institutions financières devraient établir des politiques d'entreprise pour la sécurité des réunions virtuelles et apprendre à leur personnel à les suivre, car elles tirent parti de la technologie pour les réunions avec des collègues et des clients.

  • Toutes les réunions doivent nécessiter un code d'accès ou un mot de passe
  • Ne partagez pas vos identifiants de réunion sur les médias sociaux, sauf si la réunion est destinée à être ouverte au public
  • Limiter la réutilisation des codes d'accès pour éviter les écoutes non sollicitées, car les codes peuvent avoir été partagés avec d'anciens employés ou d'anciens clients
  • Pour les sujets sensibles, utilisez des codes PIN uniques ou des identifiants de réunion, et envisagez une authentification à plusieurs facteurs pour participer à la réunion
  • Utiliser une salle d'attente pour les participants qui se connectent avant le début d'une réunion, et n'autoriser que l'hôte à commencer une réunion
  • Utilisez une mélodie lorsque les participants se connectent et demandez aux nouveaux participants de s'identifier
  • Si possible, utiliser un tableau de bord pour suivre les participants et identifier tous les participants génériques
  • N'enregistrez pas la réunion, sauf si cela est nécessaire
  • S'il s'agit d'une réunion sur le web (avec vidéo), rappelez aux participants de ne pas partager d'informations sensibles

4       Mesures de prévention des pertes de données

Les employés peuvent utiliser des comptes et applications personnels non autorisés, tels que des comptes de messagerie électronique, et d'autres applications non autorisées. Les IF doivent rappeler aux employés les points suivants:

  • Évitez d'envoyer des courriers électroniques de comptes de messagerie d'entreprise à des comptes de messagerie privés
  • Utiliser uniquement des dispositifs USB approuvés par l'entreprise sur les ordinateurs utilisés pour le travail
  • Désigner comment et où les informations sensibles doivent être stockées, en utilisant soit des supports externes, soit le serveur de fichiers centralisé de l'institution, soit un service basé sur le cloud
  • Faites régulièrement des copies de sauvegarde quotidiennes de toutes les informations précieuses résidant sur votre appareil. Les sauvegardes de données sont cruciales pour minimiser l'impact en cas de perte, de corruption, d'infection ou de vol de ces données
  • Demandez aux employés de conserver les appareils de travail pour un usage professionnel uniquement et de verrouiller leurs appareils lorsqu'ils s'en éloignent. Une activité innocente sur un ordinateur de travail pourrait entraîner une violation

5      Atteindre les clients par les canaux numériques

Les canaux et les produits numériques sont devenus des canaux essentiels pour que les institutions financières puissent interagir avec leurs clients, s'engager avec eux et leur offrir des services bancaires, alors que l'ensemble du secteur fait face à l'incertitude découlant de la pandémie. Le déploiement de produits et de canaux numériques par les institutions financières a connu un pic, principalement sur les technologies et plateformes suivantes :

  • Applications mobiles
  • Chatbots
  • Banque par internet

Ces chaînes sont ouvertes et accessibles au public, ce qui permet à chacun de les télécharger. Une fois inscrit à un service, un utilisateur peut immédiatement utiliser le service pour des interactions ou des transactions. Ces canaux bancaires numériques offrent commodité et contrôle au client, mais, en même temps, les institutions financières doivent se prémunir contre les vulnérabilités de ces systèmes destinés au public qui pourraient être utilisées pour orchestrer une cyber-attaque.

L'urgence du déploiement d'une application mobile ne doit pas être un compromis pour la sécurité des équipements. Chacun des canaux numériques susmentionnés présente des caractéristiques propres, décrites ci-dessous, et nécessite des considérations de sécurité spécifiques.

Applications mobiles

Les applications bancaires mobiles sont un canal numérique de prédilection pour beaucoup en raison de la prolifération des appareils mobiles. Les applications mobiles permettent aux clients d'effectuer la plupart des activités bancaires sans avoir à se rendre dans une agence, notamment pour vérifier le solde des comptes, transférer des fonds, payer des factures, consulter des relevés, gérer directement les cartes et contacter le service clientèle. Au fil des ans et avant la mise en place de la COVID-19, le nombre d'utilisateurs qui effectuent des transactions sur des applications mobiles a augmenté à un rythme phénoménal, dépassant le nombre de ceux qui effectuent des transactions dans les succursales de nombreux pays. Avec la pandémie COVID-19, les applications mobiles ont connu une nouvelle hausse de leur utilisation.

L'augmentation de la popularité s'accompagne d'une augmentation du risque cybernétique. Il existe trois domaines dans la chaîne des technologies mobiles où les attaquants peuvent exploiter les vulnérabilités pour lancer une attaque malveillante, à savoir : l'appareil, le réseau et le centre de données. Les attaques basées sur l'appareil visent l'appareil mobile lui-même, en exploitant une vulnérabilité de l'appareil pour orchestrer une cyber-attaque. Par exemple, une attaque peut être lancée par le biais du phishing ou d'une attaque par téléchargement, où la visite d'un site web déclenche le téléchargement d'un code malveillant à l'insu de l'utilisateur. Les attaques basées sur le réseau, en revanche, exploitent les vulnérabilités du réseau par lequel l'appareil mobile est connecté. Par exemple, les applications sur l'appareil mobile sans cryptage pour l'échange de données, lorsqu'elles sont utilisées sur un réseau Wi-Fi non sécurisé, risquent d'être interceptées par un attaquant qui écoute aux portes du réseau Wi-Fi. Les attaques de centres de données visent les serveurs web et les bases de données, l'attaquant exploitant les vulnérabilités des systèmes d'exploitation ou des modules d'application fonctionnant sur le serveur web.

Chatbots

Les chatbots existent depuis un certain temps mais sont encore nouveaux pour de nombreux utilisateurs. Pour les IF, les chatbots sont une technologie très utile pour interagir quotidiennement avec les clients, avec la possibilité de s'intégrer à la technologie alimentée par l'IA pour les interactions avec les clients. La manière dont cette technologie est utilisée dans le secteur financier doit être conforme à la réglementation du secteur, en protégeant les informations des clients contre les tiers.

Les institutions financières déploient désormais des chatbots sur des canaux de médias sociaux tels que WhatsApp, Telegram, Viber et Facebook Messenger, avec une gamme de services bancaires tels que la vérification du solde des comptes, les transferts de fonds, la consultation de mini relevés, l'accueil des clients et le paiement des factures.

Banque par internet

La banque sur Internet existe et évolue depuis des décennies. Les services bancaires sur Internet offrent aux clients un moyen facile de surveiller leurs finances, leur permettant de consulter les paiements, de vérifier le solde de leurs comptes, de mettre à jour leurs informations personnelles et d'accéder à d'autres services bancaires en ligne via un site web sécurisé. Cette facilité d'accès fait des services bancaires en ligne une cible courante pour les pirates informatiques et autres cybercriminels. La compréhension des questions de sécurité liées aux services bancaires en ligne peut aider les institutions financières et les clients à se protéger des intrus. Pour remédier aux vulnérabilités des services bancaires en ligne, il est essentiel de respecter les lignes directrices relatives aux canaux numériques, qui figurent dans le tableau ci-dessous.

6       Adapter l'organisation aux nouveaux défis

À l'ère de l'utilisation accrue des canaux numériques et de la transformation technologique, ainsi que de l'utilisation accrue des nuages et des capacités de mise en réseau plus larges, le paysage des menaces continue de s'étendre et les acteurs de la menace tenteront d'attaquer simultanément les systèmes opérationnels et les capacités de sauvegarde de manière très sophistiquée, ce qui pourrait conduire à des cyber-attaques destructrices à l'échelle de l'entreprise.

Les IF peuvent améliorer leurs mécanismes de défense et leur préparation aux attaques en maintenant une bonne cyberhygiène, en mettant en place et en maintenant une stratégie de réponse aux incidents, une architecture de réponse et en mettant en œuvre des solutions de cyber-récupération pour atténuer l'impact des cyber-attaques.

Une bonne cyberhygiène est une référence aux pratiques et aux mesures que les institutions financières et leurs employés prennent pour maintenir la santé du système et améliorer la sécurité en ligne. La mise en œuvre régulière de quelques pratiques clés peut améliorer considérablement la sécurité de tout système :

  • Fournir aux employés des messages réguliers de communication et de sensibilisation, y compris des connaissances de base en matière de sécurité :
    • Méfiez-vous du phishing, en particulier des escroqueries COVID-19 et des sites web frauduleux COVID-19
    • Savoir travailler à domicile "DOs & DON'Ts" (en anglais)
    • S'assurer que le Wi-Fi à domicile est sécurisé
    • Utilisez toujours le VPN sur le réseau Wi-Fi public
    • Créer un canal partagé appelé #phishing-attacks ou une adresse électronique vers laquelle les courriels suspects sont transférés
    • Identifier les travailleurs financiers essentiels afin de garantir une disponibilité ininterrompue des services pour les clients
    • Réviser les plans d'urgence pour faire face à la pandémie de COVID-19
    • Mettre à jour la politique d'utilisation acceptable de votre entreprise afin de prendre en compte le travail à domicile et l'utilisation des ordinateurs domestiques
    • Identifier les fonctions qui ne peuvent être entreprises que dans un environnement sécurisé au bureau (c'est-à-dire pas à distance)
    • Revoir et adapter les plans de reprise après sinistre au contexte actuel
    • Fournir une technologie de protection sur les points terminaux (durcissement, anti-virus, détection et réponse aux points terminaux, etc.)
    • Faire appliquer les mises à jour de logiciels
    • Utiliser un gestionnaire de mots de passe ou effectuer des audits de mots de passe
    • Fournir un accès VPN et désactiver le tunnelage fractionné
    • Permettre une authentification multifactorielle partout, notamment sur les comptes de messagerie électronique

7       Mesures pratiques pour un environnement sûr

La principale solution pour réduire les menaces consiste à s'assurer que les employés et, si possible, les clients sont bien sensibilisés. Plusieurs outils peuvent être utilisés à cette fin :

Séminaires de sensibilisation, où le sujet est abordé entre employés ou clients, y compris le partage de l'expérience de ceux qui ont été victimes d'une attaque. Ces séminaires doivent viser à rafraîchir les connaissances des employés sur les exigences minimales en matière de sécurité de l'information :

Sécurité du courrier électronique, pour que le personnel sache comment assurer la sécurité de ses courriers.

  • Évitez d'ouvrir les courriels, de télécharger des pièces jointes ou de cliquer sur des liens suspects envoyés par des sources inconnues ou non fiables
  • Vérifiez les pièces jointes ou les liens inattendus de personnes que vous connaissez en les contactant par un autre moyen de communication comme un appel téléphonique ou un SMS
  • Ne pas fournir d'informations personnelles à des sources inconnues comme des mots de passe, des dates de naissance et surtout des numéros de sécurité sociale
  • Soyez particulièrement attentif aux courriels dont la conception, la grammaire ou l'orthographe sont médiocres, car cela peut être le signe d'une tentative d'hameçonnage

Protection par mot de passe

  • imposer l'utilisation de mots de passe forts sur tous les comptes d'utilisateurs d'entreprise
  • Évitez les mots faciles à deviner comme les noms d'animaux domestiques, d'enfants et de conjoints, ainsi que les dates communes comme les anniversaires

Sécurité sur le web

  • Assurez-vous que tous les sites web qui exigent l'insertion d'identifiants de compte comme des noms d'utilisateur et des mots de passe, ainsi que ceux utilisés pour effectuer des transactions financières, sont cryptés avec un certificat numérique valide pour garantir la sécurité de vos données. Les sites web sécurisés de ce type sont généralement dotés d'un cadenas vert situé dans le champ de l'URL et commençant par "https".
  • Lorsque les employés des IF travaillent à distance, assurez-vous qu'ils n'utilisent pas d'ordinateurs publics et/ou de connexions Wi-Fi publiques pour se connecter à des comptes et accéder à des informations sensibles
  • Fermer les comptes et éteindre les ordinateurs et les appareils mobiles lorsqu'ils ne sont pas utilisés

Maintenance des appareils

  • Maintenir tous les matériels et logiciels à jour avec la dernière version corrigée
  • Exécuter des applications antivirus ou anti-malware approuvées par l'entreprise sur tous les appareils et les maintenir à jour avec la dernière version
  • Créez quotidiennement des sauvegardes multiples et redondantes de toutes les données critiques et sensibles et conservez-les hors du réseau en cas d'infection par un logiciel de rançon ou d'autre incident de logiciel malveillant destructeur. Cela vous permettra de récupérer les fichiers perdus, si nécessaire

Les simulations de phishing, qui consistent à envoyer des e-mails de phishing qui redirigent les destinataires vers une page expliquant le problème et les conséquences possibles s'il s'agissait d'une véritable attaque

Formation technologique, à utiliser lors de la mise en œuvre de nouvelles technologies pour s'assurer que les procédures sont bien comprises et que les limites et les dangers de l'utilisation des nouvelles technologies sont clairs pour les utilisateurs

Accès et diffusion de l'information. La centralisation en un seul endroit de tous les supports de communication que l'IF va utiliser pour la gestion des crises est un excellent moyen de s'assurer que les bonnes informations parviennent aux bons employés au bon moment. Les plateformes de communication des employés (intranets), ainsi que les courriels quotidiens réguliers, peuvent être utilisés pour la communication opportune de toutes les informations nécessaires.

8        Conclusion

COVID-19, un catalyseur pour la transformation numérique

La crise COVID-19 a entraîné un changement significatif dans la perception et l'application du télétravail et des canaux alternatifs dans un court laps de temps. Les répercussions de ces changements se feront sentir sur les institutions financières pendant des années et influenceront la forme d'un monde différent : un monde sans faille dans lequel tous les canaux sont utilisés par tous les types de clients à des fins différentes, un monde dans lequel les services financiers offerts sont les mêmes que vous utilisiez votre téléphone portable ou que vous vous rendiez dans une agence. Si la crise COVID-19 n'a pas créé ces technologies ou approches, elle a été un catalyseur et un accélérateur, créant à la fois l'opportunité et la nécessité pour les institutions financières d'établir aujourd'hui les pratiques et procédures numériques qui seront nécessaires demain.