Interview d’Olivier Baranek, Global Chief Information Security Officer de Natixis
Pourquoi la cybersécurité représente-t-elle un enjeu majeur pour les banques ?
Dans nos métiers, la relation avec les clients est fondée sur la confiance, sur notre capacité à protéger les informations sensibles que nous possédons sur eux. Pour les particuliers, il s’agit des données liées à leur identité, à leur situation financière et à leurs opérations bancaires. S’agissant des entreprises, le champ est encore plus large : nous devons protéger la confidentialité d’une opération en cours, qu’il s’agisse d’une opération de fusions-acquisitions, de financement ou de tout autre événement affectant leur stratégie de développement.
Qu’est-ce qui rend aujourd’hui ces questions si brûlantes ?
D’une part, la relation se digitalise de plus en plus et augmente par conséquent l’exposition au risque cyber; d’autre part, de nouveaux acteurs financiers font leur apparition et proposent des services d’intermédiation bancaire tels que les agrégateurs de comptes ou les services de paiement fournis aux commerçants. L’externalisation du système d’information bancaires, cloud computing, est également une tendance qui nécessite de repenser notre approche de la sécurité.
Quels risques cette externalisation induit-elle ?
Elle pose un certain nombre de questions, par exemple sur la localisation des données ou la façon dont elles vont être sécurisées. Nous devons nous assurer que nos prestataires respectent un niveau de sécurité suffisant et traitent les informations que nous leur confions de manière adéquate. In fine, nous conservons la responsabilité de la protection de ces données et nous subirons les conséquences d’un incident même s’il intervient chez un tiers.
Comment vous assurez-vous que vos prestataires présentent un niveau de sécurité conforme à vos exigences ?
Avec nos experts, nous procédons à des audits de nos prestataires externes. Nous nous rendons sur place, pour constater comment ils fonctionnent et juger de leur capacité à respecter leurs engagements. La dimension juridique et contractuelle est également très importante, elle permet de formaliser nos engagements respectifs. Nous nous appuyons également sur les programmes de certification pour alimenter nos analyses de risques.
Face au risque cyber, une banque peut-elle agir seule ?
Non, bien sûr, car les banques ne sont pas des acteurs économiques isolés. Elles font partie d’un écosystème et il y a toujours, en cas de défaillance d’une banque, un effet de contagion. Ce risque systémique ne fait que renforcer notre obligation de nous protéger et de protéger nos clients.
Comment le secteur bancaire s’est-il organisé pour face faire à ce risque systémique ?
Les banques ont mis en place des CERT (Computer Emergency Response Team) : ce sont les « pompiers » capables d’intervenir quand un incident se produit. Au sein de ces CERT, les dispositifs de partage d’informations sont essentiels : il y a des échanges quotidiens autour des attaques avérées ou des suspicions d’attaques. Les banques coopèrent également avec les autorités (ANSSI et services de polices spécialisés).
Finalement, peut-on dire que les banques françaises sont plutôt bien protégées contre les risques cyber ?
Plutôt que « bien protégées », je dirai que nous déployons tous les moyens techniques et humains nécessaires pour nous permettre de faire face au risque cyber. Nous devons rester humbles car la technicité et l’ampleur des attaques est en constante augmentation.