Accueil
Envoyer
Imprimer
Partager
La Banque de France a récemment pointé un risque «très élevé» de cyberattaques visant notamment les banques. Comment expliquez-vous cette menace ?
Les organismes financiers sont une cible attrayante pour les cybercriminels en raison du volume considérable de données clients et financières qu’ils traitent, mais aussi de la perspective d’accéder à un gain financier important si leur piratage est réussi. Ce niveau de cyber-risque s’est élevé au fil du temps avec l’accélération de la digitalisation du secteur durant la pandémie mondiale, et plus récemment avec la guerre en Ukraine.
Quel est le rôle de la cybersécurité dans cet environnement réglementé ?
Les institutions financières sont confrontées à un niveau réglementaire plus important que dans la plupart des autres secteurs. Il existe de nombreuses exigences de conformité, ainsi que des lois et réglementations essentielles, comme la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) ou encore la nouvelle Directive des Services de Paiements (DSP2), qui toutes deux requièrent des contrôles d'accès robustes. Dans un paysage environnemental et réglementaire aussi complexe, les organismes doivent impérativement définir une stratégie de cybersécurité solide, qui leur permette d’anticiper les cyberattaques, et ainsi considérer l’authentification forte, une exigence aujourd’hui essentielle, tant du point de vue de la sécurité que de la conformité.
Comment expliquez-vous les cyberattaques réussies dans ce secteur très réglementé ?
Le secteur des services financiers en France utilise depuis longtemps l’authentification par carte à puce mails il a également recours à l'authentification mobile, qui repose notamment sur les SMS ou le mot de passe à usage unique (OTP). Ce deuxième facteur constitue une bonne première étape dans la démarche d’une sécurité renforcée, mais il trouve rapidement ses limites. Cette forme d'authentification est similaire à l'authentification par nom d'utilisateur et mot de passe, et est donc vulnérable. Les mots de passe sont facilement piratés et l'authentification à double facteur sous forme de questions de sécurité, de codes SMS, d'OTP et de notifications push sont susceptibles de faire l'objet de cyberattaques. La bonne nouvelle est que les banques en France sont en train de faire évoluer ces méthodes vers des protocoles modernes et des solutions telles que la YubiKey, afin d’adresser le besoin en mobilité et en nomadisme, notamment, mais aussi pour interagir avec les protocoles FIDO, bien plus sécurisés.
Pour être qualifiée de forte, l’authentification doit reposer sur différentes étapes de vérification de l’identité et non sur des secrets partagés uniquement. Les normes d'authentification actuelles ne sont donc pas toujours efficaces. Les exigences et la réglementation pousseront la nécessité d'une authentification forte basée sur le matériel, impossible à pirater à distance, mais attendre cette réglementation est coûteux, pour la conformité, le risque mais aussi pour la croissance de ces entreprises.
L’authentification forte peut-elle représenter un avantage concurrentiel ?
Absolument. La confiance est la pierre angulaire du succès dans les services financiers, comme dans de nombreux domaines aujourd’hui. Avec l'érosion actuelle de la confiance et la crainte croissante de la fraude, les organismes sont obligés de se pencher sur de nouvelles façons de fidéliser les clients et en conquérir de nouveaux. Bien avant que la réglementation ne les rattrape, l'authentification forte moderne peut devenir un facteur de différenciation concurrentiel, car elle permet une plus grande sécurité des données personnelles et critiques. Et les clients y sont très sensibles, avec une pleine conscience aujourd’hui des cybermenaces.
Comment accompagnez-vous les organismes financiers dans cette quête de sécurité et de conformité ?
Notre clé de sécurité matérielle, la YubiKey, offre une authentification multifacteur et sans mot de passe, facile à utiliser à grande échelle, et aide les institutions financières à assurer un haut niveau de sécurité. Elle répond également aux enjeux liés à la réglementation en étant conforme aux normes FIDO2, FIDO U2F, WebAuthn et PIV. Nous avons également reçu la certification CSPN en 2021 et plus récemment le Visa de sécurité ANSSI. Très concrètement, la YubiKey permet donc aux organismes financiers de se conformer et de lutter contre les cybermenaces. Elle peut être utilisée dans de nombreux cas, à la fois en interne et pour les clients, et empêche les prises de contrôle de comptes ainsi les cyberattaques grâce à une sécurité cryptographique matérielle supérieure.
Pour conclure, quel conseil donneriez-vous aux organismes financiers ?
Outre les solutions de sécurité pour protéger ses ressources et ses données, ainsi que dans un souci de conformité, il est important de former et de sensibiliser le personnel. Expliquer concrètement les cyberattaques susceptibles de se produire et les bonnes pratiques à adopter pour les détecter et s’en protéger est crucial. Et il y a encore du chemin à parcourir de ce point de vue-là. Nous avons récemment réalisé une étude sur l’état mondial de l’authentification des entreprises en 2022, qui a révélé que 59 % des employés recourent encore à leur nom d’utilisateur et leur mot de passe comme méthode principale d’authentification pour accéder à leurs différents comptes, et que 54 % d’entre eux reconnaissent avoir écrit ou partagé un mot de passe. Nous assistons globalement à des prises de conscience, mais il faut aller plus loin et prendre des mesures concrètes rapidement, car les menaces sont réelles, et les cybercriminels à l’affût de la moindre faille.
Les organismes financiers sont une cible attrayante pour les cybercriminels en raison du volume considérable de données clients et financières qu’ils traitent, mais aussi de la perspective d’accéder à un gain financier important si leur piratage est réussi. Ce niveau de cyber-risque s’est élevé au fil du temps avec l’accélération de la digitalisation du secteur durant la pandémie mondiale, et plus récemment avec la guerre en Ukraine.
Quel est le rôle de la cybersécurité dans cet environnement réglementé ?
Les institutions financières sont confrontées à un niveau réglementaire plus important que dans la plupart des autres secteurs. Il existe de nombreuses exigences de conformité, ainsi que des lois et réglementations essentielles, comme la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) ou encore la nouvelle Directive des Services de Paiements (DSP2), qui toutes deux requièrent des contrôles d'accès robustes. Dans un paysage environnemental et réglementaire aussi complexe, les organismes doivent impérativement définir une stratégie de cybersécurité solide, qui leur permette d’anticiper les cyberattaques, et ainsi considérer l’authentification forte, une exigence aujourd’hui essentielle, tant du point de vue de la sécurité que de la conformité.
Comment expliquez-vous les cyberattaques réussies dans ce secteur très réglementé ?
Le secteur des services financiers en France utilise depuis longtemps l’authentification par carte à puce mails il a également recours à l'authentification mobile, qui repose notamment sur les SMS ou le mot de passe à usage unique (OTP). Ce deuxième facteur constitue une bonne première étape dans la démarche d’une sécurité renforcée, mais il trouve rapidement ses limites. Cette forme d'authentification est similaire à l'authentification par nom d'utilisateur et mot de passe, et est donc vulnérable. Les mots de passe sont facilement piratés et l'authentification à double facteur sous forme de questions de sécurité, de codes SMS, d'OTP et de notifications push sont susceptibles de faire l'objet de cyberattaques. La bonne nouvelle est que les banques en France sont en train de faire évoluer ces méthodes vers des protocoles modernes et des solutions telles que la YubiKey, afin d’adresser le besoin en mobilité et en nomadisme, notamment, mais aussi pour interagir avec les protocoles FIDO, bien plus sécurisés.
Pour être qualifiée de forte, l’authentification doit reposer sur différentes étapes de vérification de l’identité et non sur des secrets partagés uniquement. Les normes d'authentification actuelles ne sont donc pas toujours efficaces. Les exigences et la réglementation pousseront la nécessité d'une authentification forte basée sur le matériel, impossible à pirater à distance, mais attendre cette réglementation est coûteux, pour la conformité, le risque mais aussi pour la croissance de ces entreprises.
L’authentification forte peut-elle représenter un avantage concurrentiel ?
Absolument. La confiance est la pierre angulaire du succès dans les services financiers, comme dans de nombreux domaines aujourd’hui. Avec l'érosion actuelle de la confiance et la crainte croissante de la fraude, les organismes sont obligés de se pencher sur de nouvelles façons de fidéliser les clients et en conquérir de nouveaux. Bien avant que la réglementation ne les rattrape, l'authentification forte moderne peut devenir un facteur de différenciation concurrentiel, car elle permet une plus grande sécurité des données personnelles et critiques. Et les clients y sont très sensibles, avec une pleine conscience aujourd’hui des cybermenaces.
Comment accompagnez-vous les organismes financiers dans cette quête de sécurité et de conformité ?
Notre clé de sécurité matérielle, la YubiKey, offre une authentification multifacteur et sans mot de passe, facile à utiliser à grande échelle, et aide les institutions financières à assurer un haut niveau de sécurité. Elle répond également aux enjeux liés à la réglementation en étant conforme aux normes FIDO2, FIDO U2F, WebAuthn et PIV. Nous avons également reçu la certification CSPN en 2021 et plus récemment le Visa de sécurité ANSSI. Très concrètement, la YubiKey permet donc aux organismes financiers de se conformer et de lutter contre les cybermenaces. Elle peut être utilisée dans de nombreux cas, à la fois en interne et pour les clients, et empêche les prises de contrôle de comptes ainsi les cyberattaques grâce à une sécurité cryptographique matérielle supérieure.
Pour conclure, quel conseil donneriez-vous aux organismes financiers ?
Outre les solutions de sécurité pour protéger ses ressources et ses données, ainsi que dans un souci de conformité, il est important de former et de sensibiliser le personnel. Expliquer concrètement les cyberattaques susceptibles de se produire et les bonnes pratiques à adopter pour les détecter et s’en protéger est crucial. Et il y a encore du chemin à parcourir de ce point de vue-là. Nous avons récemment réalisé une étude sur l’état mondial de l’authentification des entreprises en 2022, qui a révélé que 59 % des employés recourent encore à leur nom d’utilisateur et leur mot de passe comme méthode principale d’authentification pour accéder à leurs différents comptes, et que 54 % d’entre eux reconnaissent avoir écrit ou partagé un mot de passe. Nous assistons globalement à des prises de conscience, mais il faut aller plus loin et prendre des mesures concrètes rapidement, car les menaces sont réelles, et les cybercriminels à l’affût de la moindre faille.
Autres articles
-
Louis Vuitton dévoile un nouveau Collectible exclusif pour sa Communauté VIA
-
Nomination | Paymium confie sa stratégie à Alexandre Stachtchenko
-
"La dernière fraction de Bitcoin devrait être émise aux alentours de 2140", Claire Balva, VP Stratégie Deblock
-
Payflows, en série A avec un tour de table à 25 millions d'euros mené par Balderton Capital
-
Finastra intègre le service TradeSun pour proposer une évaluation ESG alimentée par l'IA
