Les interactions clients se sont largement déplacées en ligne plutôt qu’en agence, ouvrant la voie à de nouveaux risques par l’utilisation de messageries instantanées non sécurisées.
Comme dans d’autres secteurs, les lignes bougent dans le secteur bancaire. Les systèmes d’information s’ouvrent de façon croissante à une multitude d’acteurs avec des usages très variés. Les collaborateurs sont maintenant plus ou moins régulièrement hors des murs de l’entreprise.
Les clients se déplacent de moins en moins dans les agences des banques et assurances, préférant réaliser leurs tâches en lignes.
Dans ce contexte, les frontières du secteur bancaire évoluent, si bien que « le modèle de sécurité historique de ces dernières années doit être revu pour prendre en compte ces nouveaux éléments », insiste le Forum des Compétences qui regroupe des experts en sécurité des systèmes d'information (SSI) et en continuité d'activité (CA) de la Place financière.
« La multiplication des parcours clients adossés au numérique expose davantage les clients au phishing. Une fois les victimes infectées, un malware récolte leurs données personnelles ou bancaires. Ces dernières pourront être exploitées à des fins de revente ou de fraude financière », rappellent les auteurs du rapport du Forum des compétences.
Augmentation de 500 % des attaques sur mobile
Une étude de Proofpoint a constaté que les attaques sur smartphone ont augmenté de 500 % en 2021. Une autre étude de Jamf note qu’un utilisateur de téléphone portable sur 10 est victime d’une attaque de phishing !
Cette explosion confirme que les cybercriminels exploitent cette évolution des comportements pour voler des données sensibles. Un plus grand volume d’échange de données sensibles (par exemple les justificatifs envoyés en pièces jointes pour une demande d’emprunt ou d’assurance vie), ou encore le recours aux applications mobiles bancaires augmentent la surface d’attaque des particuliers.
Mais un document intégrant un code malveillant pourrait aussi infecter le terminal d'un conseiller, puis s’étendre dans le SI de l’établissement. Pour répondre à l’ensemble de ces enjeux et menaces, de nouveaux concepts sont apparus dont celui de « Zero-Trust ».
La gestion des identités et des accès (GIA) est la brique sécuritaire cruciale parmi les piliers du ZeroTrust. Pour simplifier, tout accès à une ressource doit être sécurisé, contrôlé dynamiquement, surveillé et supervisé en temps réel.
« L’ensemble du secteur financier doit désormais réfléchir encore plus sérieusement à la réponse qu’il peut apporter aux menaces cyber, transformer la façon de considérer la relation client, le rapport aux institutions et le niveau de confiance accordé aux systèmes d’information », explique Loïc Guézo, Directeur, Stratégie Cybersécurité chez Proofpoint.