Data et sécurité, quels enjeux pour les banques ?

Le système bancaire se transforme, ce n’est pas nouveau mais cela s’est accéléré avec l’apparition de technologies toujours plus poussées et notamment avec l’arrivée de l’IA générative. Les produits et les processus évoluent très rapidement, de nouveaux acteurs avec lesquels les banques doivent collaborer intègrent le marché. C’est tout un nouvel écosystème auquel il est nécessaire de s’adapter, en intégrant les données issues de divers systèmes d’information ce qui requiert naturellement la mise en place de mesures de protection et de sécurité des données renforcées.

ERI a pris part à la table ronde « Data et Sécurité » qui a eu lieu lors de l’évènement Banques 2030 du 27 mars organisé par l’AGEFI. Celle-ci a permis de faire un point sur les questions relatives à la situation actuelle des banques et des prestaires en matière de traitement et de gestion des données, de l’incidence de l’Open Banking ainsi que des prochains défis à relever par l’ensemble des acteurs de la chaine de valeur en termes de sécurité et pour conclure par l’avis de chacun quant aux plus mais aussi aux freins portés par la règlementation.

Voici un résumé des échanges auxquels Dominique D’Arrentières, représentant ERI, a participé :

Qu’est-ce qui a changé dans la gestion et le traitement des données ces dernières années au sein des banques ?

Pour ERI Bancaire, la digitalisation est la grande responsable des changements majeurs qui ont eu lieu ces dernières années en matière de gestion et de traitement des données. Une information disponible H24 7J/7 sur différents canaux de distribution est certes un argument commercial de taille mais qui complexifie les choses, notamment en matière de sécurité.

Cause ou conséquence de ces changements, de nouvelles réglementations ont émergé lesquelles peuvent parfois avoir des approches contradictoires. C’est le cas par exemple des contrôles en matière de KYC qui impliquent la récupération de données détaillées sur les individus quand la réglementation RGPD, elle, oblige à limiter et protéger les données personnelles de ces mêmes individus.

Ont également été évoqué, l’explosion du volume des données, l’ouverture des architectures qui a impliqué une nécessaire cartographie et classification des données, ou encore l’utilisation des données pour d’autres usages que les seules transactions traitées.

Comment les systèmes bancaires se sont-ils adaptés à l’Open Banking en termes de sécurisation des données ?

Classer, adapter les niveaux de sécurité au type de données collectées, différencier les données structurées de celles qui ne le sont pas sont les maîtres mots.

Si le chiffrement, le hachage, le silotage versus le partage, ou encore le paramétrage fin des droits d’accès à des applications constituent des réponses en termes de sécurisation des données, ils ne couvrent pas tous les cas de figures, notamment l’erreur ou l’imprudence humaine.  Ainsi l’extraction de données en local ou l’utilisation d’espaces de stockage partagés pour stocker des fichiers sont entre autres pointés du doigt.

La donnée en tant qu’actif de valeur, implique donc de mener des actions de conscientisation auprès de tous les acteurs de la chaîne de traitement.

La prise en compte de la sécurité au sein des banques représentant un coût conséquent, les plus petites banques se tournent de plus en plus vers la sous-traitance de leur Système d’Information. Pour ERI, la sécurité fait partie intégrante de ses contrats. Le Plan Assurance Sécurité est discuté conjointement avec le client pour y intégrer ses spécificités mais aussi la méthodologie à suivre par chacune des parties en cas de crise. Des tests et audits périodiques sont effectués pour s’assurer de la validité du plan et de son possible ajustement au regard des failles et évolutions identifiées.

Quel que soit le mode d’implémentation, On-Premise ou SaaS, la sécurité reste de la responsabilité de la banque. Les mécanismes et outils répondant à ces problématiques doivent donc être pleinement considérés lors du choix d’un fournisseur. Un pilotage extrêmement précis et structuré des prestataires est quoi qu’il en soit nécessaire. 

Quelles sont les options d’organisation et de gouvernance de la donnée ?

Les organisations centralisées sont, sur le papier du moins, moins risquées mais plus fortement impactées en cas d’attaques. Elles permettent en outre le partage de moyens favorisant les économies d’échelles. La centralisation facilite la mise en place des process, permet une plus grande efficacité et réactivité en termes d’alertes et offre en outre un creuset d’experts pouvant répondre aux diverses exigences sécuritaires. Décentraliser complexifie en outre les process notamment en termes de mise à jour de programmes ou encore de nécessaires échanges de données intersites lesquels doivent alors reposer sur des objectifs précis et révocables à tout moment.

La décentralisation a toutefois la vertu de responsabiliser et d’impliquer les organisations dans les process IT dont les aspects sécurité font partie. Elle permet en outre de diluer la dépendance d’un groupe vis-à-vis d’un unique fournisseur.

Si les petites et moyennes banques se retrouvent plutôt dans un schéma centralisé, les grands groupes semblent, quant à eux, s’être orientés plutôt vers des organisations mixtes, jonglant entre centralisation, silotage et partage de compétences et de données.

Centralisée ou non, il apparait que c’est l’utilisateur qui constitue le facteur de risque numéro 1.

La grosse révolution d’y il a quelques années c’était le cloud et les solutions en modes SaaS qui sont venues remplacer peu à peu les installations On-Premise. Qu’est-ce que cela change notamment en termes de sécurité ?

Contrairement à l’approche en infogérance dans laquelle l’infrastructure IT était dédiée au client, l’approche cloud vise quant à elle la mutualisation de moyens. La banque devient tributaire des failles de sécurité du fournisseur.

La dépendance vis-à-vis d’un fournisseur en position hégémonique pose problème. Il apparaît important pour les organisations de pouvoir basculer dans des délais raisonnables vers un autre prestataire.

En cas d’attaque le principe de précaution prévaut toujours. Couper tous les circuits est alors un impératif. Il convient avant toute chose de protéger les données des clients. Cela passe par une identification fine des données détenues par le fournisseur et une analyse des réponses pouvant être apportées à tout type de risques.

La facilité offerte par le SaaS est aussi un facteur de risque. Ce que l’on gagne sur un terrain, on peut le perdre d’un autre côté.

Les clients d’ERI ont le choix du type de Cloud qu’ils souhaitent activer (privé, public ou mixte). Ils peuvent opter pour un niveau de mutualisation des composants IT. Les bases de données sont quant à elles des éléments propres à chacun.

ERI s’engage vis-à-vis de ses clients en mode SaaS sur :

• des niveaux de services au travers de SLA (Service Level Agreement), PAQ (Plan assurance Qualité) et PAS (Plan assurance Sécurité)
• de la réversibilité avec l’assurance d’offrir aux clients qui le souhaitent des services d’accompagnement dans leur démarche de migration vers une autre solution
• la mise à disposition des informations demandées dans le cadre d’audits à des fins de contrôles qualité et de contrôles sécurité du système en place
• la réalisation une fois par an de tests de reprise d’activité (PRA) dont les scénarios sont définis avec nos clients, tel que, par exemple, assurer la production pendant une semaine sur le site de secours.

Les intervenants ERI n’ont pas accès aux bases de données en production des clients. Les bases de tests sont quant à elles anonymisées et font l’objet d’accès restreints à des personnes et des actions ciblées.

Des outils de suivi et d’automatisation de process sont mis en place à des fins d’alerte immédiate en cas de problème identifié. Les incidents identifiés chez un client servent les autres clients de même nature (périmètre métier et/ou technique).

Les engagements d’ERI valent pour sa plateforme technologique, OLYMPIC Banking System, mais également pour les solutions tierces qu’elle embarque. De ce fait, ERI doit valider avec ses partenaires les niveaux de services et niveaux de sécurité qu’ils proposent respectivement.

On dit souvent de la règlementation qu’elle pèse sur le business, qu’elle alourdit les process… Qu’en est-il en termes de sécurité ? Est-ce un support essentiel ou juste une charge supplémentaire ? Ou en sont les établissements sur la réglementation DORA et que pensent-ils de la possible réglementation à venir FIDA ?

Dans la mesure où on régule là où il y a un risque, la réglementation apparaît comme positive.

DORA est entrée en vigueur le 17 janvier 2025. Elle vise à apporter un cadre en termes de sécurité tant au niveau des banques que de leurs sous-traitants. Si la réglementation s’avère nécessaire, elle ne saurait toutefois apporter un cadre sécurisé à 100%.

Le sujet est avant tout porté par les responsables sécurité des organisations, leur donnant ainsi du poids en interne. Elle oblige les banques à se poser les bonnes questions et à mener des actions qu’elles n’auraient pas nécessairement menées ou du moins pas de façon prioritaire et stratégique.

Dommage que cela se traduise trop souvent par une approche très juridique, sujet à beaucoup d’interprétation, et que les délais et les conditions associés soient complexes à tenir.

Le niveau de sécurité très élevé des banques européennes est un avantage concurrentiel fort à mettre en avant.

A contrario, la majorité semble plus sceptique sur les injonctions paradoxales portées par la nouvelle réglementation FIDA qui est loin de faire l’unanimité. Une « mise au frigo » semblerait pour l’heure bienvenue. En effet la responsabilité du consentement est perçue comme une donnée essentielle du processus et pour autant sa définition reste à ce jour une zone grise de la réglementation. Le moment semble par ailleurs peu propice pour permettre au secteur de répondre aux actuels enjeux stratégiques et porter au mieux une souveraineté européenne.