Alors que l’adoption croissante des technologies de sécurité a permis de réduire considérablement le volume de main-d’œuvre nécessaire à la sécurité des banques et des institutions financières, il semblerait que le choix optimal soit une combinaison du meilleur des deux domaines. Hi-Tech Security Solutions s’entretient avec des spécialistes de l’industrie au sujet du mélange de sécurité, de la cybercriminalité et de l’assaut de l’intelligence artificielle (IA).
Franz Kersten, du fabricant de caméras de surveillance Panasonic, souligne qu’auparavant, les agents de sécurité patrouillaient généralement le long d’itinéraires déterminés dans les locaux des clients, dans l’espoir d’identifier et d’alerter la direction en cas de risques ou de menaces. Toutefois, ce rôle a été réduit grâce au déploiement de caméras de surveillance qui permettent à un opérateur situé dans une salle de visionner plusieurs sites simultanément, sans avoir besoin de mettre les pieds sur le terrain, à moins qu’un incident ne l’exige.
Un avantage supplémentaire de cette surveillance à distance est qu’il n’est plus nécessaire de placer des gardes de grade C non armés dans les zones à haut risque où la possibilité d’une attaque est élevée. Le déploiement d’équipes de réaction armées n’est activé que lorsque l’ensemble du risque a été évalué à l’aide d’une caméra.
Franz Kersten
« D’un point de vue pratique, les caméras éliminent tout problème d’identification de situation qui pourrait survenir lorsqu’un garde a une vision limitée ou endommagée. D’un point de vue financier, les clients peuvent désormais passer d’un modèle de coûts opérationnels à un modèle de dépenses d’investissement, toutes les caméras étant liées à un accord de niveau de service qui définit un plan de maintenance.
Son collègue Gert Janzen ajoute que le back-end des systèmes dotés de l’analyse vidéo et de la détection faciale s’améliore nettement et que la dépendance à l’égard de la main-d’œuvre peut donc être réduite, car nombre de ses fonctions sont remplacées par l’intelligence intégrée dans les systèmes de sécurité.
L’intégration reste la clé
Il convient de souligner que la technologie ou la main-d’œuvre prises isolément ne sont jamais la solution, affirme M. Kersten. « Ils doivent simplement travailler en synergie pour que les mesures de sécurité soient durables. Le passage à un système automatique où la surveillance est un outil actif plutôt qu’un simple ajout passif est très bénéfique, mais ces avantages doivent être communiqués à l’utilisateur final.
« Les intégrateurs de systèmes doivent faire preuve de créativité lorsqu’ils appliquent des solutions, car il ne s’agit pas d’un scénario simple. Il est important d’étudier soigneusement et méthodiquement les besoins du client, puis de les faire correspondre à la technologie disponible, en tenant compte des caractéristiques et de l’intégration inter-systèmes (surveillance, T&A et contrôle d’accès) ».
Ian Downie, de la société de services de sécurité gérés Xone, explique que la technologie de sécurité devient plus intelligente, dans la mesure où les dispositifs peuvent informer les utilisateurs lorsque les choses fonctionnent ou sont hors service, et peuvent également automatiser les processus. Il cite comme exemple le remplacement du garde de sécurité à l’entrée d’une zone restreinte à haut risque par une procédure de sas nécessitant une vérification électronique et des mots de passe.
« L’IdO permet à la technologie d’être suffisamment intelligente pour remplir les fonctions des personnes alors que les systèmes étaient auparavant beaucoup plus limités. Par conséquent, cette automatisation devient plus fiable et plus objective, car il est facile de vérifier si les processus sont exécutés efficacement, ce qui réduit la dépendance à l’égard de l’élément humain », explique-t-il.
Ian Downie
Il faut mettre en place un environnement de commande et de contrôle centralisé, avec des dispositifs intégrés, qui permette de réduire au minimum la main-d’œuvre nécessaire pour se conformer aux processus requis. Les dispositifs intégrés peuvent comprendre le contrôle d’accès, la gestion des visiteurs, la surveillance des zones restreintes, les installations de traitement des espèces, la sécurité monétaire et la réponse aux alarmes et notifications d’urgence.
Intégrer la main-d’œuvre et la technologie
Selon Gus Brecher, de Cathexis, développeur de systèmes de gestion vidéo, il est possible d’améliorer l’efficacité de la main-d’œuvre déployée en ajoutant la technologie à l’équation.
« Toutefois, la réduction de la main-d’œuvre ne doit pas être le facteur déterminant de l’ajout de technologies. En fin de compte, vous devriez viser une solution de sécurité plus efficace, avec un minimum d’erreurs, la capacité d’extraire des informations commerciales du système si possible et, en cas d’incident de sécurité, l’équipe de sécurité doit être en mesure de réagir efficacement de la bonne manière. La solution peut entraîner, et c’est souvent le cas, une réduction de la main-d’œuvre.
Gus Brecher
L’analyse vidéo permet de déclencher des événements de manière intelligente et d’initier des réponses automatisées dans la salle de contrôle, supprimant ainsi la dépendance à l’égard des opérateurs pour la prise de décision. Il convient également de prendre en compte les avantages que les technologies modernes peuvent apporter aux organisations, au-delà de la sécurité. Par exemple, le comptage des personnes dans un hall bancaire ou à un guichet automatique peut alerter la direction sur le fait que, certains jours ou à certaines heures, davantage de personnel ou de ressources peuvent être nécessaires pour garantir la satisfaction des clients. Un autre exemple est le signalement des clients VIP par des systèmes de reconnaissance faciale, le système alertant la direction de la présence du VIP dans le bâtiment et permettant d’améliorer les niveaux de service.
La menace virtuelle
La cybercriminalité est une menace réelle et mondiale, tous les appareils IoT étant une passerelle potentielle vers des zones à haut risque ou sensibles. Kersten suggère qu’en plus d’un pare-feu ou d’un VPN avec des politiques de sécurité en place, il faut envisager le cryptage à deux niveaux : SSL (fermé) ou propriétaire, avec son propre cryptage des données ; au deuxième niveau, une solution de bout en bout en partenariat avec un fournisseur reconnu de protection des points d’accès, utilisant des certificats de sécurité intégrés dans le matériel et les logiciels. De cette manière, on élimine la possibilité pour les pirates d’accéder aux ports ou aux interfaces des utilisateurs.
« Panasonic utilise deux niveaux de cryptage des données : notre propre SSL, qui est plus sûr que le SSL ouvert plus connu. Le second niveau est le fruit d’un partenariat entre Panasonic et Symantec. Ce partenariat ajoute une couche supplémentaire de cryptage et de protection des données et renforce la crédibilité de la cybersécurité intégrée dans les caméras i-PRO de Panasonic », explique M. Kersten.
M. Downie rappelle que la cybersécurité fait l’objet d’une législation abondante qui souligne la nécessité pour les organisations de mettre en place les mesures préventives nécessaires pour réduire efficacement les risques.
« Il est important de se rappeler qu’il existe des réglementations spécifiques en matière de confidentialité des informations, telles que la loi PoPI. Les mesures doivent donc être à la pointe du progrès, tout en respectant la vie privée des individus. La mise en place d’un coffre-fort centralisé à accès restreint, géré par un responsable du contrôle des données, devient de plus en plus pertinente. Tous les membres du personnel doivent être sensibilisés à la prudence dans le traitement des courriels, en particulier lorsqu’ils ont accès à des informations privilégiées.
Des protocoles stricts en termes de mots de passe pour les courriels, d’autres mots de passe et d’accès aux courriels devraient être une évidence. De même, les pare-feux et les logiciels antivirus doivent faire l’objet d’une maintenance et d’un contrôle rigoureux.
Politiques et procédures
Brecher soulève un point intéressant : Toute la technologie du monde ne sert à rien si l’on ne dispose pas de procédures et de processus de gestion de la sécurité adéquats. Cela concerne en particulier la sécurité de l’accès aux données et la sécurité des données elles-mêmes. Il conseille d’utiliser des canaux de communication cryptés et, lors de l’archivage des données, d’utiliser des clés de cryptage. Cathexis utilise personnellement deux clés RSA-1024 pour la signature des données et un cryptage de blocage AES 128 optionnel avec des mots de passe générés de manière aléatoire. En outre, les séquences vidéo archivées ne peuvent être visionnées qu’avec le logiciel propriétaire Cathexis.
« Il est essentiel que les utilisateurs finaux tiennent compte de la loi PoPI et de ses implications lorsqu’ils filment des personnes et utilisent ces données. Nous sommes en train de mettre en place un processus de filigrane automatique et de superposition des séquences vidéo avec un mot de passe requis pour les visionner afin de s’assurer que les séquences ne sont pas accidentellement ou délibérément divulguées dans le domaine public », a déclaré M. Brecher.
En bref, poursuit-il, les points faibles sont les périphériques tels que les caméras, certaines marques moins réputées offrant des portes dérobées. Les commutateurs de réseau intelligents, le contrôle de l’accès physique aux systèmes et l’insistance sur les mots de passe sont autant d’éléments qui contribuent à rendre le cyberenvironnement plus sûr.
Obtenir l’intelligence nécessaire
L’intelligence artificielle (IA) a fait couler beaucoup d’encre et le rythme des développements technologiques est tout simplement stupéfiant. M. Kersten estime qu’elle n’en est toutefois qu’à ses débuts. « En fin de compte, de nombreuses organisations souhaitent que leurs systèmes apprennent et commencent à prendre en charge les fonctions de l’opérateur humain grâce à l’apprentissage en profondeur et à l’IA. L’IA est attrayante pour beaucoup car elle ne présente pas les caractéristiques et idiosyncrasies humaines, telles que la fatigue et l’omission de détails critiques, et est donc perçue comme étant plus fiable et plus objective que son homologue humain. »
Il souligne que l’IA ne se limite pas aux systèmes de surveillance. Au contraire, divers systèmes commenceront à partager des informations entre eux, l’intelligence artificielle étant répartie sur de nombreux appareils. M. Janzen ajoute que nous devons tous accorder plus d’attention au big data pour nous aider à mettre en œuvre des solutions et à développer les fonctionnalités des caméras. L’idéal, selon lui, est la consolidation d’une entreprise de big data avec une entreprise de sécurité traditionnelle, afin d’offrir une approche proactive des solutions de sécurité.
Selon M. Downie, à mesure que l’IA devient plus sophistiquée, elle permet d’identifier rapidement les événements qui ne sont pas habituels et de surveiller un scénario qui peut faire l’objet d’une action appropriée. Il cite à titre d’exemple la surveillance des personnes entrant dans des zones restreintes, les comportements inhabituels ou non naturels, la flânerie et les objets laissés dans des endroits restreints. « Au fur et à mesure que l’apprentissage profond progresse, les capacités du système s’affinent et la main-d’œuvre nécessaire diminue en conséquence. C’est ce que l’on observe dans certaines usines de fabrication haut de gamme où la robotique a progressé à un point tel qu’elle gère presque toutes les opérations de l’usine. »
Brecher estime que le terme « IA » est actuellement galvaudé, mais qu’il s’agit néanmoins d’une réalité. L’IA est utilisée pour automatiser la collecte d’informations afin de prendre des décisions éclairées sans intervention humaine. Les algorithmes d’apprentissage sont donc considérés comme la solution pour établir des normes dans un environnement et les systèmes peuvent générer des alarmes sur ce qui est considéré comme anormal. Cependant, les humains devront toujours valider ces alarmes.
« L’IA peut donc réduire la dépendance à l’égard des humains pour la prise de décisions, mais elle ne remplacera pas le besoin de main-d’œuvre dans un avenir prévisible. D’un point de vue opérationnel, nous pouvons utiliser l’IA pour voir quelles sont les tendances dominantes, par exemple, qu’il y a plus de monde dans un hall bancaire ou un environnement de vente au détail le samedi et qu’il faut donc plus de guichetiers ou d’agents de sécurité à ce moment-là. L’IA permettrait également de découvrir les incidents plus rapidement. Elle pourrait également être utilisée pour le post-traitement des séquences vidéo. Cathexis utilise trois algorithmes de recherche avancés qui traitent les données méthodologiques des caméras pour analyser les mouvements. Ce type d’intelligence ajoute à l’efficacité et à l’efficience du système et réduit le temps nécessaire à la recherche d’une personne spécifique sur une vidéo ».
Sécuriser votre identité numérique
Schalk Nolte, PDG d’Entersekt, commente les problèmes de sécurité auxquels nous sommes confrontés alors que le secteur financier adopte le monde numérique.
À mesure que notre monde se numérise, les informations que nous voulons garder privées sont de plus en plus menacées, et pourtant personne ne veut que ces informations soient protégées par des mesures de sécurité lourdes qui ne s’adaptent pas à notre rythme de vie. Les conditions sont désormais réunies pour l’adoption à grande échelle d’une technologie biométrique très pratique, en particulier sur les appareils mobiles.
Différentes formes de sécurité biométrique ont déjà commencé à s’imposer dans les secteurs de la banque et des paiements, notamment le visage, les empreintes digitales, l’iris, la paume de la main, les veines et le voi.
Schalk Nolte
Tous ceux qui s’intéressent à la banque numérique et à la sécurité ont suivi l’évolution rapide de la biométrie et débattu de l’utilité de cette technologie dans la lutte contre la cybercriminalité. Il ne fait aucun doute que la biométrie jouera un rôle important dans la sécurisation des services mobiles, en particulier du point de vue du confort de l’utilisateur.
Cependant, il est également juste de souligner que la biométrie peut mettre les entreprises et leurs clients en danger si elle est déployée comme seul moyen d’identification des utilisateurs et d’authentification des transactions.
Pour sécuriser efficacement les transactions à haut risque, les banques et autres prestataires de services financiers ont besoin d’une solide couche de sécurité de base. La plateforme Transakt d’Entersekt en est un exemple : des données biométriques peuvent y être ajoutées au moyen d’un module d’extension, afin d’accroître les niveaux de risque ou d’améliorer l’expérience de l’utilisateur.
Contrairement aux noms d’utilisateur et aux mots de passe, que nous pouvons modifier à volonté, il n’existe qu’un seul ensemble de données biométriques. Si ces données tombent entre les mains de pirates informatiques, elles ne sont d’aucune utilité pour l’authentification. Les experts du secteur, tels que l’alliance FIDO, s’accordent à dire que nous devons limiter l’exposition de nos données biométriques privées en ne les partageant pas. Au lieu de cela, nous devrions les garder sous clé sur nos appareils personnels.
Il existe une application pour cela (bien sûr).
Nous avons récemment lancé un nouvel outil de commerce numérique appelé Connekt. Cet outil permet aux institutions financières d’activer rapidement et à moindre coût de nouveaux services de paiement mobile au sein de leurs applications bancaires existantes.
Il fonctionne quelle que soit la technologie sous-jacente, le terminal de paiement ou le réseau du commerçant concerné. Les réseaux de cartes comme Visa et Mastercard ont développé de nouvelles technologies pour permettre aux consommateurs en ligne d’effectuer des paiements sans numéraire et pour les protéger.
Des innovations telles que la tokenisation, les paiements d’application à application, 3D Secure et les portefeuilles mobiles, ainsi que des technologies telles que QR (scanner pour payer) et NFC (tapoter pour payer), font que le nombre d’options de paiement que les banques doivent prendre en compte et auxquelles elles doivent répondre est écrasant.
Le principal avantage de Connekt est que les utilisateurs mobiles de la banque bénéficieront de la même expérience utilisateur pour initier et authentifier les transactions de commerce électronique que pour les opérations bancaires. Le consommateur n’a pas besoin de télécharger une multitude d’applications de paiement mobile ; il peut accéder à tous les services par l’intermédiaire d’un seul point de confiance – l’application bancaire de sa marque.