Les tentations inhérentes au secteur bancaire, et plus généralement aux institutions financières, les placent dans une lutte éternelle et de plus en plus high-tech pour se prémunir contre les menaces intérieures et extérieures. Elles ont également la responsabilité de protéger leurs clients et leurs données contre tout accès non autorisé, et comme les agences bancaires sont essentiellement des entreprises, elles cherchent à améliorer l’expérience des clients de la même manière que dans le secteur du commerce de détail.
Pour répondre à toutes ces préoccupations, il est nécessaire d’adopter une approche hautement intégrée qui fait appel à des technologies de sécurité de pointe dans tous les domaines. Nous avons demandé à IDEMIA, Cathexis Africa et CA Southern Africa comment leurs domaines d’expertise particuliers sont exploités dans le secteur financier.
« Ces dernières années, nous avons constaté un changement significatif parmi les plus grandes institutions financières du monde, en faveur de la technologie biométrique sans friction, qui est motivée par plusieurs facteurs clés », commente Nicolas Garcia, directeur régional des ventes chez IDEMIA SA. Ces facteurs comprennent la conformité aux normes de sécurité et les pressions d’audit qui en résultent et qui ont augmenté de façon spectaculaire dans le monde entier ces dernières années (tant pour la sécurité physique que logique). Cette évolution s’explique en partie par le grand nombre de violations/attaques d’initiés et d’outsiders très médiatisées observées au cours des cinq dernières années.
De plus, les principales institutions financières du monde sont en concurrence pour attirer les meilleurs clients et les meilleurs employés. Elles sont toujours à la recherche de moyens pour attirer les meilleurs talents et sont
en mettant l’accent sur des lieux de travail à la pointe de la technologie, sûrs et attrayants pour les employés. En outre, la technologie de contrôle d’accès est très visible pour tout visiteur entrant dans le hall, et joue un rôle important dans le renforcement du message sur l’importance que la banque accorde à la sécurité.
Identité augmentée
Sur le lieu de travail, la même technologie sans friction s’étend régulièrement aux heures de présence, aux paiements à la cafétéria, à l’accès à la salle de sport, au parking et à d’autres services. Cela s’inscrit dans le concept d' »identité augmentée » d’IDEMIA, qui repose sur l’idée que l’utilisation de notre identité doit être non seulement un processus sûr, mais aussi naturel et pratique. Cela va bien au-delà des applications traditionnelles de contrôle d’accès et de sécurité et s’étend à d’autres domaines tels que l’eKYC, les systèmes de vote, les programmes d’identification civile, le contrôle des frontières et la facilitation de la circulation des passagers, entre autres.
« Les solutions d’analyse et de reconnaissance faciale d’IDEMIA constituent une couche de sécurité supplémentaire conçue pour compléter les points d’accès traditionnels en étendant la portée de la sécurité bien au-delà des portes et des barrières physiques. En combinant la détection et le suivi de personnes ou d’objets avec des algorithmes précis de reconnaissance faciale, un puissant système d’alerte précoce et un outil d’investigation permettent d’augmenter considérablement le retour sur investissement de l’infrastructure de surveillance existante du client », explique M. Garcia. La technologie peut fournir des alertes sur la base d’un nombre quelconque de listes de surveillance à des fins diverses, allant de la détection de voleurs de banque connus à l’identification de clients VIP.
La technologie biométrique d’IDEMIA joue un rôle clé dans l’amélioration de la sécurité des banques et de leurs clients. La biométrie peut être utilisée pour vérifier l’identité d’un client lors de l’ouverture d’un compte bancaire et/ou pour détecter si ce même client a déjà existé dans le système sous un nom différent. Cette technologie biométrique est également intégrée dans les distributeurs automatiques de billets et les guichets de succursales dans le monde entier afin d’assurer une authentification sécurisée des clients.
IDEMIA propose également une carte bancaire sécurisée avec capteur d’empreintes digitales intégré, connue sous le nom de FCode. Le client peut ainsi scanner son empreinte digitale directement sur sa carte bancaire pour autoriser une transaction, au lieu de se fier à un code PIN ou à une signature traditionnels.
« De plus en plus de grandes banques et de fournisseurs de crédit intègrent désormais la technologie biométrique d’IDEMIA dans l’expérience de paiement », déclare M. Garcia. « Les paiements sécurisés utilisant la biométrie offrent une combinaison importante de commodité et de sécurité accrues. Les attentes du client bancaire type d’aujourd’hui sont très différentes de celles d’il y a 10 ou 20 ans.
« Le client d’aujourd’hui a grandi avec un niveau d’accessibilité technologique différent et la plupart d’entre eux sont déjà tout à fait à l’aise avec l’utilisation de la biométrie sur leur téléphone pour une grande variété de cas d’utilisation d’authentification, y compris les paiements. Le client d’aujourd’hui s’attend à ce que cette même capacité s’étende au-delà de son téléphone et dans l’espace de vente au détail, que ce soit dans un centre commercial, à un concert ou dans une gare ».
Utiliser l’analyse vidéo
Cathexis Technologies, spécialiste des logiciels de gestion vidéo (VMS), travaille avec diverses entités du secteur financier. Bien que sa participation se soit étendue à des institutions telles que la Bourse de Londres, les banques et leurs succursales constituent la composante la plus importante, selon le directeur général de Cathexis Africa, Gus Brecher.
L’intégration est un facteur important dans le secteur bancaire, explique M. Brecher : « Nous avons pas mal de clients dans le secteur bancaire et dans ce secteur, nous faisons beaucoup d’intégration avec leurs systèmes d’incendie, leurs panneaux d’alarme et leur contrôle d’accès. Selon les banques, beaucoup d’entre elles préfèrent disposer d’un système de contrôle central.
Ils disposent donc d’un scénario hybride dans lequel ils ont des enregistrements distribués sur le site, une installation de surveillance centralisée pour les alarmes, et la possibilité de visionner et de stocker des vidéos hors site sur demande ».
Outre les systèmes de contrôle d’accès déployés dans les zones de back-office, M. Brecher indique que les banques ont de plus en plus recours à l’analyse vidéo. Il peut notamment être utilisé pour informer un directeur d’agence si une personne est entrée dans la zone de service à la clientèle et n’a pas été servie dans un certain laps de temps, afin de permettre à l’agence d’améliorer ses niveaux de service à la clientèle. Le comptage de personnes peut également être utilisé pour mieux connaître les allées et venues des personnes.
Des algorithmes d’analyse permettant d’identifier les comportements de flânerie sont également déployés à l’extérieur des banques et dans les distributeurs automatiques de billets. « Nous avons également procédé à l’intégration de guichets automatiques, dans lesquels les guichets automatiques autonomes sont équipés de petits dispositifs d’enregistrement qui peuvent être mis en corrélation avec les transactions effectuées aux guichets automatiques. Toutefois, en raison des questions de confidentialité abordées par des textes tels que la loi sur la protection des données personnelles (PoPI) et le règlement général sur la protection des données (GDPR), ces données se limitent généralement à des détails tels que l’heure et le type de transaction, plutôt qu’à des détails sur la personne effectuant la transaction », explique M. Brecher.
La cybersécurité ne doit pas être ignorée
Que le crime soit commis avec un pied de biche ou un ordinateur, la motivation numéro un d’un attaquant est l’appât du gain, souligne Gregory Dellas, préventeur en sécurité chez CA Afrique du Sud. « C’est pour cette raison que les institutions bancaires et financières sont confrontées à la menace la plus persistante de la part des cybercriminels du monde entier. Si les données ont de la valeur et peuvent être violées et revendues, ce sont les systèmes qui gèrent le véritable objectif du criminel – l’argent – qui constituent les meilleures cibles », déclare-t-il.
Selon SABRIC, 16 296 incidents ont été signalés de janvier 2018 à août 2018, avec des pertes s’élevant à plus de 183 millions de rands pour le secteur bancaire. Il s’agit d’une augmentation de 64,3 % par rapport à l’année précédente.
n le nombre d’incidents survenus au cours de la même période de l’année précédente. À plus grande échelle, dans l’enquête mondiale sur la criminalité économique et la fraude menée par PwC en 2018, l’Afrique du Sud s’est classée au premier rang mondial des entreprises ayant subi une forme ou une autre de criminalité économique, avec un pourcentage impressionnant de 77 % de toutes les organisations sud-africaines touchées par ce type de criminalité.
Les augmentations les plus importantes dans le secteur ont été observées dans les domaines de l’assurance, du crédit à la consommation et de l’investissement de détail. L’un des facteurs contribuant à cette tendance est l’hypothèse selon laquelle les entreprises établies sont les plus exposées, alors qu’en réalité, les nouvelles entités, y compris les services basés sur l’informatique en nuage et les banques numériques, sont également très ciblées. Les jeunes organisations qui cherchent à se développer rapidement et à mettre en place une sécurité plus tard constituent la majorité des violations signalées.
Conscience ou vigilance
« La prise de conscience de ces faits est un pas important vers une sécurité renforcée, mais elle n’est pas suffisante », insiste M. Dellas. « L’attaquant est vigilant, préparé et concentré à 100 % lorsqu’il exploite des systèmes. Le personnel d’une entreprise de services financiers peut être sensibilisé à la sécurité, mais il agit par routine, est distrait et n’anticipe pas, par exemple, un appel téléphonique d’ingénierie sociale potentiellement fatal.
« Ce manque de vigilance ne peut être surmonté qu’avec les bons outils et une stratégie de filet de sécurité étendu. La banque DBS, basée à Singapour, fournit une bonne étude de cas, où une plateforme de gestion automatisée des identités et des accès récemment mise en œuvre par CA Technologies a réduit le risque de fraude, augmenté l’efficacité et amélioré la satisfaction des clients ».
Parmi les couches de défense supplémentaires, on trouve des outils qui gèrent les informations d’identification privilégiées, qui sont l’équivalent des clés du coffre-fort dans une banque physique. L’authentification intelligente basée sur le risque peut combler le manque de vigilance au cas où des attaquants parviendraient à accéder aux systèmes ou à s’emparer des informations d’identification des employés ; ils peuvent être bloqués sur la base de milliers d’heures de profilage comportemental.
« De nombreuses institutions financières tirent profit d’une comparaison avec des entreprises comparables telles que DBS. Le Financial Services Information Sharing and Analysis Centre (FS-ISAC) est un bon forum sectoriel qui contribue à la prise en compte des risques de cybersécurité. Ils effectuent fréquemment des exercices de cyber-range et publient des recommandations. Une autre excellente initiative est le Financial Data Exchange, qui vise à créer une norme commune pour le partage des données dans l’ensemble du secteur financier.
« S’adresser à des pairs et à des partenaires qui sont à la pointe de la cybersécurité est une étape importante dans le renforcement de la posture de sécurité globale. En ajoutant continuellement des couches supplémentaires de sécurité, qu’il s’agisse d’outils, de processus ou d’initiatives de collaboration, les meilleures pratiques permettront aux institutions financières de rester sûres et sécurisées », conclut M. Dellas.