Les tentations inhérentes au secteur bancaire, et aux institutions financières en général, les placent dans une bataille éternelle et de plus en plus high-tech pour se sécuriser contre les menaces internes et externes.
Ils ont également la responsabilité de protéger leurs clients et leurs données contre tout accès non autorisé, et puisque les agences bancaires sont essentiellement des entreprises, elles cherchent des moyens d’améliorer l’expérience client de manière similaire au secteur de la vente au détail.
Pour répondre à toutes ces préoccupations, il faut une approche hautement intégrée qui utilise les technologies de sécurité de pointe dans tous les domaines.
Nous avons demandé à IDEMIA, Cathexis Africa et CA Southern Africa comment les domaines d’expertise particuliers de leurs entreprises sont exploités dans le secteur financier.
« Ces dernières années, nous avons observé un changement significatif parmi les plus grandes institutions financières mondiales, vers une technologie biométrique sans friction, qui est motivée par plusieurs facteurs clés », commente Nicolas Garcia, directeur régional des ventes chez IDEMIA SA.
Ces facteurs incluent la conformité aux normes de sécurité et les pressions d’audit qui ont considérablement augmenté dans le monde entier ces dernières années (pour la sécurité physique et logique).
Cela a été en partie motivé par le grand nombre de violations/attaques internes et externes de haut niveau observées au cours des cinq dernières années.
De plus, les grandes institutions financières mondiales se disputent à la fois les meilleurs clients et les meilleurs employés.
Elles cherchent toujours des moyens d’attirer les meilleurs talents, et sont
concentrent fortement sur des lieux de travail high-tech, sûrs et attrayants pour les employés.
De plus, la technologie de contrôle d’accès est très visible pour tout visiteur entrant dans le hall, et joue un rôle significatif dans le renforcement du message sur la gravité de la sécurité pour la banque.
Identité augmentée
Sur le lieu de travail, la même technologie sans friction s’étend régulièrement à la gestion du temps et des présences, aux paiements de la cafétéria, à l’accès à la salle de sport, au parking et à d’autres services.
Cela s’inscrit dans le concept d’« identité augmentée » d’IDEMIA, dont l’idée centrale est que l’exploitation de notre identité doit être non seulement un processus sécurisé, mais aussi naturel et pratique.
Cela va bien au-delà du contrôle d’accès traditionnel et des applications de sécurité pour s’étendre à d’autres domaines tels que l’eKYC, les systèmes de vote, les programmes d’identité civile, le contrôle des frontières et la facilitation des passagers, entre autres.
« Les solutions de reconnaissance faciale et d’analyse d’IDEMIA fournissent une couche de sécurité supplémentaire conçue pour compléter les points d’accès traditionnels en étendant la portée de la sécurité bien au-delà des portes et barrières physiques. En fusionnant la détection et le suivi des personnes ou des objets avec des algorithmes de reconnaissance faciale précis, un puissant système d’alerte précoce et un outil d’enquête offrent un retour sur investissement (ROI) beaucoup plus élevé de l’infrastructure de surveillance existante du client », déclare Garcia.
La technologie peut fournir des alertes basées sur un certain nombre de listes de surveillance pour une variété de fins allant de la détection des braqueurs de banque connus à l’identification des clients VIP.
La technologie biométrique d’IDEMIA joue un rôle clé dans l’amélioration de la sécurité des banques et de leurs clients.
Les biométries peuvent être utilisées pour vérifier l’identité d’un client lors de l’ouverture d’un compte bancaire et/ou pour détecter si ce même client a déjà existé dans le système sous un nom différent.
Cette technologie biométrique est également intégrée dans les distributeurs automatiques de billets (DAB) et les solutions de guichet dans le monde entier pour fournir une authentification sécurisée des clients.
IDEMIA propose également une carte bancaire sécurisée avec capteur d’empreintes digitales intégré, connue sous le nom de FCode.
Cela permet à un client de scanner son empreinte digitale directement sur sa carte bancaire pour autoriser une transaction, au lieu de compter sur un code PIN ou une signature traditionnelle.
« De plus en plus de grandes banques et de fournisseurs de crédit intègrent désormais la technologie biométrique d’IDEMIA dans l’expérience de paiement », déclare Garcia.
« Les paiements sécurisés utilisant la biométrie apportent une combinaison importante à la fois d’une commodité accrue et d’une sécurité en même temps.
Les attentes des clients bancaires typiques d’aujourd’hui sont très différentes de celles d’il y a 10 ou 20 ans.
« Le client d’aujourd’hui a grandi avec un niveau différent d’accessibilité technologique et la plupart sont déjà complètement à l’aise avec l’utilisation de la biométrie sur leur téléphone pour une grande variété de cas d’utilisation d’authentification, y compris les paiements. Le client d’aujourd’hui s’attend à ce que cette même capacité s’étende au-delà de son téléphone et dans l’espace de vente au détail, que ce soit dans un centre commercial, un concert ou une gare. »
Utilisation de l’analyse vidéo
Le spécialiste des logiciels de gestion vidéo (VMS), Cathexis Technologies, travaille avec diverses entités du secteur financier.
Bien que son implication se soit étendue à des institutions comme la Bourse de Londres, le plus grand composant est les banques et leurs succursales, selon le directeur général de Cathexis Africa, Gus Brecher.
L’intégration est un facteur important dans le secteur bancaire, déclare Brecher : « Nous avons beaucoup de clients bancaires et dans ce secteur, nous faisons beaucoup d’intégration avec leurs systèmes d’incendie, panneaux d’alarme et contrôle d’accès.
Selon la banque, beaucoup d’entre elles aiment avoir une surveillance centrale
capacité, donc elles ont un scénario hybride où elles ont des enregistrements distribués sur site, une installation de surveillance centralisée pour les alarmes, et la capacité de visualiser et de stocker des vidéos hors site sur demande.
En plus des systèmes de contrôle d’accès déployés dans les zones de back-office, Brecher dit que les banques utilisent de plus en plus l’analyse vidéo.
Une façon dont cela peut être utilisé est de notifier un directeur de succursale si quelqu’un est entré dans la zone de service client et n’a pas été servi dans un certain laps de temps, afin de permettre à la succursale d’améliorer ses niveaux de service client.
Le comptage des personnes peut également être utilisé pour obtenir plus d’informations sur les allées et venues des gens.
Les algorithmes d’analyse qui identifient les comportements de flânerie sont également déployés à l’extérieur des banques et aux DAB.
« Nous avons également fait une intégration de DAB où les DAB autonomes ont de petits dispositifs d’enregistrement en eux qui peuvent être corrélés avec les transactions DAB. Cependant, en raison des problèmes de confidentialité abordés par des lois comme la loi PoPI (Protection des Informations Personnelles) et le RGPD (Règlement Général sur la Protection des Données), cela est généralement limité à des détails comme l’heure et le type d’une transaction, plutôt que des détails sur la personne effectuant la transaction », déclare Brecher.
La cybersécurité ne doit pas être ignorée
Que le crime soit commis avec un pied-de-biche ou un ordinateur, le principal motivateur d’un attaquant est la cupidité, souligne Gregory Dellas, prévente de sécurité chez CA Southern Africa.
« C’est pour cette raison que les institutions bancaires et financières font face à la menace la plus persistante des divers cybercriminels du monde. Bien que les données aient de la valeur et puissent être violées et vendues, ce sont les systèmes qui gèrent le véritable objectif du criminel – l’argent – qui constituent les meilleures cibles », déclare-t-il.
Selon SABRIC, 16 296 incidents ont été signalés de janvier 2018 à août 2018, avec des pertes s’élevant à plus de 183 millions de R pour le secteur bancaire.
Cela représente une augmentation de 64,3 %
du nombre d’incidents par rapport à la même période de l’année précédente.
À une échelle plus large, dans l’enquête PwC 2018 sur la criminalité économique et la fraude mondiale, l’Afrique du Sud s’est classée numéro 1 au niveau mondial pour les entreprises ayant subi une forme de criminalité économique, avec un impressionnant 77 % de toutes les organisations sud-africaines touchées.
Les plus fortes augmentations dans le secteur ont été observées dans les assurances, les prêts à la consommation et les investissements de détail.
Un facteur contributif à cette tendance est l’hypothèse selon laquelle les entreprises établies sont les plus à risque, alors qu’en réalité, les nouvelles entités, y compris les services basés sur le cloud et les banques numériques, sont également très ciblées.
Les jeunes organisations cherchant à croître rapidement et à construire la sécurité plus tard constituent la majorité de ces violations signalées.
Conscience versus vigilance
« La prise de conscience de ces faits est une étape importante vers une sécurité solide, mais ce n’est pas suffisant », insiste Dellas.
« L’attaquant est alerte, préparé et 100% concentré lorsqu’il exploite les systèmes.
Le personnel d’une entreprise de services financiers peut être conscient de la sécurité, mais il agit par routine, est distrait et n’anticipe pas, par exemple, un appel téléphonique de social engineering potentiellement fatal.
« Ce manque de vigilance ne peut être surmonté qu’avec les bons outils et une stratégie de filet de sécurité large. La banque DBS basée à Singapour fournit une bonne étude de cas, où une nouvelle plateforme automatisée de gestion des identités et des accès de CA Technologies a réduit le risque de fraude, augmenté l’efficacité et amélioré la satisfaction des clients. »
Les couches de défense supplémentaires incluent des outils qui gèrent les identifiants privilégiés, équivalents des clés du coffre-fort dans une banque physique.
L’authentification intelligente basée sur les risques peut combler le déficit de vigilance si les attaquants accèdent aux systèmes ou obtiennent les identifiants des employés ; ils peuvent être bloqués sur la base de milliers d’heures de profilage comportemental.
« De nombreuses institutions financières bénéficient de se comparer à des entreprises homologues telles que DBS.
Un bon forum de l’industrie qui aide à aborder le risque de cybersécurité est le Financial Services Information Sharing and Analysis Centre (FS-ISAC).
Ils mènent fréquemment des exercices de cyber-range et publient des recommandations.
Une autre excellente initiative est le Financial Data Exchange qui cherche à créer une norme commune pour le partage de données dans l’industrie financière.
« Se rapprocher des pairs et des partenaires familiers avec les dernières avancées en matière de cybersécurité est une étape importante pour renforcer la posture de sécurité globale. En ajoutant continuellement des couches supplémentaires de sécurité, qu’il s’agisse d’outils, de processus ou d’initiatives collaboratives, les meilleures pratiques permettront finalement de garder les institutions financières sûres et sécurisées », conclut Dellas.