Cybersécurité. Le secteur financier prend-il suffisamment ses obligations au sérieux ?

La cybersécurité revêt aujourd’hui une importance capitale dans tous les secteurs d’activités, et ceci est particulièrement le cas pour celui de la finance. Si les institutions financières se différencient énormément en termes de services offerts, elles ont toutes en commun le volume élevé de données personnelles qu’elles collectent auprès de leurs clients.

Adresse du domicile, antécédents financiers, coordonnées bancaires, etc. : la valeur élevée des données collectées en fait une cible privilégiée pour les cybercriminels. C’est pourquoi les organisations de services financiers doivent prendre des mesures importantes pour s’assurer qu’elles restent protégées à tout moment. Pour autant, le secteur financier prend-il suffisamment au sérieux ses responsabilités en matière de sécurité ? Ou se joue-t-il de nos informations sensibles avec désinvolture, et ce malgré les amendes et les sanctions encourues ?

Nous avons mené une étude récemment sur l’état de la cybersécurité dans le secteur des services financiers aux Etats Unis en compilant des données provenant de l’association Identity Theft Resource Center (ITRC)[1] et de l’institut Ponemon[2]. L’examen des brèches de sécurité de l’année dernière a permis de vérifier à quel point nos données sont réellement sécurisées. Chaque année, ces organisations fournissent en effet des informations détaillées sur le vol de données au sein des organismes de services financiers américains. L’analyse en coopération de ces dossiers a permis de découvrir un large éventail d’informations sur les violations financières qui se sont produites au cours des douze derniers mois. Pour évaluer leurs implications pour les clients au niveau mondial, il convient de se pencher sur les principales conclusions de cette étude.

Des infractions financières sont rares mais peuvent s’avérer dévastatrices

Seulement 6,5 % des violations de données survenues au cours des 12 derniers mois concernent des organismes de services financiers. Mais ce chiffre ne reflète qu’une partie de la réalité. En effet, les fuites survenues au sein de ces établissements ont représenté 61,7% de l’ensemble des fuites de données. Si les organismes de services financiers ne représentent qu’une petite partie des établissements touchés, les violations dont ils sont victimes ont tendance à être beaucoup plus importantes et plus préjudiciables que celles subies par les entreprises d’autres secteurs.

Piratage et logiciels malveillants restent de loin la plus grande (mais pas la seule) menace

Les logiciels malveillants évoluent sans cesse et il devient de plus en plus difficile de les détecter et de les bloquer. Le secteur des services financiers doit donc apprendre à se défendre contre cette menace toujours croissante en déployant les outils de sécurité adaptés.

Au cours des 12 derniers mois, le piratage et les logiciels malveillants ont représenté les principales causes de violations de données dans le secteur des services financiers. Ils sont responsables de 75 % des incidents survenus, soit une légère hausse par rapport à 2018 (73,5 %). En outre, les menaces internes sont passées de 2,9 % en 2018 à 5,5 % aujourd’hui, et la part des incidents liés à des divulgations accidentelles a augmenté de 14,7 % à 18,2 %.

Malheureusement pour les organisations qui ont du mal à mettre en œuvre des mesures de sécurité adéquates, l’adoption croissante du Cloud ne fera probablement qu’exacerber ces menaces. En l’absence de mesures adaptées, le Cloud et les téléphones portables représentent de nouveaux vecteurs d’attaque intéressants pour les hackers.

Certaines organisations ne tirent pas les leçons de leurs expériences passées

Il peut être difficile de maintenir une visibilité et un contrôle adéquats des données, en particulier lorsque les solutions de sécurité mobiles et Cloud appropriées ne sont pas mises en place. L’adoption du Cloud à l’échelle mondiale a atteint 86 %[3] et les politiques de “Bring Your Own Device” (BYOD) ont fait leur chemin dans 85 %[4] des organisations.

Quoi qu’il en soit, les organisations du secteur financier doivent être plus conscientes de la manière dont leurs données sont utilisées. Malheureusement, force est de constater que certaines ne tirent toujours pas les leçons de leurs expériences, et qu’elles souffrent, par conséquence, d’un nombre inquiétant de violations récurrentes. Même des banques très réputées se trouvent au cœur de statistiques peu enviables, comme celles qui ont subi cinq violations distinctes au cours des dix dernières années, ou Capital One, qui en a subi quatre au cours des sept dernières années.

Le coût financier des infractions est de plus en plus élevé

Mauvaise nouvelle pour les organisations du secteur financier : le coût par dossier compromis a augmenté régulièrement au cours des dernières années, qu’il s’agisse de violations mineures ou de méga violations (c’est-à-dire celles qui touchent 100 millions de personnes ou plus). En 2019, le coût par dossier compromis dans le cadre de méga violations est désormais beaucoup plus élevé que celui lié à des violations de taille plus modeste, avec des montants estimés respectivement à 388 et 210 dollars. En outre, Ponemon note que le coût par dossier compromis dans les services financiers dépasse désormais celui de tous les autres secteurs, à l’exception de celui de la santé (429 dollars). Le secteur technologique arrive en troisième position (183 dollars), tandis que le secteur public se trouve en dernière position (78 dollars).

---

[1] Depuis 2005, le “Centre de ressources sur le vol d’identité” (ITRC) suit les violations de données signalées publiquement aux États-Unis.

[2] Fondé en 2002, le Ponemon institute se consacre à la recherche et à l’éducation indépendantes qui font progresser l’utilisation responsable de l’information et les pratiques de gestion de la confidentialité au sein des entreprises et du gouvernement des Etats-Unis.

[3] Source : Etude Bitglass Cloud Adoption

[4] Source : Etude Bitglass Bring Your Own Device