Le secteur financier prend-il suffisamment ses obligations au sérieux ?
La cybersécurité revêt aujourd’hui une importance capitale dans tous les secteurs d’activités, et ceci est particulièrement le cas pour celui de la finance. Si les institutions financières se différencient énormément en termes de services offerts, elles ont toutes en commun le volume élevé de données personnelles qu’elles collectent auprès de leurs clients.
Adresse du domicile, antécédents financiers, coordonnées bancaires, etc. : la valeur élevée des données collectées en fait une cible privilégiée pour les cybercriminels. C’est pourquoi les organisations de services financiers doivent prendre des mesures importantes pour s’assurer qu’elles restent protégées à tout moment. Pour autant, le secteur financier prend-il suffisamment au sérieux ses responsabilités en matière de sécurité ? Ou se joue-t-il de nos informations sensibles avec désinvolture, et ce malgré les amendes et les sanctions encourues ?
Nous avons mené une étude récemment sur l’état de la cybersécurité dans le secteur des services financiers aux Etats Unis en compilant des données provenant de l’association Identity Theft Resource Center (ITRC)[1] et de l’institut Ponemon[2]. L’examen des brèches de sécurité de l’année dernière a permis de vérifier à quel point nos données sont réellement sécurisées. Chaque année, ces organisations fournissent en effet des informations détaillées sur le vol de données au sein des organismes de services financiers américains. L’analyse en coopération de ces dossiers a permis de découvrir un large éventail d’informations sur les violations financières qui se sont produites au cours des douze derniers mois. Pour évaluer leurs implications pour les clients au niveau mondial, il convient de se pencher sur les principales conclusions de cette étude.
Des infractions financières sont rares mais peuvent s’avérer dévastatrices
Seulement 6,5 % des violations de données survenues au cours des 12 derniers mois concernent des organismes de services financiers. Mais ce chiffre ne reflète qu’une partie de la réalité. En effet, les fuites survenues au sein de ces établissements ont représenté 61,7% de l’ensemble des fuites de données. Si les organismes de services financiers ne représentent qu’une petite partie des établissements touchés, les violations dont ils sont victimes ont tendance à être beaucoup plus importantes et plus préjudiciables que celles subies par les entreprises d’autres secteurs.
Piratage et logiciels malveillants restent de loin la plus grande (mais pas la seule) menace
Les logiciels malveillants évoluent sans cesse et il devient de plus en plus difficile de les détecter et de les bloquer. Le secteur des services financiers doit donc apprendre à se défendre contre cette menace toujours croissante en déployant les outils de sécurité adaptés.
Au cours des 12 derniers mois, le piratage et les logiciels malveillants ont représenté les principales causes de violations de données dans le secteur des services financiers. Ils sont responsables de 75 % des incidents survenus, soit une légère hausse par rapport à 2018 (73,5 %). En outre, les menaces internes sont passées de 2,9 % en 2018 à 5,5 % aujourd’hui, et la part des incidents liés à des divulgations accidentelles a augmenté de 14,7 % à 18,2 %.
Malheureusement pour les organisations qui ont du mal à mettre en œuvre des mesures de sécurité adéquates, l’adoption croissante du Cloud ne fera probablement qu’exacerber ces menaces. En l’absence de mesures adaptées, le Cloud et les téléphones portables représentent de nouveaux vecteurs d’attaque intéressants pour les hackers.
Certaines organisations ne tirent pas les leçons de leurs expériences passées
Il peut être difficile de maintenir une visibilité et un contrôle adéquats des données, en particulier lorsque les solutions de sécurité mobiles et Cloud appropriées ne sont pas mises en place. L’adoption du Cloud à l’échelle mondiale a atteint 86 %[3] et les politiques de “Bring Your Own Device” (BYOD) ont fait leur chemin dans 85 %[4] des organisations.
Quoi qu’il en soit, les organisations du secteur financier doivent être plus conscientes de la manière dont leurs données sont utilisées. Malheureusement, force est de constater que certaines ne tirent toujours pas les leçons de leurs expériences, et qu’elles souffrent, par conséquence, d’un nombre inquiétant de violations récurrentes. Même des banques très réputées se trouvent au cœur de statistiques peu enviables, comme celles qui ont subi cinq violations distinctes au cours des dix dernières années, ou Capital One, qui en a subi quatre au cours des sept dernières années.
Le coût financier des infractions est de plus en plus élevé
Mauvaise nouvelle pour les organisations du secteur financier : le coût par dossier compromis a augmenté régulièrement au cours des dernières années, qu’il s’agisse de violations mineures ou de méga violations (c’est-à-dire celles qui touchent 100 millions de personnes ou plus). En 2019, le coût par dossier compromis dans le cadre de méga violations est désormais beaucoup plus élevé que celui lié à des violations de taille plus modeste, avec des montants estimés respectivement à 388 et 210 dollars. En outre, Ponemon note que le coût par dossier compromis dans les services financiers dépasse désormais celui de tous les autres secteurs, à l’exception de celui de la santé (429 dollars). Le secteur technologique arrive en troisième position (183 dollars), tandis que le secteur public se trouve en dernière position (78 dollars).
[1] Depuis 2005, le “Centre de ressources sur le vol d’identité” (ITRC) suit les violations de données signalées publiquement aux États-Unis.
[2] Fondé en 2002, le Ponemon institute se consacre à la recherche et à l’éducation indépendantes qui font progresser l’utilisation responsable de l’information et les pratiques de gestion de la confidentialité au sein des entreprises et du gouvernement des Etats-Unis.
[3] Source : Etude Bitglass Cloud Adoption.
[4] Source : Etude Bitglass Bring Your Own Device.
Les plus lus…
Axima Sécurité Incendie, entité d’Equans France, renforce son offre de services et couvre désormais l’ensemble des solutions de protection incendie…
-
L’arrêté du 13 mai 2025, modifiant l'arrêté du 25 juillet 2022 fixant les règles de sécurité et les dispositions…
-
Le 15 juin 1985, un violent incendie se déclare dans un stockage de produits chimiques sur le site de Rhône-Poulenc…
-
Le salon Préventica Paris 2025 se tenait au Parc des Expositions de Paris entre le mardi 10 et le…
-
Le salon Préventica Paris 2025 avait lieu au Parc des Expositions de Paris entre le mardi 10 et le…
-
Le décret n°2025-482 du 27 mai 2025 relatif à la protection des travailleurs contre les risques liés à la…
