Ils ne savaient pas que c'était impossible, alors ils l'ont fait

21/10/2020

Tout cyber-attaquant potentiel qui pense que la Covid-19 a créé une sorte de chasse gardée aux utilisateurs de systèmes technologiques haut de gamme devrait vraiment y réfléchir à deux fois et attendre que l'envie de s'estompe. La protection des clients est en tête de notre liste de priorités et nous travaillons sans relâche pour assurer leur sécurité.

Personne n'aurait pu prévoir ce que le monde entier a vécu ces derniers mois mais le secteur bancaire a été en première ligne dans la lutte pour faire face à la pandémie, reconnaissant rapidement les nouveaux défis à multiples facettes auxquels il est confronté et réagissant en conséquence, s'adaptant selon les besoins.
Selon l'auteur du Mississippi Mark Twain, ils ne savaient pas que c'était impossible, alors ils l'ont fait. Ou, pour reprendre des termes plus corporates : nos clients peuvent être assurés que nous avions le contrôle, que nous l'avons maintenant et que nous continuerons à l'avoir.


Les grands défis de la crise


Nous avons été confrontés à deux problèmes principaux lorsqu'il est apparu clairement que la réponse gouvernementale mondiale à Covid-19 exigerait que nombre de nos collègues du cash management et des paiements internationaux travaillent depuis chez eux. Certains responsables se méfiaient beaucoup des personnes travaillant sans la supervision habituelle.


Le premier était un défi purement opérationnel : comment permettre aux personnes travaillant dans un domaine aussi sensible de le faire. Le second était une prise de conscience de la possibilité d'une augmentation des niveaux de cyber-attaques. Si nous étions certains de ne pas être exposés à un risque excessif grâce aux technologies et aux processus existants, nous devions veiller à ce que tous les risques soient encore atténués.


Nous ne partions pas de zéro, car nous étions déjà équipés pour permettre à un grand nombre d'employés de travailler à domicile un ou deux jours par semaine. Mais nous devions leur donner accès à l'ensemble des fonctions de travail quotidiennes afin qu'ils puissent continuer à travailler et à répondre aux besoins des clients comme s'ils étaient dans leur environnement professionnel habituel. Cela inclut évidemment l'autorisation de paiements très importants, tant aux clients que par les clients.

Sur le premier point, nous avions déjà renforcé les mesures de sécurité concernant la technologie nécessaire pour se connecter aux systèmes internes de la banque, en dissimulant les logs, par exemple, et en ne permettant pas à tout le monde d'ouvrir certaines applications. L'avènement et la diffusion rapide de la Covid-19 nous ont obligés à revoir les processus existants.


Nous avons donc dû ouvrir un nouveau canal de communication avec les autorités de régulation du secteur financier pour discuter des questions de conformité et de risque opérationnel. Les autorités de régulation ont rapidement convenu que la question du risque opérationnel était une question que nous devions aborder et résoudre nous-mêmes.

« Nous sommes rapidement parvenus à la conclusion qu'avec des contrôles et vérifications appropriés, il n'y a pas plus de risque lorsque nos collègues travaillent à domicile que lorsqu'ils travaillent au bureau. »

Il appartenait alors aux professionnels de l'informatique

Il appartenait alors aux professionnels de l'informatique d'expliquer cela aux professionnels du secteur bancaire, et à ces derniers de décider s'ils pouvaient se sentir à l'aise avec le changement. Il s'ensuivit rapidement la décision de n'autoriser que les dirigeants ayant des connaissances approfondies avérées à accéder aux systèmes de la banque depuis leur domicile.


Sur le deuxième point, les cyber-attaques ne sont pas nouvelles. Dans leur forme la plus simple, la présentation de fausses factures, elles sont une relique de l'époque d'avant l'informatique. Nous avions déjà l'habitude de mener des exercices internes à grande échelle pour faire face, par exemple, au phishing (une escroquerie bien connue qui utilise de faux e-mails pour attirer vers des sites web qui ressemblent beaucoup au site d'une entreprise bien connue).


Ces exercices - qui ont pris la forme de fausses attaques et d'exercices - ont été conçus pour sensibiliser le personnel à l'aspect et à la convivialité des cyber-attaques et pour le former à la manière la plus appropriée de réagir.


Ces exercices ont maintenant cessé et tout notre personnel sait que toute attaque qu'il pourrait rencontrer est réelle et doit être traitée comme telle. Nos contrôles ont clairement réduit, entre autres, les risques d'usurpation d'identité et d'acquisition illicite de mots de passe.


Nous avons intégré la pratique consistant à interroger automatiquement toute action de paiement proposée, afin d'établir avant tout si l'action s'inscrit dans les habitudes des utilisateurs. Mais il n'y a pas de place pour la complaisance. Les cyber-attaquants ont tendance à devenir de plus en plus intelligents et nous ne perdrons jamais de vue leur menace permanente.


Dans cet environnement sous pression, l'accent est plus que jamais mis sur l'intelligence artificielle et son rôle clé dans notre industrie. Cependant, quels que soient les systèmes informatiques en place, les personnes et leur jugement éclairé constituent la meilleure forme de défense.

En conclusion


Dans le sillage de la Covid-19, nous avons introduit un certain nombre d'autres procédures défensives spécifiques afin de garantir que les collaborateurs de la banque chargés de la gestion de la trésorerie et des paiements puissent travailler en toute sécurité depuis leur domicile.
Les choses ont changé à cause de la crise. Nous nous sommes adaptés et améliorés et nous continuerons à le faire. La préparation, la formation et la vigilance restent des mots d'ordre essentiels pour offrir toute la gamme des services aux clients.
Il n'est pas exagéré de déclarer que la Covid-19 a accéléré une tendance établie de longue date dans le changement d'attitude à l'égard des pratiques de travail traditionnelles. Il nous a amenés au seuil d'une nouvelle normalité, dans laquelle les collaborateurs peuvent travailler à domicile, à 100 %, en permanence et en toute sécurité, si le besoin s'en fait sentir. Les clients ne remarqueront presque certainement aucune différence dans leurs interactions quotidiennes avec la banque.

 

En savoir plus sur les activités de Transaction Banking

Plus de vues d'experts Sibos 2020

Katy Leclaire Chief Risk Officer Global Transaction & Payment Services
Eric Bendavid Chief Information Security Officer Global Transaction & Payment Services
Cédric Bauer BCM Manager Global Transaction & Payment Services