Cybersécurité dans les banques et assurances : Quels sont les enjeux et les leviers ?

Face aux cyberattaques toujours plus nombreuses, les entreprises n’ont d’autre choix que d’intégrer des solutions de cybersécurité. Si les acteurs de tous les secteurs sont touchés, certains comme les banquiers et les assureurs sont plus impactés que d’autres. Quels sont les enjeux de la cybersécurité dans les banques et assurances ? Quels sont les défis à relever en matière de sécurité informatique ? Quels sont les leviers dont disposent les établissements bancaires et assurantiels pour se prémunir des cyber risques ? On fait le point.

Secteur financier et assurantiel : particulièrement exposé aux cyberattaques

Si toutes les entreprises représentent de potentielles victimes de cyberattaques, les banques et compagnies d’assurance sont certainement les plus exposées à la cybercriminalité.

Elles représentent une cible de premier choix pour les pirates informatiques. Selon le rapport “Global Wealth 2019” de Boston Consulting Group (BCG), les services financiers subissent 300 fois plus de cyberattaques que les entreprises d’autres secteurs.

Une recrudescence des cyberattaques contre les services financiers 

Ces dernières années, le secteur bancaire et assurantiel doit faire face à une recrudescence des cyberattaques, notamment du fait de l’accélération de la digitalisation. 

Selon l’étude “Global Banking Fraud Survey 2019” réalisée par le cabinet de conseil, d’audit et d’expertise comptable KPMG, plus de 60 % des établissements bancaires signalent une hausse des volumes de fraude et plus de 50 % constatent une augmentation de la valeur de la fraude. 

Plus récemment, l’agence de notation financière Moody’s confirme cette tendance en s’appuyant sur les chiffres issus du rapport du bureau d’études spécialisé VMware Carbon Black. Entre février et avril 2020, le nombre de fraudes contre les institutions financières a triplé (+ 238 %) suite au développement du télétravail imposé par la pandémie. De même, les tentatives de vol de données personnelles ont été multipliées par 9. 

Ces résultats n’ont rien de surprenant étant donné que la digitalisation de ces secteurs s’accélère et que les principales infrastructures de marché (systèmes de règlement, services de paiement, chambres de compensation…) sont dématérialisées. L’amplification de la surface numérique augmente nécessairement le risque d’exposition aux cyberattaques.

Principales menaces pour la cybersécurité dans les banques et assurances

En matière de cybersécurité, les menaces sont protéiformes. 

Les banques et assurances sont confrontées à différents types d’attaques, externes et internes, comme par exemple :

• Hameçonnage (phishing). Cette méthode a pour objectif d’obtenir les données bancaires ou personnelles des clients (numéros de carte de crédit, mots de passe, RIB…). Ils reçoivent un sms ou e-mail frauduleux pour les inciter à communiquer de type d’informations sensibles.
• Pharming. Cette technique de piratage informatique consiste à rediriger les utilisateurs du site d’une banque ou d’une assurance vers un faux site internet. L’objectif : voler les informations confidentielles nécessaires aux transactions en ligne.
• Déni de service (Distributed Denial of Service DDoS). Ce type d’attaque est dirigé contre le serveur web qui héberge le site. Le but est de le perturber, voire le rendre inaccessible, en envoyant un nombre de requêtes supérieures aux capacités maximales du serveur pour le saturer. Le pirate informatique peut alors exiger une rançon pour débloquer le site. 
• Fraudes ou négligences d’employés internes.
• Cybercriminalité en tant que service (CaaS). Moyennant finance, les cybercriminels proposent leurs services et leurs logiciels malveillants à quiconque a pour projet de lancer une cyberattaque. 

Compromission d’emails professionnels (Business Email Compromise BEC). La fraude au président est la plus courante. Le pirate usurpe l’identité d’un donneur d’ordre de la banque pour demander à un salarié d’effectuer un transfert de fonds frauduleux (à destination du fraudeur).

La cybersécurité dans les banques et assurances : un enjeu majeur

Face à de telles menaces, assurer la cybersécurité devient une préoccupation majeure pour les acteurs du secteur des assurances et des banques, avec 3 enjeux principaux.

1.    Protéger les données clients

En cas de vol de données personnelles, les hackers ont accès aux comptes bancaires des clients victimes. Une porte grande ouverte pour subtiliser la totalité des fonds en quelques minutes seulement.

La protection de ces données sensibles est donc une priorité en matière de cybersécurité.

2. Prévenir les pertes financières

Une cyberattaque peut avoir de lourdes conséquences financières pour les banques et assurances : remboursement coûteux des sommes volées aux clients, réduction de la marge bénéficiaire, réévaluation des fonds propres prudentiels exigés par l’autorité compétente (Banque Centrale Européenne par exemple)…

En investissant dans la cybersécurité, les établissements bancaires et assurantiels limitent les risques (de faillite bancaire par exemple) et minimisent les pertes potentielles d’actifs financiers.

Le saviez-vous ? Selon IBM Security, le coût moyen d’une brèche de données s’est élevé à plus de 5 millions d’euros en 2019 pour le secteur financier, prenant en compte plusieurs facteurs de nature économique, juridique, technique et réglementaire.

3.             Préserver la réputation de la banque/assurance

Dans ces 2 secteurs, la pression concurrentielle s’est intensifiée ces dernières années, notamment avec l’apparition des néo-banques et néo-assurances. 

Les consommateurs ont donc l’embarras du choix. Une compagnie d’assurance ou une banque victime d’une cyberattaque perdra sa crédibilité auprès de ses clients. Pour ne pas risquer de voir leur argent et leurs données personnelles tombées entre de mauvaises mains, ils préféreront choisir un concurrent.

Avec une cybersécurité optimale, les établissements bancaires et assurantiels s’imposent comme des professionnels dignes de confiance. 

Banques et assurances : les principaux défis à relever en matière de sécurité informatique 

1. Trouver un juste équilibre entre praticité et sécurité

La cybersécurité dans les banques et les assurances est essentielle, aussi bien pour les établissements concernés que pour leurs clients. Mais elle ne doit pas pénaliser l’expérience client. 

Le risque : voir une partie des détenteurs d’un compte bancaire ou des assurés se tourner vers un concurrent avec des réglementations et processus moins stricts et moins contraignants.

Les banquiers et assureurs doivent donc trouver le bon équilibre entre un confort d’utilisation optimal et une sécurité suffisante.

2. Anticiper pour gérer efficacement les risques de cyberattaques

Même si un établissement bancaire ou une compagnie d’assurance est équipé de systèmes de sécurité et d’outils de détection performants, il est impératif de les tester régulièrement.

L’objectif : détecter d’éventuelles failles face à de nouvelles menaces toujours plus complexes afin d’apporter des actions correctives ou d’investir dans un système plus sécurisé.

Mieux vaut anticiper pour limiter les cyber risques plutôt que de devoir les gérer en urgence.

3. S’adapter aux évolutions constantes des menaces

Les cybercriminels font évoluer leurs techniques de piratage pour contourner les mesures mises en place par leurs cibles. Ils développent notamment des logiciels toujours plus sophistiqués.

L’un des principaux défis dans le secteur bancaire et assurantiel est donc de mettre à jour en permanence les protocoles de cybersécurité et les systèmes de protection en misant sur les dernières innovations technologiques (intelligence artificielle, cryptage des données…). C’est la condition sine qua non pour se défendre efficacement sur le long terme.

Comment se prémunir contre les cyber risques ?

Voici plusieurs pistes pour lutter avec efficacité contre les cyberattaques dans le secteur des banques et assurances.

Miser sur les bons outils et les technologies de pointe

Face à des fraudes toujours plus sophistiquées, l’intensification du recours à l’intelligence artificielle est bien évidemment une réponse efficace, à la hauteur des procédés complexes mis en œuvre par les hackers. Mais ce n’est pas le seul levier à actionner en matière de cybersécurité.

Dans un avenir proche, les banques et assurances devront associer technologies avancées et mesures de sécurité optimisées comme :

• Le renforcement des méthodes de vérification d’identité pour un niveau de sécurité optimal. L’authentification multifacteur (MFA) devrait être systématisée. Elle nécessite 3 identifiants clés : un mot de passe ou une réponse à une question secrète (ce que le client sait), un code reçu par sms ou par e-mail (ce que le client possède) et un facteur biométrique comme les empreintes digitales ou le visage (ce que le client est).
• L’authentification adaptative. Il s’agit d’analyser en temps réel si une transaction financière effectuée en ligne est en phase avec les habitudes d’un client (montant de retraits, fréquences…). Si un changement de comportement est détecté, une authentification forte sera requise.

L’objectif est d’adopter une approche proactive pour anticiper et limiter les risques de fraude.  

Sensibiliser les clients à la cybersécurité et aux risques

Même le système de sécurité le plus sophistiqué ne peut pas empêcher un client mal informé par les cyberrisques de divulguer ses données personnelles en cas de phishing, pharming ou toute autre tentative de vol d’identité.  

La meilleure arme contre ce type de cybercriminalité reste la formation des utilisateurs à détecter les signes qui doivent les alerter. L’envoi de newsletters ponctuelles par exemple permet de les sensibiliser régulièrement. Plus les clients sont préparés et informés, plus ils éviteront de se laisser piéger. 

Trouver et attirer les profils experts en cybersécurité 

Face à la sophistication des cyberattaques et à l’évolution constante des technologies (systèmes d’information…), la cybersécurité est l’affaire d’experts avec des profils très variés, mais aux compétences pointues en cryptographie, sécurité du Cloud computing, IA, tests d’intrusion, gestion des incidents de sécurité informatique, analyse des fraudes… L’accélération de la digitalisation dans tous les secteurs entraîne un besoin croissant de ces profils à l’expertise spécifique, de plus en plus recherchés et rares. 

Heureusement, des solutions existent pour faire face à cette pénurie de talents : miser sur l’externalisation et le sourcing de prestataires externes spécialisés en cybersécurité. 

Mais sans disposer d’un bon réseau, cette recherche peut être chronophage pour les responsables d’achats de prestations intellectuelles. De même, il peut être difficile de trouver des experts de confiance. Pour faciliter toutes les démarches, faire appel à un leader de la recherche et de la mise en relation entre entreprises et indépendants, est la bonne alternative. 

Avec une communauté de 370 000 partenaires fiables, Freelance.com met à la disposition des acteurs du secteur banques et assurances son large réseau de techniciens qualifiés en cybersécurité. Selon les besoins (IA, management des risques cyber…), nous sélectionnons les profils adaptés après avoir pris soin de vérifier leurs savoir-faire. Qu’il s’agisse d’une mission ponctuelle (test d’intrusion) ou sur le long terme, nous sommes en capacité de répondre à tous les enjeux et dans des délais très courts (en moins de 24 h avec le portage salarial). Notre plateforme dédiée permet une mise en relation simple, directe et rapide. 

Grâce à notre offre de services sur mesure (contractualisation, facturation, gestion de sous-traitance…), nous pouvons accompagner nos clients de A à Z pour garantir la réussite de leurs projets de cybersécurité.

Assurer la cybersécurité dans les banques et assurances est une priorité à l’heure où les cyberattaques lancées contre les acteurs de ce secteur sont en constante augmentation. Les enjeux sont importants : limiter les pertes financières, protéger les données sensibles de leurs clients et préserver leur notoriété pour garder la confiance de leur clientèle dans un contexte particulièrement concurrentiel.