La sécurité dans le secteur financier – De qui relève-t-elle?

En dépit de la réglementation croissante au sein du secteur financier à l’échelle mondiale, la fraude et les risques connexes continuent de croître, et ce, à un rythme effarant. On a récemment cité l’agence Thomson Reuters qui affirme que « la réglementation croissante n’est pas qu’un défi temporaire pour les institutions financières mondiales, il s’agit d’une nouvelle réalité. »

En outre, les coûts liés à la conformité sont en hausse. Selon un récent article du Financial Post* : « les analystes affirment que beaucoup d’embauches au sein des institutions financières sont liées à la gestion du risque et à la conformité. Généralement, ce type de poste n’est pas générateur de revenus et Moody’s prévoit que la hausse des coûts réglementaires aura des répercussions sur les perspectives de rentabilité des banques. »

Parallèlement, le secteur financier connaît une innovation sans précédent dans l’ensemble de ses domaines d’activité, de l’expérience du consommateur à la base de l’infrastructure TI. Ces innovations génèrent de nouvelles occasions liées à la transformation numérique. Celles-ci visent à rationaliser les coûts d’exploitation des systèmes existants tout en offrant des services client intelligents qui procurent un avantage concurrentiel.

Ce qui nous amène à poser la question suivante : en regard de ces risques accrus, de la réglementation croissante et de l’innovation numérique, qui détient la responsabilité de s’assurer que les données financières et personnelles sont en sécurité?

La réponse est simple : tous les principaux acteurs du secteur financier, y compris les consommateurs, les fournisseurs de services financiers et les intégrateurs de systèmes, en sont responsables.

Consommateurs

Il est impératif pour nous tous, à titre de consommateurs, de nous assurer que nous savons de quelles façons nos données financières et personnelles sont recueillies, transmises, entreposées et utilisées par les institutions financières. Assurer la sécurité de notre identité et de nos données doit être une priorité clé et nous devons nous inculquer les meilleures pratiques pour y arriver.

Fournisseurs de services financiers

Dans le secteur financier, les chefs de la sécurité de l’information détiennent une grande responsabilité, mais Forester’s* a une suggestion pour eux : « Cessez de déployer tant d’efforts. » Les chefs de la sécurité de l’information devraient plutôt se concentrer sur deux aspects fondamentaux.

• Le service informatique devrait être propriétaire des contrôles de sécurité de base. Cette exigence peut nécessiter, entre autres, des activités de modernisation et de nouveaux services pour faire en sorte que les flux des données sont définis et surveillés par les TI à toutes les étapes. Une gestion solide et vigilante des réseaux est une chose. Cependant, un développement de code robuste, des pratiques de vérification du code, et une certification des offres sont des procédures qui doivent être intégrées aux activités de base.
• Les dirigeants des fonctions d’affaires devraient être habilités à satisfaire les besoins des clients tout en répondant aux normes de sécurité exigées. Ils devraient notamment investir dans les innovations de sécurité qui couvrent le spectre complet de la gestion des activités commerciales, notamment la conformité aux réglementations, aux lois et aux normes de l’industrie qui s’appliquent.

Pour atteindre ces deux objectifs, les chefs de la sécurité de l’information doivent demeurer au fait du contexte actuel des menaces, posséder une connaissance approfondie des activités et de l’environnement TI de leur organisation, et exercer une diligence raisonnable. Les exigences relatives à la norme de diligence raisonnable ont été légèrement resserrées aux États-Unis à la suite d’une décision récente de la United States Court of Appeals for the Third Circuit prononcée contre Wyndham (piratée à maintes reprises en 2008 et 2009). Selon la décision rendue, la Federal Trade Commission des États-Unis « peut poursuivre des organisations qui exercent des pratiques déplorables en matière de sécurité des TI, particulièrement les entreprises qui ont subi plus d’une atteinte à la sécurité ayant compromis les données des consommateurs. »

Demeurer au fait du contexte actuel des menaces, attirer les ressources appropriées et les fidéliser, avoir recours aux meilleures technologies à valeur ajoutée et exercer une diligence raisonnable seront des défis constants pour tous les fournisseurs de services financiers. Le conseil « cessez de déployer tant d’efforts » s’applique également à eux; ils devraient faire appel à des fournisseurs externes qui sont des experts dans leur domaine et possèdent de l’expérience au sein d’environnements à fournisseurs multiples afin de se concentrer plutôt sur leurs activités principales.

Intégrateurs de systèmes

Souvent oubliés, les intégrateurs de systèmes informatiques constituent néanmoins des acteurs importants. Les environnements à fournisseurs multiples que sont les écosystèmes financiers constituent désormais la norme. Le logiciel service (SaaS), la plateforme service (PaaS) et autres technologies provenant de fournisseurs multiples sont tous, à des degrés divers, intégrés aux offres et aux systèmes financiers. Une connexion sécurisée de toutes les données est essentielle pour chaque système de paiement, application commerciale, institution financière et commerçant.

Les paiements en temps réel nécessitent les normes les plus exigeantes en matière de disponibilité des services. Celle-ci ne doit pas être compromise lors du transfert des données de l’infrastructure d’une institution à une autre. Le rôle de l’intégrateur de systèmes est essentiel pour assurer la disponibilité et se conformer de la manière la plus stricte à la norme de diligence raisonnable. Partager le fardeau de la diligence avec un intégrateur fait partie des nombreux avantages d’avoir recours à une expertise spécialisée.

La sécurité dans le secteur financier fait actuellement partie des défis les plus urgents à relever. Chaque acteur, qu’il s’agisse du consommateur, du fournisseur ou de l’intégrateur, joue un rôle essentiel pour s’assurer que la diligence raisonnable est exercée à chaque étape d’une transaction financière et que le plus haut niveau de sécurité est maintenu. Le secteur financier peut faire des progrès importants en matière de réduction des menaces de sécurité si chaque intervenant met l’accent sur ces éléments.

*en anglais