ANALYSE
 
24/04/2007

Les services financiers face aux risques de sécurité informatique

La sécurisation des systèmes d'information financiers implique de prendre en compte l'ouverture des applications sur des partenaires, des clients, au-delà des salariés. Le RSSI doit adopter une approche globale
  Envoyer Imprimer  

 
En savoir plus
 
 
 

Avec la montée en puissance des réseaux et plus encore de la mobilité et des échanges de données interentreprise, plus aucune société ne peut ignorer les enjeux liés à la sécurité informatique et à ses risques. Mais de par leur positionnement, il est vrai que les acteurs du secteur des services financiers sont naturellement plus sensibles à cette nécessité.

 

Dans une note publiée en début d'année, EDS fait le point sur les grands risques auxquels doivent faire face les services financiers. La société de services identifie plusieurs points critiques liés au système d'information. Selon elle, les établissements doivent notamment répondre à la nécessité légale de se sauvegarder de manière décentralisée les données privées. "Or, les banques ne disposent souvent pas de l'infrastructure pour supporter la bande passante requise à ces transferts, en cas de survenance d'une menace", constate EDS, en insistant sur l'importance de chiffrer les transactions.

 

Autre zone à risque soulignée par la SSII, le développement des terminaux nomades, contenant dans certains cas des informations confidentielles, susceptibles d'être volées ou perdues. Mais également les connections aux systèmes d'information depuis des réseaux sans fil. Là encore, les mécanismes de chiffrement de données ou de flux sont recommandés par les experts d'EDS. Mais qu'ils soient fixes ou mobiles, l'un des principaux enjeux est bien celui de la gestion de l'identité et des accès.

 

Malgré la mise en place de pare feu, de systèmes de gestion des accès et de contrôle d'authentification, des failles persistent dans les systèmes d'information. "Il existe toute une pléiade de solutions permettant de réduire ces risques informatiques", commente Fabrice Pasquier, directeur secteur banque/assurance chez EDS. "Il s'agit par exemple des logiciels détectant les comportements anormaux, tel le branchement d'une clé USB sur un terminal ne disposant pas de ce droit ou un chargement de données depuis un accès non-autorisé."

 

La sensibilisation des utilisateurs au centre de la stratégie

A ces solutions l'expert conseille d'ajouter des systèmes pour renforcer le contrôle d'accès. "Ce qui passe par l'usage de clés, de mécanismes d'identification biométrique, de clés USB pour accéder à son environnement de travail", poursuit Fabrice Pasquier, avant de souligner : "Il n'existe pas de solution de sécurité informatique globale toute faite. Pour les groupes financiers, l'enjeu réside dans la définition d'une infrastructure de sécurité unifiée, avec à la clé l'intégration de ces différentes briques."

 

Comme ailleurs, au-delà des dispositifs de protection, la sécurité du système d'information et l'anticipation des risques liés à cette sécurité repose pour beaucoup sur la sensibilisation et la formation des utilisateurs. "De plus en plus, les banques prévoient des cessions de formation, à la fois pour les nouveaux salariés entrant et pour les prestataires intervenant de façon ponctuelle, en vue de leur transmettre un certains nombre de bonnes pratiques", note Bertrand de Lausun, Directeur des offres banques chez EDS. Le point clé : le bonne usage des données et procédures d'accès.

 

Dans la banque, c'est également les clients qui doivent faire l'objet d'opérations de sensibilisation autour de leurs pratiques d'accès au système bancaire, et des erreurs éventuelles (utilisation de mots de passe trop simples, écriture du numéro d'identification personnel, etc.). Les campagnes de Phishing illustrent bien ce risque. "Les institutions financières doivent informer leurs clients en permanence sur les mesures de sécurité à prendre sur ce point", estime EDS. "Grâce à la participation de groupes comme l'Anti Phishing Working Group, elles peuvent aussi collaborer avec d'autres pour participer à une identification précoce et à la suppression de sites Web de phishing."

 

 
En savoir plus
 
 
 

Dans la définition d'une stratégie d'anticipation des risquesl, il est conseillé au RSSI de s'intégrer à une cellule de coordination globale sur la gestion des risques. "Il existe également des risques non-informatiques associés à la conformité juridique dont la responsabilité est en général déléguée au directeur financier. Avec les risques IT, ils doivent être pris en compte dans une politique globale de gestion des risques et des moyens de les éviter", résume Fabrice Pasquier.

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages