Aspect métier de la cybersécurité et expérience utilisateur : les services financiers exemple de réseaux de confiance
Dans le contexte de cyberattaques permanentes que nous connaissons depuis quelques années, les secteurs de la banque et de la finance font office d'exemples. En effet, la cybercriminalité fait peser un risque financier lourd sur les entreprises et la crise actuelle nous apporte aussi bien l'augmentation des attaques et des fraudes que le besoin de financement. Mettre en œuvre les moyens pour diminuer ces risques est donc nécessaire.
Cela ne veut pas dire que ces secteurs sont exempts de tous reproches et de toutes failles. Bien sûr, ils en subissent et il faut concéder qu’elles ne sont pas forcément médiatisées. Toutefois, ces secteurs sont tout de même mieux équipés pour faire face aux divers risques, sécuriser non seulement les outils mais aussi les processus et anticiper les différents types d’attaques. Mais sur quelles bases repose cette sécurisation ? Quels sont les secrets dont les autres secteurs pourraient s’inspirer ?
Le réseau de confiance : le rôle des métiers en matière de cybersécurité
Dans un écosystème commercial, comme dans tout type d’échange, la confiance est un pilier. Et l’une des forces de l’écosystème financier est la construction d’un réseau de confiance. Tous ont conscience de l’importance de la sécurisation, aussi bien des outils que des processus en place, de chaque membre du réseau et des flux financiers, car les enjeux sont de taille. Une seule faille peut fragiliser l’ensemble du réseau.
En effet, les outils ne suffisent pas, il faut aussi penser les processus et sensibiliser les collaborateurs. C’est ici qu’intervient l’aspect métier de la cyber-sécurisation. Car n’oublions pas que les erreurs humaines sont les premières failles qui permettent aux hackers d’entrer dans un réseau. Au-delà donc de la conformité des outils logiciels et de leurs audits réguliers, la mise en place de mécanismes de contrôle joue un rôle important de sécurisation et de protection des organisations. Pour le secteur financier il s’agit de créer des « white lists » de tiers autorisés ou des « black lists » pour identifier et stopper les flux financiers en provenance ou à destination des organisations illicites, d’attribuer différents niveaux de validation de paiements et les circuits de signature électronique ou de mettre en place des processus de vérification de l’identité des payeurs/acheteurs.
Un hacker réussira toujours à entrer et un fraudeur réussira aussi à frauder. Tout l’enjeu est de détecter les anomalies le plus tôt possible. La veille sur les nouveautés en matière de fraudes et de cyberattaques fait également partie de l’aspect métier de la sécurisation, et la mise en commun des informations au sein de son écosystème participe à la construction du réseau de confiance, quel que soit le secteur.
Sécurité et expérience client : le point d’achoppement
L’environnement réglementaire est très important dans le système, notamment pour la traçabilité des opérations mais aussi parce que la dématérialisation l’impose. Si les plateformes SaaS sont étanches entre les clients d’un même fournisseur, leur fonctionnement est collaboratif dans un écosystème qui intègre des filiales, une maison-mère et des partenaires financiers. La gestion et le contrôle des paiements au service de collecte et de distribution des informations bancaires tient compte des différents standards protocolaires (SwiftNet, EBICS, sFTP …) ou des normes de fichiers domestiques ou internationaux (SWIFT, SEPA, ISO XML, CFONB, AEB, …) sans compter la mise en place de KYC (l’authentification forte du client) pour être conforme avec la DSP2. L’usage et l’évolution des nouveaux standards de ce monde du Saas et des services connectés donnent de nouvelles perspectives globales aux entreprises, comme la conquête de nouveaux marchés et une mise en œuvre plus rapide et globale de services en ligne. Toutefois, l’un des défis majeurs est d’organiser leurs processus commerciaux et de services (BPO) dans un cadre organisationnel interne/externe et juridique sécurisé et fiable.
Rajouter des couches supplémentaires de validation, mettre en place les standards et l’authentification d’identité ne permet pas, à ce jour, une expérience utilisateur optimale. Cependant, toute perte de confiance aurait des conséquences importantes sur la capacité de l’économie mondiale et des entreprises à répondre au défi de la numérisation des secteurs d’activités. Le secteur financier a été le plus méfiant vis-à-vis des technologies Saas, mais il s’y ouvre petit à petit. Les partenaires doivent apporter les preuves de leur niveau de sécurisation pour intégrer les réseaux en place mais c’est aussi le cas des clients qui pourraient être victimes de fraudes ou d’attaques.
La communication interne et externe est clé dans la réussite de la lutte contre les cyberattaques. Par exemple, certains sites de e-commerce préfèrent favoriser le parcours client en réduisant les points de frictions au moment du paiement, mais cela se fait au détriment de la sécurisation de ce dernier. La communication envers le consommateur final est donc également cruciale en attendant de trouver le bon équilibre entre le parcours client et la sécurité.
Aujourd’hui, il existe plusieurs méthodes respectant la directive Eidas qui permettent de garantir son identité numérique et de renforcer l’authentification. Le gouvernement français a par exemple mis en place le système France Connect permettant de s’authentifier auprès de plusieurs entités du service publique avec un seul identifiant. On pourrait imaginer qu’un travail similaire pour le secteur privé vienne garantir non seulement l’authenticité de l’identité mais aussi la sécurité des utilisateurs sans alourdir leur parcours.