Une authentification forte moderne pour les services financiers

Les banques commerciales et de détail, les sociétés de courtage ou encore les banques d'investissement sont mises au défi de moderniser leurs activités afin de rester compétitives.

Les organisations de services financiers sont engagées dans une transformation numérique, accélérée par le paysage grandissant des cyberattaques et les exigences des employés et des clients dans le contexte de la pandémie mondiale de COVID-19 ; à savoir élargir la présence numérique, en ligne et mobile, et améliorer la sécurité sur ces canaux.  Or, en l’absence de solutions appropriées pour garantir des contrôles d’accès sécurisés, les services financiers sont exposés à un risque accru de cyberattaque et de non-conformité potentielle, avec notamment la PCI-DSS et le RGPD.

Les organisations de ce secteur ont été prises pour cible de manière disproportionnée par les cyberattaques depuis le début de la pandémie de COVID-19. La Banque des Règlements Internationaux a même souligné l’existence d’un lien étroit entre la généralisation du télétravail et l’incidence des cyberattaques et le cyber-risque dans le secteur financier.

Les nouvelles réglementations et normes en matière de protection des données financières ainsi que de la vie privée des consommateurs sont en phase avec la transformation digitale et l’évolution du paysage des risques. Chaque nouvelle réglementation introduit davantage de clarté et de précisions sur les contrôles d’accès. Toutefois, si ces cadres vont dans le sens d’un renforcement des exigences en matière d’authentification, le deuxième moteur reste le client final.

L’acquisition et la fidélisation des clients reposent sur des concepts tels que la confiance, la sécurité, la commodité et la personnalisation. Une cyberattaque, bien que coûteuse du point de vue de la réglementation et de la récupération, peut avoir un effet dévastateur sur la perte de clientèle : il s’agit bien souvent du coût indirect le plus important associé à une violation de données. La crainte de la fraude augmente dans tous les secteurs, le phishing et les escroqueries liées à la chaîne d’approvisionnement figurant parmi les principales préoccupations.

Un paysage de cyberattaques en évolution

Le secteur des services financiers fait l’objet de cyberattaques constantes en raison de la quantité considérable d’informations financières et d’identification personnelle (IIP) stockées, et de la possibilité d’en tirer des gains importants. Le COVID-19 a accentué à la fois le volume et le type d’attaques, 80 % des établissements financiers interrogés signalant une augmentation des cyberattaques. Parallèlement à cette augmentation des attaques, le travail à distance a fait apparaître de nouvelles vulnérabilités, notamment les réseaux domestiques non sécurisés, les appareils dépourvus de correctifs, les ordinateurs partagés et les mots de passe faibles ou réutilisés.

Les employés des services financiers qui effectuent quotidiennement des opérations à haut risque et de grande valeur sont souvent la cible des cybercriminels. Les informations d’identification sont le type de données le plus recherché dans la phase initiale d’une cyberattaque, les cybercriminels se déplaçant latéralement pour trouver des données ou compromettre des systèmes. 61 % des violations de données peuvent être retracées d’une manière ou d’une autre à partir des informations d’identification. Dans les services financiers, un employé a accès à près de 11 millions de fichiers dès son entrée en fonction ; pour les grandes organisations financières, ce chiffre est multiplié par deux.

Les cyberattaques peuvent avoir des conséquences dévastatrices, notamment des changements de taux d’emprunt, des défaillances informatiques et des interruptions d’activité, des atteintes à la réputation, des coûts d’ordre réglementaire et juridique, des frais de récupération en cas d’attaque par ransomware ou encore la perte de propriété intellectuelle.

Bien que les institutions financières aient été les premières à adopter les solutions d’authentification à deux facteurs (2FA), telles que les codes SMS, les mots de passe à usage unique (OTP) et les notifications push, l’authentification mobile n’offre pas une sécurité optimale. Elle est vulnérable aux prises de contrôle de comptes, au phishing, aux logiciels malveillants, au SIM Swapping et aux attaques de type "man-in-the-middle".

Le risque grandissant lié à la chaîne d’approvisionnement

En 2020, des pirates ont infiltré des milliers d’organisations, notamment en créant une porte dérobée dans le logiciel SolarWinds Orion, qui a installé à son tour un logiciel malveillant pour espionner plus de 18 000 clients de produits. L’attaque est passée inaperçue pendant des mois, notamment parce que les cybercriminels ont utilisé la méthode d’attaque de la chaîne d’approvisionnement pour se déplacer latéralement entre les systèmes et obtenir des privilèges supplémentaires, une technique de plus en plus courante dans le secteur financier.

Dans le cas de SolarWinds, et de presque toutes les cyberattaques, les compromissions portent sur des informations d’identification, des clés et des secrets partout où ils peuvent se trouver. Une fois que l’attaquant parvient à obtenir un accès initial à l’environnement de la victime, il diversifie ses accès afin de maintenir une emprise durable.

L’authentification, au-delà de la conformité réglementaire

Dans ce contexte, les établissements financiers modernes se tournent vers l’authentification forte pour mieux se protéger, se préparer à un environnement réglementaire plus strict, mais aussi pour renforcer leur compétitivité dans la bataille visant à acquérir et à fidéliser les clients qui cherchent à faire fructifier leur patrimoine à long terme.

Aujourd’hui, les établissements financiers doivent composer avec un consommateur dont la "foi et l’engagement" ont été impactés par une pandémie mondiale, l’agitation sociale, l’incertitude économique et la crainte croissante de la fraude. Face à la multiplication des cyberattaques, une structure d’authentification solide offre bien plus qu’une simple conformité réglementaire : elle procure un avantage concurrentiel.

Les organismes qui cherchent à développer et à soutenir leur clientèle s’efforcent de mettre en place rapidement une authentification sûre et facile à utiliser. L’objectif est de veiller à ce que les collaborateurs à distance se connectent en toute sécurité aux réseaux et que les services hébergés dans le cloud ne laissent aucune brèche dans laquelle les cybercriminels pourraient s’engouffrer. De plus, la confiance et la fidélité des clients reposent sur le dépassement de leurs attentes à chaque interaction. Dans cette quête, il est nécessaire que les établissements financiers soient en mesure de garantir à leurs clients une authentification forte de type double facteur ou multi-facteurs, dans le cadre de transactions digitales, sans avoir besoin d’un smartphone et sans être exposé aux risques associés à l’authentification mobile