Pour Fabien Jacquier, co-fondateur de Kyos, mieux vaut sécuriser les données elles-mêmes plutôt que de tenter de protéger l’ensemble des réseaux.
Pas une semaine ne se passe sans qu’une nouvelle attaque informatique ou un vol de données ne se produisent. Données sur les personnes vaccinées insuffisamment protégées ou piratage de fichiers clients de compagnies aériennes, les exemples se succèdent. A quels risques faut-il être attentif dans le domaine financier et quels sont les mesures à prendre? Entretien avec Fabien Jacquier (FJ), co-fondateur, et Grégory Roux (GR) associé de Kyos, une société de conseil informatique basée à Genève spécialisée dans la cybersécurité qui conseille des entreprises telles que Aduno, BonusCard, Cornèr Banca, Postfinance ou l’UBS Card Center.
FJ: Beaucoup de choses ont bien sûr changé en deux décennies. Un aspect clé est la généralisation de l’utilisation de l’informatique en nuage, plus communément appelé le «cloud», à la fois pour le stockage et l’accès aux données. Cela a eu un impact énorme sur la façon dont doivent être appréhendées les questions en lien avec la cybersécurité. Au début des années 2000, l’idée était de créer une sorte de muraille autour de l’entreprise. En 2021, l’approche est très différente: les données peuvent être accédées aussi bien depuis l’entreprise qu’au domicile du collaborateur ou en déplacement. Les données sont donc en partie stockées sur les serveurs de l’entreprise, en partie sur le cloud voire parfois sur l’ordinateur personnel des employés.
GR: En corollaire, cette souplesse augmente aussi drastiquement la «surface d’attaque» pouvant être potentiellement exploitée par les hackers. Il faut être d’autant plus vigilant étant donné que ces derniers agissent aujourd’hui de manière beaucoup plus sophistiquée que par le passé: les hackers ne sont plus des personnes isolées derrière leur ordinateur mais ils agissent de plus en plus en réseau; il s’agit de vraies organisations.
permet toujours au gouvernement d’accéder à des données à certaines conditions.
FJ: Plutôt que de tenter de protéger l’ensemble de l’environnement informatique de l’entreprise, une des solutions consiste à sécuriser la donnée elle-même. Pour utiliser une image: auparavant, on essayait de placer une sorte de grillage tout autour de l’entreprise. Maintenant, on sait que le grillage est ouvert – on va alors plutôt se concentrer sur le contrôle de son accès en fonction de l’endroit où elle se trouve, via des solutions de chiffrement et d'autorisation.
GR: On revient à la question du choix de ce que l’on va sécuriser. Faut-il sécuriser les canaux via lesquels ces données sont distribuées et consultées ou alors plutôt les données elles-mêmes? Aujourd’hui, la tendance va plutôt dans le sens de sécuriser la donnée elle-même.
FJ: Les cabinets d’avocats ont toujours accordé beaucoup d’importance à cet aspect mais c’est le cas aussi des administrations, des organisations internationales et bien entendu aussi des sociétés actives dans la finance ou l’industrie. Historiquement, ce sont les établissements bancaires qui disposaient des plus gros budgets consacrés à la sécurité – entretemps, ils ont été rattrapés par d’autres. A l’intérieur du secteur bancaire, les banques privées y consacrent aussi davantage de moyens que les banques de détail.
FJ: Il faut tenir compte des spécificités de chaque pays. Les Etats-Unis mettent à disposition d’importantes capacités de stockage mais le «Patriot Act» permet toujours au gouvernement d’accéder à des données à certaines conditions. Dans l’UE, le cadre est plus favorable du point de vue de la protection des données, notamment suite à la mise en place de la RGPD qui a été un vrai accélérateur en la matière, y compris pour la Suisse. Enfin, en Suisse, les données sont protégées par la LPD, à laquelle s’ajoutent les règlementations cantonales. Mais, quelles que soient les réglementations en place, le point le plus important est de toujours savoir où se trouvent les données de l’entreprise ou de ses clients.
des solutions simples pour éviter des problèmes durant la phase de déchiffrement.
FJ: La FINMA n’impose pas aux banques que leurs données soient nécessairement stockées en Suisse. Son exigence est différente: les données personnelles des clients ne doivent pas pouvoir être accédées par des gens qui n’y sont pas autorisés.
FJ: Je dirais que toutes les sociétés financières ont pris les devants en matière de cybersécurité - aussi bien les nouveaux acteurs les plus à la pointe dans les techniques numériques que les établissements bancaires plus traditionnels, à l’exemple de PostFinance. PostFinance propose désormais aussi bien des services de mobile banking que des systèmes de paiements certifiés comme Twint. Même si certains établissements traditionnels sont actuellement un peu «challengés» par les sociétés fintech, les points essentiels à protéger restent les mêmes: il s’agit avant tout d’assurer la sécurité des transactions financières. En effet, à la différence d’autres secteurs, l’enjeu consiste non seulement à protéger les données en général mais aussi à assurer que la transaction financière soit réalisée correctement. Différents risques sont à éviter: une transaction peut être détournée au profit d’un tiers, son montant peut être modifié. Pour toutes ces raisons, les données relatives à une transaction doivent être protégées à l’aide de techniques de chiffrement.
GR: Nous avons aussi beaucoup de demandes de la part de ces nouveaux acteurs. Si ces sociétés ont souvent d’excellentes compétences dans des domaines très pointus, elles ne disposent pas de tous les moyens que les «vraies» banques ont à leur disposition. Au contraire, beaucoup de start-up sont aussi des clients potentiels pour nous.
FJ: Le déchiffrement est toujours quelque chose qui a fait peur. Néanmoins, il existe des solutions simples pour éviter des problèmes durant la phase de déchiffrement. Par exemple, on peut découper la clé de déchiffrement en quatre ou cinq parties qui sont elles-mêmes entreposées dans différents endroits sécurisés. Ou alors, on peut placer la clé de déchiffrement dans un endroit ultra-sécurisé.
GR: L’important est toujours que la solution choisie soit simple. Si vous demandez à des utilisateurs d’employer un mot de passe de 32 caractères avec des minuscules, des majuscules et des caractères spéciaux, c’est bien là qu’il y a des chances qu’ils notent le mot passe sur un post-it collé à côté de leur ordinateur ! Mieux vaut alors utiliser, par exemple, un mot de passe sous forme d’une phrase, plus facile à retenir, ou mettre en place une authentification à double facteur.