Les banques et les assurances doivent repenser leur modèle de sécurité à l’heure du travail hybride

Paris La defense

Paris, le 12 avril 2022 – Le Forum des Compétences, cercle d’échanges entre banques et assurances, et Proofpoint, leader mondial de la cybersécurité et de la mise en conformité, publient aujourd’hui un rapport sur l’impact du travail hybride sur la cybersécurité des entreprises dans la banque et assurance. Le groupe de travail « Évolution du modèle de sécurité dans les entreprises » a été mis en place en 2020 pour réfléchir aux risques liés à la généralisation du travail à distance, au développement, déjà engagé, de la transformation digitale, et à l’utilisation de plus en plus fréquente de services en ligne telle que les solutions Cloud.

Un changement de paradigme accentué par le contexte de crise

La pandémie de Covid-19 a donné lieu à un bouleversement profond et brutal des méthodes de travail. Les banques et assurances ont dû prendre des mesures difficiles, souvent dans l’urgence, pour assurer la continuité du travail, même depuis la maison.

Les interactions clients se sont largement déplacées en ligne plutôt qu’en agence, ouvrant la voie à de nouveaux risques par l’utilisation de messageries instantanées non sécurisées, un plus grand volume d’échange de données sensibles (par exemple les justificatifs envoyés en pièces jointes pour une demande d’emprunt ou d’assurance vie), ou encore le recours aux applications mobiles bancaires. Sur ce point, les chercheurs de chez Proofpoint ont récemment révélé que les attaques sur smartphone avaient augmenté de 500 % en 2021, démontrant bien les vulnérabilités créées par ce nouveau paradigme, et largement exploitées par les cybercriminels.

Quelles implications pour le secteur des banques et des assurances

Si le secteur financier reste l’un des mieux équipés structurellement en termes de cybersécurité (selon le rapport State of the Phish 2022), le contexte géopolitique actuel montre aussi les limites de ce système. L’intrication du système financier à l’international signifie que les collaborateurs basés dans les pays à risques seront les premières cibles de spear phishing.

Pour Pierre Poulain, Contrôleur Général et Chef de l’Inspection de la Banque de France, « comme rappelé dans la dernière évaluation des risques du système financier français, publié par la BDF en décembre 2021, le système financier doit continuer de s’adapter pour faire face à la transformation numérique des pratiques, et aux risques cyber. Le Forum des Compétences et ses travaux, dont ce dernier livrable, sont là pour accompagner les acteurs français du secteur ».

Loïc Guézo, Directeur, Stratégie Cybersécurité pour l’Europe du Sud, le Moyen-Orient et l’Afrique (SEMEA) chez Proofpoint, commente : « À travers ces travaux, il apparaît clairement qu’une véritable prise de conscience des changements rapides s’est enclenchée. L’ensemble du secteur financier doit désormais réfléchir encore plus sérieusement à la réponse qu’il peut apporter aux menaces cyber, transformer la façon de considérer la relation client, le rapport aux institutions et le niveau de confiance accordé aux systèmes d’information ».

Xavier Boidart, Président du Forum des Compétences, ajoute « Pour faire face à l’ampleur du paysage de la menace, une nouvelle trajectoire doit être définie par tous les acteurs du secteur financier, en tenant compte de ces spécificités, mais aussi des obligations légales grandissantes liées à la cybersécurité. Ce rapport inédit offre des pistes de réflexion et d’action, comme la mise en place du modèle Zéro Trust, pour aider ces acteurs à faire évoluer leur modèle de sécurité ».

Le rapport « Évolution du modèle de sécurité » est disponible sur le site du Forum des Compétences : https://www.forum-des-competences.org/nos-publications/evolution-du-modele-de-securite-dans-les-entreprises.html

 

#####

À propos du Forum des Compétences

Le Forum des Compétences est une association regroupant des experts en sécurité des systèmes d'information (SSI) et en continuité d'activité (CA), des organismes bancaires et assurances sur la place. Son objectif de travail est de mettre en place une compétence globale sur la cybersécurité de tous les acteurs, afin d'élever ce sujet au rang de Culture d’entreprise.

Pour ce faire, le Forum des compétences met en place des groupes de travail sur des thèmes spécifiques en accord avec l'actualité cyber. Ces groupes de travail réunissent les experts des banques et assurances concernés par le sujet, et sont généralement encadrés par un prestataire de service, leader dans ce domaine. Ces travaux se concluent par la publication d'un livrable.

Ainsi, en relation avec les instituions d'état, le Forum des compétences a obtenu l'aval de l'ANSSI, la CNIL et de la FFA, confortant le haut niveau de l'ensemble des échanges. De ce fait, seuls les organismes majeurs parmi les banques et assurances comptent comme membres du Forum. D'ailleurs, depuis de longues années, la Banque de France est un de ses membres d'honneur.

 

À propos de Proofpoint, Inc. 

Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risques des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris plus de la moitié des entreprises de l’index Fortune 1000, font confiance à Proofpoint pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d'informations, rendez-vous sur www.proofpoint.com/fr.   

Restez en contact avec Proofpoint : Twitter | LinkedIn | Facebook | YouTube | Google+

Proofpoint est une marque déposée ou un nom commercial de Proofpoint, Inc. aux États-Unis et/ou dans d'autres pays. Toutes les autres marques commerciales contenues dans ce document sont la propriété de leurs détenteurs respectifs.