+
-
Cet article appartient au dossier :

Données sensibles

Les banques ne sont pas encore prêtes pour le cloud

Les établissements bancaires européens ont amorcé leur migration vers le cloud, sans avoir nécessairement pris en compte tous les risques liés.

Le 16/01/2019
Guillaume Garbey

Depuis 2016, les banques européennes passent des contrats de cloud public – principalement avec AWS (Amazon Web Services) pour les plus modernes d'entre elles, nées avec le digital – ou des contrats de cloud privé – le plus souvent avec IBM, fournisseur historique de la plupart de leurs systèmes d’information et mainframes [1]. Il n’y a guère que les banques suisses et luxembourgeoises qui se montrent encore réticentes, et ce en raison d'exigences légales particulièrement contraignantes, émanant respectivement de la Finma (Autorité fédérale de surveillance des marchés financiers) et du CSSF (Commission de surveillance du secteur financier).

Le tabou lié au cloud est tombé dans les milieux de la finance lorsque les prestataires ont pris des engagements concernant l’encadrement juridique et l’isolation des données avec le reste du monde, notamment grâce à des datacenters situés en Europe. Pour autant, la stratégie de migration, le respect des réglementations internationales, ainsi que des aspects plus pointus comme les données non structurées ou les droits d’accès, sont des domaines non encore maîtrisés, générateurs de risques, et qu’il est urgent d’encadrer.

Des stratégies de migration insuffisamment élaborées

Pour savoir quelles données ou traitements peuvent aller dans le cloud, il faut au préalable conduire un projet de classification et d’inventaire exhaustif. Or, dans le cadre des audits que nous menons, nous avons pu constater dans la plupart des cas que des données à caractère sensibles sont stockées sur des espaces en ligne ouverts, comme OneDrive, ce qui ne devrait jamais arriver. Nous l'interprétons comme le signe que la classification n’est jamais complète. Ces données sont des informations à caractère personnel, bancaires ou liées à la propriété intellectuelle.

Migrer dans le cloud implique aussi de déterminer, en amont, une stratégie de stockage pour se conformer aux réglementations. Or, c’est là que le bât blesse : le stockage en cloud étant réputé bon marché, les banques imaginent qu’elles n’auront plus jamais de contraintes de place, et elles ne se préoccupent pas de faire le ménage. Elles se retrouvent dès lors à conserver des demandes de crédit ou des constitutions de dossiers d’assurance, qui fourmillent de données à caractère personnel, au-delà des délais autorisés par les réglementations.

Il existe à ce titre deux facteurs aggravants :

  • ces informations sont, dans 80 % des cas, des données non structurées (v. infra), c’est-à-dire de simples fichiers comme des exports Excel ou des scans de pièces justificatives ; elles sont particulièrement complexes à gérer, car il faut les ouvrir pour identifier leur nature ; c'est un travail pharaonique s'il est fait manuellement ;
  • d’autre part, ces fichiers sont éparpillés au point qu’il est difficile de déterminer qui a le droit d’accéder à quoi et que la traçabilité imposée par les réglementations devient impossible.

Enfin, la stratégie de migration des données doit prévoir de couvrir les vulnérabilités propres au service cloud dans lequel elles seront hébergées. Bien évidemment, il faut circonscrire l’exposition sur Internet, ainsi que les nouveaux modes d’accès, notamment depuis des mobiles.

Mais le point le plus important est celui des nouveaux usages et, en particulier, les nouvelles possibilités de partage d’information avec des tiers extérieurs. Nous avons ainsi pu voir que des salariés des banques ont tendance à partager leurs données dans des espaces OneDrive sans restriction de délai et avec des liens anonymes : quiconque se voit donner le lien peut accéder aux données. Le problème ? Les collaborateurs oublient, au fil du temps, qu’ils ont partagé ce lien et ajoutent dans cet espace de stockage de nouveaux documents, à l’attention d’autres partenaires, sans se rendre compte que les utilisateurs précédents y ont toujours accès.

Pour toutes ces raisons, la stratégie de migration des données dans le cloud doit prévoir un mécanisme pour déterminer la nature des fichiers, créer des alertes lors des partages, détruire les liens automatiquement au-delà d'un certain délai et retracer l’historique des accès.

Le design technique, pour se conformer à toutes les réglementations

Respecter les réglementations nécessite de spécifier des règles de sécurité techniques et juridiques dans un contexte mondialisé, où les grandes banques opèrent sur tous les continents. La difficulté est d’aller au-delà du RGPD européen : il faut également prendre en compte tous les détails du privacy shield sur l’échange de données entre l’Europe et les États-Unis, le Consumer Privacy Act en Californie, etc. Le respect de toutes ces réglementations – qu’il s’agisse de contraintes légales (localisation des données, confidentialité, réglementations spécifiques à certaines données…) ou pratiques (disponibilité, réversibilité, portabilité…) –, restreint l’usage de certains services en cloud, voire interdit la collaboration avec certains hébergeurs. Or, plusieurs mois après l’entrée en vigueur du RGPD, nous observons que plusieurs entreprises peinent encore sur ces points.

La bonne pratique consiste en une approche dite de privacy by design, c’est-à-dire la préparation des services et des données avec un design technologique qui assure leur sécurité en amont de leur mise en cloud. Cela implique des efforts de développement pour que les services minimisent le stockage de données clients, le nombre d’accès et le délai de rétention. Pour qu’ils soient automatisés, ces services doivent embrasser l’intégralité des données et des droits d’utilisation, mais aussi connaître la sensibilité de tous les contenus et les risques auxquels ils exposent.

Les risques à prendre en compte sont :

  • la perte de gouvernance sur le traitement, lorsqu’il est pris en charge par une application externe ou une chaîne de sous-traitance ;
  • la dépendance au fournisseur de service cloud ;
  • les défauts d’isolation, de délai de rétention et de droits d’accès des données.

Même si les réglementations comme le RGPD ne concernent que les informations personnelles des clients, les banques auraient tout à gagner à encadrer de la même manière l’ensemble de leurs données. Elles en tireront le bénéfice de pouvoir mieux les organiser et, par conséquent, de les rendre plus facilement conformes aux réglementations futures.

Données non structurées et comptes fantômes

S’il est assez simple de protéger les données prises en charge par les processus automatiques des bases de données ou de certaines applications, la grande majorité des informations sensibles résident dans les fichiers et les e-mails des collaborateurs ; on les appelle « données non structurées ». Selon les analystes d'IDC, groupe mondial de conseil et d'études sur les marchés des technologies de l'information, ces données non structurées augmentent plus vite que les autres et représenteront 93 % des informations d’ici à 2022.

Outre des données personnelles, les fichiers et les e-mails contiennent des plans stratégiques et des analyses confidentielles. Or, selon une récente étude de Forrester, seuls deux directeurs de la sécurité sur cinq savent localiser ces données et les classer selon leur contenu. C’est un paradoxe pour les banques : selon une étude du spécialiste de la sécurité des systèmes d'information Kaspersky, elles dépensent trois fois plus de budget en cybersécurité que les autres grands groupes, mais, majoritairement, elles ne maîtrisent pas la sécurité de ressources que les pirates visent en priorité.

La question de la sécurité des e-mails et des fichiers soulève celle des droits d’accès des utilisateurs, car ce sont eux que les pirates exploitent pour infiltrer et dérober les informations. Par principe, les collaborateurs qui ont besoin de certaines données pour travailler devraient être les seuls à y avoir accès. Dans les faits, l’étude Data Risk Report 2018 de Varonis montre qu’en moyenne, 41 % des collaborateurs ont accès à au moins 1 000 fichiers sensibles et 58 % à plus de 100 000 dossiers, sur lesquels aucune restriction d’accès n’est posée.

Parmi ces collaborateurs, se trouvent notamment des comptes fantômes, c’est-à-dire des comptes utilisateurs que l’on a oublié de détruire après le départ de leur titulaire et dont les pirates pourraient prendre possession sans que personne ne s’en rende compte. La non-destruction de ces comptes relève d’un problème de communication interne : dans des organisations aussi grandes que les banques, il est compliqué, pour les services concernés par le départ d’un collaborateur, d’en référer rapidement à la direction informatique, d’autant que celle-ci doit valider l’information avec la DRH qui, elle-même, peut mettre du temps à actualiser ses informations. Les pirates, en revanche, sont passés maître dans l’art de se tenir au courant de tels mouvements et savent exploiter les droits laissés vacants pour mener des actions d’infiltration qui, techniquement, paraîtront tout à fait légitimes. La seule solution est donc d'imposer en interne une discipline stricte sur les droits d’utilisation, pour définir qui, parmi les collaborateurs, est propriétaire de quoi.

 

 

 

 

[1] Ordinateurs de grande puissance de traitement servant d'unité centrale dans les très grandes entreprises.

L'auteur

Sommaire du dossier

Sur le même sujet