+
-
Cet article appartient au dossier :

Risque opérationnel

La cyber-menace à l’heure de l’Open Banking : quelle stratégie de défense ?

Face à l’accroissement des risques liés à l’ouverture des systèmes d’informations bancaires, les établissements renforcent leurs outils de prévention et de lutte contre le cyber-risque. Et s’ils mettaient leurs efforts en commun ?

Le 14/06/2018
Florian Schirrer | Léa Pinto | Antoine Le Tacon | David Pilczer | Audrey Delouche

L’open banking concerne l’ouverture des systèmes d'information des établissements financiers et pourrait révolutionner le paysage bancaire actuel. Le partage croissant des données financières et l’interconnexion des infrastructures conduisent à l’émergence de problématiques majeures en matière de risques cyber. À l’ère de la digitalisation des canaux de contact avec les clients et de l’avènement de nouveaux acteurs, la vulnérabilité des établissements bancaires ne cesse de croître. Ouverture des données doit rimer avec protection de celles-ci. Pierre angulaire de la confiance des utilisateurs, les données personnelles bancaires constituent le patrimoine des institutions financières. La DSP2, en exigeant la divulgation, par les banques traditionnelles, des données bancaires de leurs clients, génère des interconnexions croissantes entre les parties prenantes de l’écosystème (Banques, FinTech, Clients). En d’autres termes, le nombre d’interlocuteurs reliés à un client se multiplie – favorisant le risque de propagation d’un logiciel malveillant et inévitablement la probabilité de réussite de l’attaque. A fortiori, les ressources limitées des FinTech insufflent une vulnérabilité importante, ces dernières se focalisant sur l’innovation de l’offre et non le contrôle des risques inhérents à leur activité.

Chiffrer les dommages d’une attaque

En souhaitant dynamiser l’activité bancaire, l’open banking pourrait engendrer des effets indésirables. Une étude des coûts générés par les cybercrimes est nécessaire afin d’appréhender la menace pesant sur les banques. Qu’elles soient directes ou indirectes, les pertes liées aux cybercrimes demeurent significatives (voir Tableau 1).

À titre d’exemple, le départ de clients victimes de l’attaque devrait engendrer des pertes élevées. À l’heure de l’open banking, l’avènement de nouveaux entrants accroît la concurrence. Après une cyber-attaque d’envergure, un transfert de clients entre l’établissement bancaire concerné et d’autres acteurs (FinTech) pourrait survenir.

Appliquées à une grande banque française, les pertes totales peuvent être estimées à 228,87 millions d’euros (8,16 % du résultat net) dans l’hypothèse d’une attaque d’ampleur. Une généralisation des résultats est établie via l’élaboration d’une fonction de dommages (voir équation 1).

Les banques s'arment face aux cyber attaques

Les attaques éprouvant la robustesse des systèmes d’information des institutions financières se multiplient. Désagrément ou aubaine ? Les fournisseurs de solutions (édition de logiciels, prestations de services, production de matériel de cybersécurité et cyberassurance) y trouvent leur compte. Le chiffre d’affaires global du marché devrait atteindre 96,3 milliards de dollars en 2018. À titre illustratif, Thales propose une multitude de solutions dont des prestations d’audit de cybersécurité, de l’aide à l’exploitation en cas d’attaques, des logiciels et du matériel certifiés par l’ANSSI. L’entreprise est chargée de la cybersécurité de 19 des 20 plus grandes banques mondiales et contribue à protéger 80 % des opérations de paiement dans le monde [1].

Les acteurs traditionnels et les nouveaux entrants du secteur bancaire entreprennent le développement de nouvelles technologies afin de proposer des services innovants pour satisfaire les besoins changeants des consommateurs, mais également pour contrer des cyberattaques de plus en plus menaçantes. À titre d’exemple, en 2017, Société Générale a lancé une carte bancaire à cryptogramme dynamique générant un nouveau cryptogramme toutes les 45 minutes. Autre point, la biométrie constitue un remède aux mécanismes d’authentification traditionnels, tels que les mots de passe, dont la sûreté faiblit face aux nouvelles menaces. Par le biais de systèmes opérationnels précis – reconnaissance digitale, faciale, rétinienne, vocale ou veineuse – ces nouvelles formes d’authentification permettent d’optimiser la sécurité des données des utilisateurs. Dès lors, le défi du régulateur est de trouver les dispositifs assurant l’encadrement de ces technologies, sans pour autant freiner leur déploiement par les institutions financières.

Par ailleurs, une approche cyber-résiliente constituerait une première avancée dans la gestion des cyberattaques. La cybersécurité concerne la minimisation des risques et la résolution des failles de sécurité alors que la cyber résilience couvre une logique de prévention (préparation à subir une attaque) et de correction (reprendre l’activité rapidement). La cyber-résilience a pour finalité, en somme, la définition de plans permettant, en cas de cyber-attaque, de maintenir l’activité de l’entreprise. Néanmoins, 77 % des entreprises déclarent [2] qu’elles ne disposent pas de tels plans.

Isolationnisme ou coopération : quelle attitude adopter ?

La réduction des risques n’exclut pas l’existence de ces derniers. Dès lors, il convient de s’interroger sur le niveau de sécurité adapté aux cyber-menaces. Face à l’accroissement des cyber-risques, il semble nécessaire pour les entreprises de coopérer. Renforcer le niveau de cybersécurité au sein de l’organisation, optimiser l'efficacité des plans de réponse et réduire la durée de réaction aux incidents semblent être les principaux objectifs d’une coopération. Malgré ce constat, 54 % des entreprises déclarent [3]ne pas collaborer avec les acteurs de l’écosystème en matière de cybersécurité. Ces dernières justifient cette absence de coopération par des inquiétudes d’ordre concurrentiel, un manque de ressources ou d’incitations. La collaboration entre les acteurs du secteur bancaire est-elle bénéfique pour les firmes participant à l’entente ? À la lumière de différentes stratégies (non-coopération et coopération entre les acteurs), un modèle mathématique est proposé afin de calculer le niveau de cybersécurité optimal et de déterminer le niveau de vulnérabilité et l’utilité espérée associée. La fonction d’espérance d’utilité pour chaque firme i est définie (voir équation 2).

Le modèle considère  entreprises appartenant à un même réseau, l’écosystème bancaire. Il est nécessaire d’adopter une approche en termes de réseau et donc de considérer un panel d’entreprises bancaires afin de prendre en compte les interconnexions croissantes liées à la numérisation de l’économie.

En l’absence de coopération entre les entreprises de l’écosystème (modèle 1), l’équation est formellement résolue sous l’équilibre de Nash. Les modèles 2 et 3 retiennent l’hypothèse de coopération entre les firmes. Ils ne cherchent toutefois pas à répondre à la même interrogation. Le modèle 2 apporte une réponse à la question suivante : A l’échelle individuelle, l’entreprise a-t-elle intérêt à collaborer ? L’utilité retirée en présence de coopération doit nécessairement être supérieure ou égale à celle obtenue en absence de collaboration. Le modèle 3 vise la maximisation de l’utilité espérée de l’écosystème.

Un échantillon de 10 groupes bancaires est retenu (BNP Paribas, Société Générale, BPCE, Crédit Agricole, HSBC, Barclays, Groupe ING, BBVA, UniCredit et Santander).

En collaborant, les banques de l’écosystème voient toutes leur vulnérabilité diminuer (voir Graphique).

En maximisant leur espérance d’utilité individuellement sous l’hypothèse de coopération (M2) relativement à leur situation initiale (M1), la coopération demeure plus profitable pour certains acteurs (voir Tableau 2). À titre d’exemple, Groupe ING voit sa vulnérabilité se réduire de seulement 4,96 %, Barclays de 23,68 %. La maximisation de l’espérance d’utilité de cet écosystème (M3) fait apparaître une asymétrie de traitement. La vulnérabilité augmente pour 50 % des acteurs (BNP Paribas, Crédit Agricole, HSBC, BBVA, Santander) par rapport à M2. Les acteurs restants voient leur degré d’exposition diminuer (uniquement profitable pour ces derniers).

Les banques maximisent leur utilité attendue en coopérant. La stratégie de collaboration (M2) est préférable à l’isolationnisme. Néanmoins, en maximisant l’espérance d’utilité collective (M3), deux banques voient leur utilité attendue se réduire relativement à M1 : UniCredit et Barclays. Dans ce cas, ces dernières refuseront de participer à l’entente bancaire craignant d’être lésées.

Plus concrètement, sous l’ère de l’open banking, une collaboration entre les banques et plus généralement avec l’ensemble des acteurs de l’écosystème financier (FinTechs, chambres de compensation, éditeurs de logiciels, plateforme de paiement, portail clients, etc.) sera une des armes parmi les plus efficaces face aux attaques informatiques : verrouiller au maximum chacun des points d’entrée du SI interne de la banque face à l’ensemble des SI externes qui s’y connectent.

 

[1] Source : Thales.

[2] Ponemon Institute, The Cyber Resilient Organization, 2017.

[3] Ibid.

L'auteur

  • Florian Schirrer, LAB Vertuo
    • Master 224 Banque et Finance de l'université Paris Dauphine
    • Membre
      LAB Vertuo
  • Léa Pinto, LAB Vertuo
    • Master 224 Banque et Finance de l'université Paris Dauphine
    • Membre
      LAB Vertuo
  • Antoine Le Tacon, LAB Vertuo
    • Master 224 Banque et Finance de l'université Paris Dauphine
    • Membre
      LAB Vertuo
  • David Pilczer, Vertuo Conseil
    • Vertuo Conseil
      Consultant senior
  • Audrey Delouche, Vertuo Conseil
    • Consultant senior
      Vertuo Conseil
  • Couv BS 370
    Cet article est extrait de
    Banque & Stratégie n°370

    Open banking

Pour en savoir plus

images
  • Tableau 1. Coûts directs et indirects engendrés par la cyber-sécurité et par une cyber-attaque

    Tableau 1. Coûts directs et indirects engendrés par la cyber-sécurité et par une cyber-attaque

  • Graphique 1. Niveau de vulnérabilité optimal

    Graphique 1. Niveau de vulnérabilité optimal

  • Tableau 2. Niveau d’utilité espérée

    Tableau 2. Niveau d’utilité espérée

Sommaire du dossier

Articles du(des) même(s) auteur(s)

Sur le même sujet