Fondatrice de la société zurichoise de cybersécurité Futurae, Sandra Tobler travaille depuis plus de dix-sept ans dans l’industrie informatique. Elle collabore avec plus de 130 banques, assurances et commerces en ligne dans le monde et leur apporte un soutien en matière d’authentification, de sécurité des paiements et de détection des fraudes.
Selon certains rapports sur la sécurité informatique, les fintechs sont considérées comme des points faibles potentiels. Une réalité?
D’après notre expérience, on ne peut pas le dire de manière aussi générale. Les jeunes entreprises sont, comme toutes les autres, confrontées à des défis en matière de sécurité informatique. Les très jeunes sociétés ont certainement des moyens limités et éventuellement un manque de compréhension pour mettre en œuvre et maintenir des infrastructures de sécurité sophistiquées. Mais il faut aussi souligner que les fintechs ont la possibilité de construire une infrastructure à partir de zéro et n’ont pas de systèmes «hérités» qui doivent être entretenus à grands frais pendant des années.
Lorsque les banques coopèrent avec les fintechs, la sécurité informatique devient également un sujet de préoccupation. Qu’est-ce qui est important?
En premier lieu, il est fondamental que des mesures de sécurité appropriées soient prises en commun pour protéger les données des clients. L’échange permanent est également essentiel pour développer et renforcer les normes de sécurité communes. Les questions relatives à la protection des données et aux accès, à l’authentification, aux plans d’urgence, au cryptage des données et à l’interopérabilité des systèmes sont aussi des sujets importants.
En ce qui concerne l’authentification des clients, nous voyons encore un grand potentiel pour proposer des méthodes plus sûres et plus conviviales. Par exemple, les SMS ne sont plus considérés comme sûrs et entraînent des coûts opérationnels inutilement élevés. Les mots de passe ont également atteint leur apogée et peuvent être remplacés par d’autres options.
Comment peut-on reconnaître la qualité de la sécurité d’une banque ou d’une fintech?
La sécurité absolue n’existe dans aucune industrie. Mais on trouve des indicateurs qui permettent d’évaluer le niveau de sécurité d’une banque ou d’une fintech. Dans le cadre de la collaboration au sein d’organisations, nous voyons souvent très rapidement comment une culture de la sécurité est vécue. Y a-t-il des reproches en cas d’erreurs ou une culture constructive est-elle activement créée afin de détecter ensemble les problèmes de sécurité et de les aborder de manière collective?
Les domaines suivants peuvent également donner un bon aperçu de la culture et de la maturité en matière de sécurité: les certifications de sécurité existantes, comme par exemple ISO 27001 pour la gestion de la sécurité de l’information, mais aussi la conformité avec les dispositions réglementaires, comme PSD2 (Payment Services Directive 2) ou GDPR (General Data Protection Regulation). Citons aussi les technologies de sécurité utilisées, comme le cryptage, l’authentification à deux facteurs et les systèmes de détection d’intrusion. La régularité des audits de sécurité et des tests d’intrusion rentre également en ligne de compte. Enfin, il faut mentionner les programmes de formation continue et de sensibilisation des collaborateurs aux risques de sécurité.
De nombreuses fintechs travaillent avec la technologie blockchain. Est-elle aussi robuste qu’on le prétend?
Les concepts décentralisés sont tout à fait intéressants car ils diversifient le risque de concentration en matière de sécurité. Mais comme pour tout, la blockchain n’est pas toujours sûre dans les applications quotidiennes et ne convient pas à toutes les utilisations. La gestion d’une infrastructure décentralisée peut être très coûteuse et entraîner des latences. Il faut toujours examiner précisément où la technologie blockchain vaut la peine d’être utilisée pour une application et où une simple base de données est suffisante.
Comment le thème de la sécurité informatique va-t-il évoluer à long terme dans les banques?
La sécurité informatique dans le secteur financier est en constante évolution. Les banques doivent être flexibles et adapter en permanence leurs stratégies de sécurité afin de pouvoir réagir aux cybermenaces qui évoluent rapidement. Un sujet passionnant sur lequel nous travaillons est d’envisager la détection des fraudes de manière intégrée sur l’ensemble d’une organisation. Concrètement, nous nous penchons sur l’authentification des clients et la détection des fraudes afin de protéger les services en ligne sans nuire aux clients, tout en répondant le plus rapidement possible aux menaces changeantes.Dans le domaine de la recherche, nous constatons une tendance à l’abandon de la biométrie comme seul critère de reconnaissance au profit de systèmes plus sophistiqués. A l’avenir, des solutions d’analyse et de sécurité basées sur l’IA ou l’apprentissage automatique seront de plus en plus utilisées. Elles détectent les anomalies et les modèles suspects de manière globale.