Sécuriser les nouveaux services financiers
La numérisation des services financiers est porteuse d'immenses opportunités pour la place financière et revêt une importance majeure pour l'avenir des banques, de l'industrie de la gestion d'actifs et des fournisseurs de services financiers luxembourgeois en général. L'Association des Banques et Banquiers Luxembourg (ABBL) a mis sur pied, en début d'année, un cluster dont la mission est d'élaborer et de diffuser les savoir-faire numériques et FinTech et de partager l'information sur les initiatives en ces matières. U&Us est allé à la rencontre de Jean Hilger qui est appelé à diriger le cluster Digital Banking and FinTech Innovation de l'ABBL durant les deux prochaines années.
Le secteur financier est l’un de ceux présentant les plus fortes spécificités: large champ d’activité - banque, gestion d’actifs, assurance - aux processus uniques, fortement réglementé, grand consommateur de services informatiques et, par là même, candidat de choix pour la transformation numérique. Dans ce contexte, quel rôle le cluster est-il appelé à jouer ?
"Le cluster s'est donné trois objectifs principaux. Son premier objectif est de développer des connaissances pratiques à tous les niveaux parmi les organisations membres de l'ABBL. La sensibilisation au phénomène FinTech est déjà élevée dans la communauté des services financiers et l'on pourrait penser que tout a déjà été dit. Mais le cluster veut aller plus loin et développer une connaissance en profondeur afin de permettre à ses membres d'évaluer les différents modèles FinTech et d’appliquer de nouvelles technologies au sein de leurs propres organisations."
"Nous travaillons ainsi, avec la House of Training, à créer des cours sur l’analyse de données, les technologies blockchain, la transformation numérique et la cybersécurité qui seront ajoutés au catalogue des formations offertes aux employés du secteur financier. Nous mettons également en place des formations et des présentations spécifiques pour les membres des directions et les cadres intermédiaires, à commencer par les propres structures de l'ABBL."
"Le deuxième objectif du cluster est de renforcer la collaboration sur les règlements avec les régulateurs, comme la CSSF ou la CNPD, afin de garantir que les opportunités offertes par les nouvelles technologies et les efforts du Luxembourg pour se positionner à la pointe des services financiers numériques soient suffisamment pris en compte."
"Ce que nous visons en troisième lieu est en fait un ensemble de réalisations à court terme qui doivent être mises en œuvre cette année. Par exemple, nous sommes en train de développer une base de données des entreprises FinTech qui sont liées d'une manière ou d'une autre au Luxembourg et d'organiser des sessions de pitching thématiques avec nos membres afin que les nouvelles solutions qu'offrent les entreprises FinTech puissent être directement évaluées par leurs collaborateurs. De manière plus ambitieuse encore, nous allons entamer un projet de recherche avec l'Université du Luxembourg, convaincus que l'ABBL peut contribuer à des solutions industrielles de pointe et qu'elle a un rôle à jouer dans le renforcement de l'écosystème de connaissances du Luxembourg autour de solutions FinTech hautement sophistiquées."
Quels sont les principaux risques et défis auxquels doit s'attendre le secteur bancaire compte tenu de la transformation numérique rapide des services financiers ?
"De toute évidence, il sera difficile d'embrasser toutes les possibilités offertes par la transformation numérique des services financiers. Le principal défi est de comprendre et d'analyser les avantages et la résilience des nouveaux modèles économiques et de mettre en œuvre des technologies de pointe qui nécessitent de nouveaux niveaux de connaissances dans nos organisations. Cela ne semble guère nouveau, mais la vitesse du changement effectif et l'élan fourni par les nouvelles technologies ont augmenté, ce qui donnera aux primo adoptants un avantage en termes d'expérience et de parts de marché."
"Les banques en particulier doivent examiner de plus près les nouveaux services financiers fondés sur les données, qui créent de la valeur aussi bien pour les clients que pour les fonctions de gestion des risques en s'appuyant sur l’analyse de données. La technologie blockchain est une autre tendance importante à garder à l'esprit. Blockchain a la capacité de désintermédier les processus complexes, à la manière des monnaies virtuelles qui contournent les systèmes de compensation traditionnels pour les paiements. Enfin, la cybersécurité reste une question fondamentale dans la mesure où ces nouveaux services, basés sur le traitement des données et les télécommunications, demandent à être sécurisés pour mériter la confiance des clients."
Dans son dernier rapport consacré aux services financiers[1], la firme spécialisée Websense relève qu'au niveau mondial, les incidents en matière de sécurité sont trois fois plus fréquents dans ce secteur que dans les autres industries. Les recherches de Websense révèlent aussi un haut degré de spécialisation parmi les criminels qui s'en prennent aux services financiers ainsi qu'un énorme investissement dans les phases préparatoires des attaques. Les cybercriminels semblent disposer aujourd'hui d'un arsenal sophistiqué et même de véritables commanditaires pour soutenir et financer leurs actions. Quelles contre-mesures le secteur financier luxembourgeois oppose-t-il à des attaquants de plus en plus performants ?
"La mise en place de systèmes de cyberdéfense est clairement devenue l'une des premières priorités des banques et de l'ensemble de la place financière. Les directions ont bien mesuré l’impact potentiel d’attaques de cybercriminels et le risque de réputation pour leurs établissements. Nous observons, depuis quelques années, une professionnalisation de la sécurité informatique qui ne se limite pas à la surveillance des outils de banque numérique, mais analyse les risques cybersécuritaires encourus par toutes les activités d’une institution financière. Cela va de pair avec une augmentation des ressources: personnel spécialisé, exercices de contre-mesures, budgets dédiés, audits spécialisés et révisions régulières des mesures de sécurité."
Quelle est l'incidence des autorités de régulation sur la gouvernance de la sécurité de l'information? Pouvons-nous considérer que la menace exercée par des cyberattaques d'une ampleur et d'une virulence croissante agit comme un moteur pour faire progresser la gestion du risque opérationnel vers une plus grande maturité ?
"La cybersécurité est en effet considérée par les organismes de tutelle comme un risque majeur. Les banques systémiques, par exemple, doivent directement rapporter à la Banque Centrale Européenne de Francfort quant à leur capacité à répondre aux risques de cybersécurité. Le niveau des exigences et la précision de leurs demandes égale - ou du moins s’inspire de - certaines contraintes de sécurité militaire."
Pensez-vous que les décideurs politiques évaluent à sa juste mesure le danger que représentent les cybermenaces? Avons-nous besoin d’un cadre réglementaire mieux adapté pour soutenir les mécanismes de défense de l’industrie et des autorités de surveillance ?
"Je pense que les autorités publiques sont bien conscientes des menaces, de leurs formes ainsi que des contextes en évolution permanente. Elles ont déjà apporté à cette problématique une réponse institutionnelle nationale à travers des alliances européennes et la création d'un centre de recherche universitaire dédié, notamment. Cependant la surface d’exposition d’un pays aux risques de cybersécurité connaît une croissance exponentielle. Si les services financiers ont toujours été un secteur fortement informatisé et connecté - et ainsi exposé aux risques – il faut aujourd'hui ajouter à cette IT traditionnelle la Technologie Opérationnelle comme les services d’approvisionnement, le transport, l’énergie, les services d’ordre public, les services de santé, la gestion de l’eau et toutes les industries qui sont en train de mettre en place l’Internet of Things. L’ère de la cybertranquilité n’est pas encore advenue."
[1] 2015 Industry Drill-Down Report - Financial Services, Websense Security Labs