!css

Protection

La protection, qu’il s’agisse de personnes, de biens matériels ou immatériels, fait référence à la fois à « être protégé » et à « protéger ». La distinction est importante, en effet, l’acte « être protégé » est clairement passager – la protection demande une adaptation constante aux risques. Rien ne dure sauf le changement . Durant la crise des subprimes, de nombreux banquiers et investisseurs pensaient que c’était la fin du monde. Il s’est avéré que c’était bien la fin du monde mais du monde tel qu’ils le connaissaient ou tel qu’ils avaient pu l’imaginer.

La réglementation source de protection

Cette crise a été un véritable déclencheur pour les régulateurs, qui se sont sentis obligés de rendre le marché plus transparent, les intermédiaires plus responsables et les investisseurs mieux protégés en mettant en place de nouvelles réglementations.

Il est certain que la plupart de ces réglementations étaient nécessaires, même si l’on peut débattre de l’efficacité ou de la pertinence de certaines. Une chose est sûre : les réglementations ne suffiront pas.

Il est impossible que les régulateurs puissent suivre le rythme de l’innovation technologique, mais ils peuvent contribuer à responsabiliser les acteurs

Dara Khosrowshahi
DG de Uber , Davos 2017

Définir et évaluer la protection

Par conséquent, les investisseurs et les intermédiaires devraient remettre en question leurs choix et réévaluer le niveau de protection espéré, ou plus précisément, le niveau de risques qu’ils sont prêts à accepter.

Évaluer son appétence au risque et sa position relative n’est pas chose facile : échappé, leader, lanterne rouge ou dans le peloton (le juste milieu1  ou la voie médiane2) ? Cela a des incidences sur le niveau de protection obtenu.

Il est aussi nécessaire d’évaluer le niveau de protection qu‘offrent clients et fournisseurs ainsi que le degré de confiance qui leur est accordée.

Par exemple, pour le choix d’un partenaire bancaire, il est normal d’analyser en profondeur les services qu’elle offre, sa position sur le marché, la structure de son capital et sa solidité globale.

Des changements fondamentaux

Jusqu’où fait-il pousser ce questionnement ?

Est-ce que certains fondamentaux, jusqu’alors immuables, doivent être remis en question ? Par exemple, faut-il remettre en cause le système de confiance basé sur l’état, sa constitution et ses lois et le système judiciaire ?

L’émergence d’une nouvelle génération de citoyens du monde technophiles est confortée par la technologie de la blockchain qui permet d’établir un système de confiance au sein de groupes mondiaux sans aucun tiers de confiance.

Une telle technologie peut-elle changer fondamentalement nos organisations et faire disparaître nos systèmes nationaux ? Et si cela arrivait, quand aurait lieu cette révolution ?

Ou des changements graduels

Est-il possible que cette révolution s’effectue par changements incrémentaux ?

La numérisation progresse tout comme les techniques numériques. Le développement de l’externalisation et le recours général à des moyens tels que le cloud computing (ou « informatique en nuage ») ou encore « tout en tant que service3 » entraîne une forte dépendance vis-à-vis des fournisseurs tiers à qui l’on a confié des processus-clés et des données confidentielles.

Ces fournisseurs peuvent à tour de rôle dépendre d’autres fournisseurs en créant un réseau d’interdépendances qui peut s’avérer être à la fois une force mais aussi une faiblesse, selon la façon dont il est organisé.

L’impact sur l’entreprise

La moindre défaillance de protection peut entraîner des coûts directs pour une organisation. En raison d’une surexposition médiatique, un petit échec peut engendrer un risque de réputation majeur. C’est pour cette raison que les chargés de communications doivent impérativement être impliqués dans la gestion de crise, aux côtés de la direction générale, des opérationnels, de l’informatique, et des départements risques, juridique et conformité.

Vers une responsabilité individuelle

Tous les régulateurs considèrent que la responsabilité d’entreprise n’est pas suffisante. Ils introduisent de plus en plus une responsabilité individuelle allant parfois jusqu’à la responsabilité criminelle.

Cela signifie qu’il n’y a aucune délégation de responsabilité lorsque l’on fait appel à la sous-traitance.

La répartition des opérations

Après les notions de sauvegarde, plan de secours et plan de continuité d’activité a émergé le concept de résilience.

Si tous les moyens de production et tout le personnel d’un centre d’activité devaient être inopérants, l’objectif d’un plan de résilience est de finir les opérations en cours le jour même et de reprendre les opérations à un niveau de 75% sur d’autres centres d’activités dès le jour suivant.

Pour atteindre un tel niveau de continuité, au moins trois centres de d’activités sont nécessaires, avec la possibilité de répartir les opérations entre eux, et surtout sur chaque centre d’activité du personnel excédentaire, ou du personnel disponible mobilisable et opérationnel immédiatement.

Lorsque des activités vitales ou essentielles sont externalisées, les règles devraient être celles de la résilience. Il faudrait utiliser différents fournisseurs avec la possibilité de basculer rapidement les opérations de l’un à l’autre. Et évidemment les niveaux de services de ces fournisseurs doivent faire l’objet d’un contrôle permanent.

En août 2015, une montée de version du logiciel Sungard Invest-one à BNY Mellon a créé une corruption de données qui a entraîné des erreurs dans la valorisation de 1 200 fonds pendant une semaine.

Les institutions financières telles que bny mellon sont censées superviser leurs prestataires tiers et prévoir un plan de secours en cas d’incident, ceci est particulièrement important lorsqu’un prestataire tiers réalise une fonction essentielle qui peut impacter les petits investisseurs

William Galvin
Secrétaire du Commonwealth au Massachusetts

Sécurité

Les mots clés les plus courants pour la sécurité de l’information sont authentification4, intégrité5, confidentialité6, scalabilité7, traçabilité8, disponibilité9 et parfois même exhaustivité10. Pour chacun de ces domaines, il y a des risques potentiels, que les données soient stockées ou échangées.

L’augmentation du flux d’échanges de données sur des réseaux fait de la cybersécurité un enjeu majeur.

Dans l’industrie bancaire, la messagerie la plus sécurisée du monde, SWIFT, a été utilisée en 2015 et 2016 pour voler des centaines de million de dollars de la banque centrale du Bangladesh11.

Dans l’union européenne, la directive NIS12 (Network and Information Security) qui devrait être transposée dans les droits nationaux avant le 9 mai 2018, a pour but de dynamiser la sécurité globale. De la même manière, la réglementation générale pour la protection des données personnelles (RGPD)13 a été créée pour protéger les données privées de tous les citoyens européens, pour leur offrir un droit de regard sur leurs données personnelles et pour revoir la manière dont les données sont protégées dans toute l’union européenne.

La préparation

Le piratage de données est inéluctable.

Si la cupidité est la première motivation des hackers, il arrive aussi que ces attaques soient motivées par le goût du risque, le quête de gloire ou le soutien à une « cause » spécifique. C’est la raison pour laquelle il faut se préparer à tous les scénarii d’attaques possibles, envisager les ripostes et organiser des répétitions, afin d’être prêt le jour où cela arrive.

La culture d’entreprise comme prévention

Il est estimé que dans deux cas sur trois (67%)14, les piratages sont liés à un ou des employés de l’entreprise, ou ses consultants.

Ainsi la première façon de contrer le cybercrime est de créer une culture d’entreprise pour essayer d’empêcher qu’il soit commis ou au moins pour que ses effets soient réduits.

L’ingénierie sociale, c’est 75% du travail des hackers, et pour les meilleurs hackers, c’est plus de 90%

John McAfee
founder of McAfee Associates
(1) Théano (femme de Pythagore). (2) (Gautama) Buddha. (3) Modèle XaaS, « en tant de service », en anglais ‘Data, Software, Platform, Desktop, Anything as a Service’ (4) Usurpation d’identité, la plus connue. Phishing à l’inverse est une usurpation d’identité où les hackers prétendent être une entreprise afin de récolter des informations sensibles sur leurs clients. (5) Données corrompues ou trempées. Par exemple, un changement de bénéficiaire effectif des actifs. (6) Accès non autorisé à des données ou vol de données. Un numéro de sécurité sociale et une date de naissance peut se vendre à plus de 10 euros sur le darknet. (7) Impossibilité de gérer les volumes (parfois inclus dans les contrôles de disponibilité). (8) Capacité de surveiller qui a fourni ou changé l’information, telle une piste de vérification. (9) Pas ou peu d’accès à l’information. Par exemple, lorsque l’attaque « Denial of Service » a pour objectif de saturer un serveur ou d’empêcher d’autres utilisateurs d’y accéder. Ce type d’attaque est souvent utilisé comme leurre ou pour cacher des attaques simultanées. (10) Un fichier de données sans valeurs erronées ou manquantes. (11) en.wikipedia.org/wiki/2015%E2%80%932016_SWIFT_banking_hack.%20 (12) DIRECTIVE (EU) 2016/1148. (13) REGULATION (EU) 2016/679. (14) Source Deloitte Enjeux Cyber 2018.
Directeur marketing stratégique Société Générale Securities Services