Comment les banques s’arment face aux cyber attaques : Quid des solutions

Dans ce troisième et dernier volet, nous avons tenté de dresser un panorama des solutions technologiques existantes, permettant aux banques de mieux de prémunir contre les cyber attaques.

Broker d’accès sécurisé aux applications Cloud, Blockchain, Machine Learning, biométrie, cryptogramme dynamique : La liste n’est certes pas exhaustive, mais elle offre les pistes les plus prometteuses en terme de cyber sécurité.

Cloud Access Security Broker – CASB- : Protéger les services Cloud à tous les niveaux

Certaines banques, comme la BNP et la société Générale ont migré partiellement leurs systèmes vers le Cloud, en laissant leurs collaborateurs accéder à de multiples référentiels de données. Si le maillon faible du Cloud ne réside pas tant dans son architecture, c’est bien à celui  des millions de dispositifs et d’applications qui accèdent à ses ressources. D’où l’intérêt des brokers d’accès sécurisés. Ces brokers agissent comme des hubs de contrôle placés entre les utilisateurs d’une entreprise et les services de Cloud qu’ils utilisent, pour renforcer la politique de sécurité à tous les niveaux (applications, données, utilisateurs…). Les Cloud Access Security Broker – CASB- permettent d’améliorer la visibilité des applications Cloud et de lutter contre le Shadow IT. Sans nécessité de SIEM, ils proposent aux décideurs, sous formes de tableaux de bords,  une vision globale de l’utilisation des applications afin de leur  permettre de mieux détecter et corriger les menaces dans le provisionnement et l’utilisation des applications.  Ils permettent aussi de mieux gérer les identités des utilisateurs de Cloud en proposant un système d’authentification unique (SSO), et de mieux contrôler les accès aux applications en définissant des politiques d’accès par appartenance à un groupe, par localisation géographique ou par niveau d’équipement. Le CASB agit aussi au niveau de la protection des données : identification, catégorisation en fonction du niveau de la criticité et de la sensibilité des données, et capacité à mettre en œuvre des politiques de sécurité à l’image d’un DLP. Ils se doivent de proposer des solutions de chiffrements adaptés à ces niveaux de criticité. Il existe deux types d’architectures pour les brokers d’accès sécurisés : celles reposant sur de l’intégration d’APIs (incluant l’intégration d’applications connectées de type marketplaces) et celles reposant sur l’analyse de proxy.  Selon Forester, seules les CASB combinant intégration d’APIs et analyse de proxy (forward/reverse) sont capables d’adresser l’ensemble des problématiques de sécurité dans le Cloud (trafic de données inter-Cloud, utilisateurs non reconnus, application Cloud natives ou données stockées dans le Cloud…). Parmi les principaux CASB du marché, on notera CloudLock (Cisco), Cyphercloud et BlueCoat (Symantec)

Blockchain: vers une sécurité 100% distribuée

La Blockchain est la technologie sur laquelle s’appuie la crypto-monnaie Bitcoin, apparue en 2009. Mais alors, pourquoi ce regain d’intérêt ? La Blockchain permet aux membres d’un même réseau d’effectuer des opérations de stockage et de transmission d’informations, appelées transactions, sans autorité centrale de contrôle. Elle se présente sous la forme d’un registre contenant l’ensemble des transactions enregistrées depuis sa création, qui est distribué aux membres du réseau, rendant quasiment impossible sa modification par un membre, sans l’aval de tous le réseau. Au sein du registre, les transactions sont regroupées dans des blocs enchainés par ordre chronologique. La Blockchain dispose de qualités de sécurité intrinsèques : son caractère décentralisé et distribué permet une disponibilité forte du système, la traçabilité est assurée par la conservation de toutes les transactions dans le registre, et l’intégrité est garantie par les mécanismes cryptographiques.

C’est donc naturellement que les acteurs du monde de la finance s’y intéressent. Selon l’étude « Blockchain Technology: From Hype to Reality » [1]plus de 80% des banquiers interrogés s’attendent à voir l’adoption commerciale de la technologie Blockchain se concrétiser d’ici 2020 et la moitié des institutions financières indiquent avoir déjà investi ou prévoient d’investir dès 2017 dans cette technologie. Les principaux cas d’utilisations concerneront les paiements transfrontaliers, la gestion de l’identité numérique, la compensation et le règlement, la gestion des lettres de crédit et la syndication de prêts. Les banques Emirates NBD et ICICI Bank vont ainsi utiliser la Blockchain dans le cadre des virements internationaux et des financement commerciaux. En France, la BNP Paribas travaille à la création d’une plateforme de gestion de titres accessibles aux entreprises non côtées, sur une blockchain privée. En dépit de cet engouement, la Blockchain est un modèle qui est encore loin d’être parfait. De par sa nature distribuée, il demeure en effet très consommateur de ressources. À titre d’exemple, le réseau Bitcoin permet d’enregistrer environ 7 transactions/s, à comparer aux 2 000 transactions/s de VISA. De plus, il s’avère très consommateur en énergie. La consommation électrique actuelle du réseau Bitcoin est équivalente à celle de 280 000 foyers américains. Côté sécurité, de plus en plus d’attaques sur des environnements Blockchain sont constatées, avec des fraudes s’élevant souvent à plusieurs dizaines de millions d’euros.  En cause, notamment, le stockage des clés privées (permettant de signer les transactions et de bénéficier des transactions reçues) sur des supports vulnérables (mobiles) ou facilement attaquables (intermédiaires de stockage). Les attaques les plus problématiques sont celles impactant 51% de la puissance de calcul de la chaine dans le but d’annuler, d’ajouter ou de modifier des transactions présentes dans un bloc. L’objectif est de créer une chaîne alternative et plus longue que la Blockchain existante afin de la remplacer, en exploitant un paramètre intrinsèque du modèle. Lorsque deux chaînes sont concurrentes, la chaine la plus longue est en effet considérée comme la chaine légitime. Pour s’imposer à large échelle, ce modèle doit donc pouvoir améliorer ses performances, la sécurité des plateformes accédant ou accédées, la complexité des smart-contracts ou  le nombre de mineurs du réseau. En somme, autant d’éléments pouvant influer sur la sécurité globale.

Le Machine Learning pour s’adapter à l’évolution des menaces

On parle ici de programmes ou d’algorithmes capables d’apprendre et d’améliorer la pertinence des réponses par l’expérience, et à partir de règles prédéfinies. Cette capacité d’auto apprentissage supervisé sera surement l’une des prochaines révolutions en matière de cyber sécurité. Le machine Learning peut être utilisé au sein de systèmes cognitifs (cognitive search ou insight engine). En combinant l’analyse de tout type de données (externes, internes, structurées ou non) et l’analyse du profil et du comportement utilisateur, ces systèmes permettent d’améliorer la pertinence des résultats de recherche, des recommandations, des analyses au fil de l’eau, dans un processus d’amélioration continue, et donc en matière de cyber sécurité, ils présentent l’intérêt de pouvoir s’adapter à l’évolution constante et polymorphe des menaces. Dans ce domaine, si les américains tiennent le leadership (IBM, Google, Facebook), l’Europe fait également preuve d’un dynamisme croissant porté par des start up comme B2Cloud, CyberAngel, Hostabee, et Kernix…

Cryptogramme dynamique et biométrie: pour réduire la fraude bancaire

Basée sur la technologie de motion code d’Oberthur Technologies, cette solution vient remplacer le code statique à trois chiffres au dos de la carte bancaire, par un code de sécurité, affiché sur un mini-écran, et qui change toute les heures grâce à une antenne NFC et une mini pile.  Selon ses concepteurs, cette technologie permettrait une baisse de «70 à 80% du nombre de fraudes» à la carte bancaire. Cette technologie est aussi la première à avoir reçu l’agrément du groupement des Cartes Bancaires (CB).  Elle est notamment proposée par la BPCE, BNP Paribas et la Société Générale 

Le système biométrique « talk to pay » de la Banque Postale développé par PWC permet quant à lui d’authentifier les paiements en ligne en utilisant la technologie de reconnaissance vocale, plutôt que la saisie du cryptogramme à trois chiffres au dos de la CB. Pour s’authentifier, le client demande à être rappelé sur son téléphone mobile par le robot vocal Talk to Pay. Une fois authentifié par analyse de son empreinte vocale, il choisit le type de carte à débiter. Le cryptogramme est attribué de manière unique à chaque paiement.

Par Catherine Nohra China (B2Cloud)

[1] Etude réalisée par Infosys et LTP est accessible ici

Haut