Les quatre tendances qui façonnent le secteur bancaire européen, deuxième partie

Dans ce second article de la série en deux parties que nous consacrons à ce sujet, nous nous penchons sur deux défis que doit relever le secteur bancaire européen, les risques auxquels sont confrontées les entreprises sur la voie de la transformation, et pourquoi il y a lieu d'être optimiste quant à la capacité du secteur à gagner en agilité et à digitaliser son back-office, tout comme il a révolutionné les opérations en contact direct avec la clientèle.

Combattre les cybermenaces et gérer le risque de fraude

Selon un article sur la cybersécurité, on estime que les dommages causés par la cybercriminalité dans le monde atteindront 10 500 milliards de dollars en 2025. Si les attaques d'ingénierie sociale complexes et les menaces d'États hostiles présentent assurément un niveau de risque élevé pour les banques, ce sont pourtant les menaces venant de l'intérieur qui se sont intensifiées au cours des deux dernières années.

Il y a environ 20 ans, Bruce Schneier, expert en sécurité et CTO chez IBM Resilient, avait déclaré : « Seuls les amateurs s'en prennent aux machines, les professionnels ciblent les personnes ». Aujourd'hui, cette citation semble prémonitoire. Tandis que les cybermenaces continuent d'augmenter à travers le monde, ce sont les humains plutôt que les infrastructures technologiques qui sont devenus leur cible principale.

À la suite de la pandémie de COVID-19, l'essor du télétravail a davantage exposé les banques à l'hameçonnage et à d'autres tentatives d'escroquerie en ligne. Par exemple, l'exposition aux logiciels malveillants sur les appareils partagés au domicile pourrait mettre en danger les banques si les processus et les contrôles ne sont pas gérés de manière efficace.

Selon le rapport « Banking Banana Skins 2021 »du Centre for the Study of Financial Innovation, « Le COVID force les banques à mettre en œuvre des changements opérationnels tels que la dispersion du travail et l'adaptation technologique, qui ouvrent la porte à de nouvelles failles de sécurité et cybermenaces. Un incident grave pourrait semer le chaos, et dans le pire des cas (bien qu'improbable), mettre à l'arrêt le système de paiement mondial ».

De nombreuses banques avaient déjà mis en place une infrastructure capable de supporter une certaine charge de télétravail, mais peu s'attendaient à une telle explosion de la demande. Ces institutions doivent être capables de déterminer si les utilisateurs sont bien qui ils prétendent être et si leur comportement correspond à leur profil. Utilisent-ils leurs propres appareils ? Quelle est la politique relative aux téléphones, tablettes et autres appareils ?

Comme toujours, la solution se trouve à la croisée des personnes, des processus et des technologies. Viren Patel, Strategic Industry Advisor for Financial Services chez Workday, explique comment les banques gèrent cette menace interne avec une approche en trois temps : prévention, détection et réponse, analyse.

« La prévention est toujours le point de départ. Cela signifie une authentification à l'entrée et l'utilisation de gestionnaires de mots de passe pour générer des mots de passe sécurisés et disposer de bonnes politiques en cas d'échec. Cela inclut également l'authentification multifacteur (AMF) », explique Viren Patel.  

« Les entreprises doivent comprendre qui sont leurs utilisateurs, quels sont leurs rôles et comment les exigences d'authentification changent en fonction des rôles. Elles doivent également comprendre que les révisions et les mises à jour des politiques sont essentielles au fil du temps ».

Si la prévention échoue, la ligne de défense suivante des banques est la détection. Il est essentiel d'identifier les schémas de connexion. Les entreprises peuvent ainsi générer des rapports sur les détails de connexion : adresse IP, nom d'utilisateur, si (et pourquoi) la tentative de connexion a réussi ou échoué.

« Je dirais qu'il est tout aussi vital de comprendre l'activité des utilisateurs. Les administrateurs IT du secteur bancaire doivent comprendre les interactions avec leurs systèmes. Il est important de comprendre le contexte et d'explorer les informations spécifiques à l'authentification derrière les tentatives de connexion », explique M. Patel.

Il est important que les entreprises soient averties de toute activité suspecte selon des règles préconfigurées. Ces alertes doivent permettre d'intervenir sur les privilèges utilisateur et de minimiser le temps nécessaire pour stopper l'activité suspecte.

Enfin, la réponse et l'analyse sont des éléments essentiels pour la stratégie de gestion des risques informatiques d'une banque. Dans ce cadre, il convient de créer une culture de la sécurité dans laquelle les collaborateurs reçoivent une formation continue en matière de cybersécurité. Celle-ci doit inclure des exercices d'hameçonnage avec des e-mails test envoyés aux collaborateurs pour savoir combien d'entre eux cliquent sur des URL douteuses.

Placer les critères environnementaux, sociaux et de gouvernance (ESG) au cœur du secteur bancaire

Dans la nouvelle réalité du monde post-COVID, les ESG deviennent une préoccupation majeure pour les banques européennes. Les banques subissent des pressions de plusieurs côtés, les investisseurs et les clients étant les deux principaux acteurs exigeant de véritables actions. Les investisseurs suivent de près l'impact matériel du changement climatique et de son incidence sur les risques. Les clients tiennent de plus en plus compte des aspects éthiques des banques lorsqu'ils choisissent les marques avec lesquelles ils veulent travailler.

Les PDG des banques doivent donc prendre des mesures concrètes. Dans une enquête internationale de KPMG, près des trois quarts des PDG du secteur bancaire pensent que leur croissance sera en bonne mesure déterminée par leur capacité à anticiper et adopter une technologie propre, à faibles émissions de carbone. Cependant, ils ont pour la plupart du mal à en appréhender les implications pour leur banque dans le futur.

La capture de données et les insights exploitables sont au cœur des initiatives ESG dans le secteur bancaire. Les institutions savent qu'elles passeront inévitablement à des investissements plus durables, mais le besoin de rentabilité à court terme implique qu'elles ne peuvent pas simplement tourner le dos aux « actifs financiers non durables ». Disposer de l'expérience, des insights et des données nécessaires pour cartographier toutes ces conséquences potentielles relève véritablement du défi.

La bonne nouvelle est que d'autres technologies, l'Intelligence Artificielle et le Machine Learning, soutiennent à la fois l'analyse des données d'entreprise et les processus nécessaires à l'ESG. De plus, l'IA et le ML sont intrinsèquement déployés dans de nombreuses solutions Cloud.

La combinaison cruciale de trois technologies – Cloud, analyses des données et IA/ML – sera la clé de la transformation du secteur bancaire et de son intérêt renouvelé pour l'ESG.