Account Connexion
Jump to section

La sécurité (et la conformité) des services financiers, qu'est-ce que c'est ?

Copier l'URL

La sécurité et la conformité des services financiers font référence aux responsabilités des prestataires de services financiers en matière de détention, de gestion et de protection de l'argent et les informations financières de leurs clients. Cela implique notamment de respecter les réglementations fédérales, nationales et locales qui déterminent les niveaux de sécurité standard applicables aux données des clients.

La protection des ressources et des informations financières des clients a évolué en même temps que les modalités d'accès. 

À l'époque où les ressources et les informations étaient stockées dans des coffres-forts et où les transferts étaient réalisés en personne, les barrières physiques suffisaient. Maintenant que les prêteurs (banques ou coopératives de crédit) et les compagnies d'assurance fournissent des produits financiers aux clients par le biais de technologies financières (FinTech), ils doivent également mettre en place des systèmes de sécurité conformes aux réglementations.

Les gouvernements du monde entier ont adopté des lois, réglementations et normes technologiques différentes. En outre, celles-ci évoluent chaque année pour faire face aux nouvelles menaces auxquelles sont exposés les systèmes financiers.

Pourquoi la sécurité et la conformité sont-elles aussi importantes ?

Les silos n'existent plus. Dans le monde numérique, tout est connecté. Une seule menace pourrait donc affecter plusieurs prestataires de services financiers. Vous avez sûrement remarqué l'augmentation des activités financières illégales et des fuites de données très médiatisées. Cela vient du fait qu'une fuite de données dans une entreprise de services financiers s'étend bien souvent à d'autres prestataires.

Les exigences réglementaires à grande échelle, les politiques de gouvernance d'entreprise et les programmes de conformité renforcent la sécurité des points de terminaison (et des voies de transfert) des données client. Ainsi, lorsque tous les prestataires de services financiers respectent ou dépassent les exigences des organismes de réglementation ou des agences de conformité, le nombre de points d'entrée pour les menaces diminue.

Les mesures de cybersécurité, les évaluations des risques et l'exercice continu d'une diligence raisonnable protègent les informations sensibles. Toutefois, aucun système n'est infaillible. Par conséquent, les entreprises de services financiers doivent continuer à investir dans des technologies de sécurité conformes aux nouvelles réglementations afin de garder une longueur d'avance sur les menaces.

Commodité et attentes des clients

Le secteur bancaire a grandement progressé pour s'aligner sur les attentes actuelles en matière de fonctionnalités et de commodité. Cependant, les technologies et les comportements des clients évoluent plus rapidement que les réglementations en vigueur, qui doivent gouverner un ensemble croissant de fonctions numériques. Aussi, les banques peinent à s'adapter aux exigences des clients tout en se conformant à des réglementations qui changent à un rythme plus lent. De plus, de nouveaux acteurs entrent constamment sur le marché des services financiers pour combler les vides et menacent ainsi la compétitivité des entreprises existantes.

Protection des données

Faciliter l'accès aux informations numériques entraîne toujours des risques de fraude et de fuite de données. Avant d'atteindre leur destination finale, les données transitent par de nombreux points et chacun représente un risque pour la sécurité. Les applications mobiles sont des cibles particulièrement faciles. L'application comme le serveur qui l'héberge peuvent présenter des vulnérabilités exploitables. Le comportement de l'utilisateur représente également un risque.

Les réglementations gouvernementales, telles que le Règlement général sur la protection des données (RGPD) de l'Union européenne, tentent de remédier à ces vulnérabilités, même lorsque les données sont transmises en dehors des frontières nationales.

Mentalité institutionnelle

Autre défi de taille : changer la mentalité des entreprises de services financiers. Le secteur financier se montre prudent au moment de remplacer un modèle économique fiable par un modèle qui, de son point de vue, présente des risques. Se précipiter pour offrir plus de commodité aux consommateurs, sans réfléchir aux risques liés à la sécurité, peut entraîner des conséquences désastreuses. Malheureusement, si les processus de sécurité compliquent l'expérience utilisateur, les clients iront chercher la facilité ailleurs. Le maintien de cet équilibre précaire est un véritable défi, même pour les entreprises les plus novatrices et visionnaires.

Confiance du grand public

L'image de l'entreprise auprès des consommateurs est tout aussi importante que l'adoption d'une technologie. Les fuites de données médiatisées de ces dernières années ont créé un sentiment de méfiance du grand public envers les entreprises qui traitent leurs données personnelles. Si la confiance se perd facilement, il est difficile de la retrouver. Les clients veulent la garantie que leurs informations sont entre de bonnes mains. Pour entretenir la confiance, les entreprises de services financiers doivent faire preuve de la plus grande transparence possible sur la manière dont elles protègent les informations contre le piratage informatique et les fuites de données.

Sensibilisation et éducation du consommateur

Pour offrir une expérience bancaire sûre et efficace, il est primordial d'apprendre aux utilisateurs à se protéger eux-mêmes. En les informant sur la manière de protéger leurs informations et sur la marche à suivre en cas de faille de sécurité, les banques peuvent améliorer leur relation avec les clients. Ces informations changent avec l'arrivée de nouvelles technologies et de nouvelles menaces. Il est donc important de tenir les consommateurs au courant pour les attirer et les fidéliser.

Toutes les entreprises de services financiers n'abordent pas le problème de la sécurité et de la conformité de la même manière. Des institutions gouvernementales (comme la Réserve fédérale des États-Unis), des entreprises et des organisations du monde entier investissent massivement dans des processus de lutte contre le blanchiment d'argent, de gestion des risques et de conformité. 

Voici quelques mécanismes de sécurité qui permettent de respecter les exigences de conformité applicables aux services financiers.

Chiffrement

Les données sensibles sont converties en code par un processus de chiffrement. Seule la bonne clé de déchiffrement permet de les décoder. Cependant, le chiffrement, la vérification et le déchiffrement des données sont des tâches chronophages qui demandent des ressources de traitement supplémentaires. Pour accélérer le traitement de volumes de données en constante augmentation, les banques font évoluer leurs infrastructures informatiques ou mettent en œuvre de nouveaux systèmes plus flexibles et robustes, pour proposer des processus de chiffrement plus rapides et capables d'évoluer facilement. La norme PCI DSS (Payment Card Industry Data Security Standard) joue un rôle important dans la manière de chiffrer les données.

Authentification à plusieurs facteurs

L'utilisation de plusieurs types d'authentifications pour se connecter est une option de plus en plus prisée par de nombreux sites web, au-delà du secteur financier. Les utilisateurs doivent saisir un mot de passe ou un code d'identification personnel qui déclenche l'envoi d'un code par SMS vers un périphérique précédemment enregistré. Ce code contient une série de caractères générés aléatoirement, que l'utilisateur doit saisir pour se connecter. Bien que cette méthode ajoute une étape au processus de connexion, elle complique d'autant la tâche des cybercriminels. Dans le cadre de la deuxième version de la Directive sur les services de paiement (PSD2), les banques de l'Union européenne ont l'obligation de mettre en œuvre l'authentification à plusieurs facteurs pour toutes les transactions, y compris à l'internationale.

Stockage et distribution des données

L'influence du RGPD s'étend au-delà des pays de l'Union européenne et les politiques des institutions financières du monde entier s'en inspirent pour adapter leurs règles d'accès aux données ainsi que de stockage et de distribution. Le stockage des données dans un seul endroit n'est plus une option suffisante pour assurer leur sécurité, et ce, même pour les entreprises qui utilisent des services cloud pour stocker les informations numériques. En effet, une entreprise qui s'appuie sur un fournisseur unique concentre ses données en un seul emplacement, ce qui les rend plus vulnérables aux failles de sécurité. La répartition des systèmes de stockage et des fonctions entre plusieurs fournisseurs permet de réduire le risque et complique l'accès aux données pour les cybercriminels.

Intelligence artificielle (IA)

Des algorithmes prédéfinis peuvent détecter les transactions qui ne correspondent pas à un schéma habituel, par exemple, une transaction effectuée à Londres par un client vivant aux États-Unis. Cependant, si ce client se rend à Londres plusieurs fois par an, l'algorithme continuera de signaler chacune de ces transactions, même si elles sont légitimes. C'est pourquoi il est possible d'entraîner une intelligence artificielle pour qu'elle apprenne le comportement du client et mette à jour l'algorithme en conséquence, de sorte qu'il ne signale plus les transactions qui correspondent à ce nouveau schéma. L'intelligence artificielle favorise également l'utilisation des données biométriques, qui permettent d'identifier les utilisateurs selon leurs caractéristiques uniques avant de leur donner accès aux informations de leur compte. La reconnaissance faciale et de l'iris et les empreintes digitales sont des fonctions que possèdent de nombreux appareils connectés, et de plus en plus de banques intègrent maintenant ces options dans leurs applications mobiles. Cette couche de sécurité supplémentaire complique encore la tâche des cybercriminels.

Améliorer la gestion des applications d'IA/AA

Dans cette série de webinars, découvrez le point de vue d'experts concernant la simplification du déploiement et de la gestion du cycle de vie des applications d'intelligence artificielle/apprentissage automatique (IA/AA) afin de créer et partager plus rapidement des modèles d'AA et des applications d'IA. 

Nous tenons à ce que vous adoptiez une stratégie de sécurité continue en toute confiance. C'est pourquoi nous adaptons les technologies Open Source aux besoins des entreprises. Notre objectif est d'aider votre entreprise à préserver sa compétitivité, sa flexibilité et sa capacité d'adaptation, tout en maintenant le niveau de sécurité et de conformité réglementaire.

Keep reading

ARTICLE

Le DevSecOps, qu'est-ce que c'est ?

Si vous souhaitez tirer pleinement parti de l'agilité et de la réactivité d'une approche DevOps, vous devez également intégrer la sécurité informatique au cycle de vie complet de vos applications.

ARTICLE

Quelles sont les spécificités de la sécurité dans le cloud ?

Les préoccupations en matière de sécurité de haut niveau affectent les systèmes informatiques traditionnels et cloud. Découvrez quelles sont les différences.

ARTICLE

Le SOAR, qu'est-ce que c'est ?

Le SOAR fait référence à trois capacités logicielles clés qu'utilisent les équipes de sécurité : la gestion des cas et des workflows, l'automatisation des tâches et la centralisation de l'accès, de l'interrogation et du partage des renseignements sur les menaces.

En savoir plus sur la sécurité

Produits

Red Hat Certificate System

Structure de sécurité qui gère les identités des utilisateurs et préserve la confidentialité des communications.

Red Hat Advanced Cluster Security Kubernetes

Solution de sécurisation des conteneurs native pour Kubernetes et adaptée aux entreprises, qui permet de créer, de déployer et d'exécuter des applications cloud-native de manière sécurisée.

Red Hat Insights

Service d'analyses prédictives qui aide à identifier et à écarter les menaces qui compromettent la sécurité, les performances et la disponibilité de votre infrastructure Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Console unique pour le contrôle des clusters et applications Kubernetes, avec des politiques de sécurité intégrées.

Ressources

Illustration - mail

Ce type de contenu vous intéresse ?

Inscrivez-vous à notre newsletter Red Hat Shares.

Red Hat logo LinkedInYouTubeFacebookTwitter

Produits

Outils

Tester, acheter, vendre

Communication

À propos de Red Hat

Premier éditeur mondial de solutions Open Source pour les entreprises, nous fournissons des technologies Linux, cloud, de conteneurs et Kubernetes. Nous proposons des solutions stables qui aident les entreprises à jongler avec les divers environnements et plateformes, du cœur du datacenter à la périphérie du réseau.

Inscrivez-vous à la newsletter Red Hat Shares.

S'inscrire maintenant

Sélectionner une langue

© 2022 Red Hat, Inc. Red Hat Summit