Évaluation de la maturité de la confidentialité et de la conformité des communications de contenu sensible dans le secteur de la finance
Toute organisation qui collecte des données confidentielles est tenue de les sécuriser et d’en préserver la confidentialité. Les établissements financiers sont les premiers à collecter, stocker, manipuler et partager des informations personnelles identifiables (PII). Ces données sont indispensables à toutes leurs opérations quotidiennes.
En plus d’être partagées et envoyées à travers différents systèmes, réseaux et applications internes, les PII sont envoyées et partagées avec des tiers multiples. Les communications numériques internes et externes de contenus sensibles peuvent générer de sérieux risques, et les établissements financiers ont l’obligation de mettre en place des stratégies adaptées de gestion des risques de cybersécurité. Pour prévenir les violations des PII, par accident ou piratage, la finance et les organismes publics ont établi des règles de conformité pour encadrer les échanges numériques d’informations.
Le monde de la finance rassemble les établissements bancaires, les compagnies d’assurance et les sociétés de gestion de patrimoine. Les cas d’utilisation sont divers et variés. Voici quelques exemples :
- Protéger le traitement des salaires des entreprises, des transactions bancaires et des opérations de gestion de patrimoine
- Partager des données financières des clients en toute sécurité avec d’autres banques pour les rachats de prêts commerciaux importants
- Protéger et auditer les transferts de contenu lors de l’envoi des relevés de compte et des documents de souscription des clients
- Protéger les envois de PII à des prestataires externes pour des tâches non essentielles telles que le service des prêts hypothécaires ou le recouvrement
- Centraliser les communications SFTP au sein d’une structure sécurisée et modulable qui unifie les politiques de gouvernance et d’admission
- Gérer les plaintes des clients, les procédures automatisées telles que les rapports de signalements anti-blanchiment et les attestations aux clients
Il devient de plus en plus difficile de démontrer la conformité réglementaire et de protéger vos données du fait de la complexité et du volume croissants des cyberattaques menées par des États voyous, des organisations de cybercriminels et les pirates informatiques isolés. Ils ont tous compris la valeur des données manipulées par les services financiers.
En raison des risques encourus, les entreprises du secteur de financier doivent se doter des mécanismes nécessaires pour évaluer la maturité de leurs contrôles de gouvernance et de leurs stratégies de sécurité. Dans cet article, nous examinerons l’état actuel de la situation en matière de confidentialité et de conformité des communications numériques dans le monde de la finance. Nous vous suggérerons des mesures adaptées pour pallier aux lacunes. Nous verrons aussi comment les Fintechs bouleversent le monde des affaires et engendrent de nouveaux risques de cybersécurité à prendre en compte dans leur stratégie de gestion des cyberrisques.
Multiplication des tiers dans le milieu financier
La supply chain des établissements financiers est souvent constituée de centaines d’organisations et de milliers d’utilisateurs. La diversité des tiers intervenant dans les activités financières multiplie les risques de cybersécurité et de non-conformité. Ces tiers incluent, entre autres, des fournisseurs de logiciels, des sociétés informatiques, des cabinets juridiques, des cabinets comptables et des cabinets RH.
Certains prestataires indispensables au système financier ne sont pas des institutions financières et échappent à de nombreux cadres de réglementation. Pourtant, en raison de la nature du service ou de la solution qu’ils fournissent, ces prestataires sont critiques.
Ils fournissent des services vitaux qui vous permettent de gagner en efficacité. Néanmoins, l’externalisation de certains services implique que des tiers accèdent à certaines données sensibles que vous détenez. Et même si vous avez signé un contrat avec eux, la responsabilité de la protection de ces données est bien de votre ressort. Dans ce cas, les entreprises doivent adopter des stratégies de gestion des risques tiers (TPRM).
Le partage de données sensibles avec ces tiers engendre des failles importantes que les pirates informatiques pourraient exploiter. En fait, selon le dernier rapport Verizon Data Breach Investigations Report (DBIR), 62 % des violations de données survenues l’année dernière étaient liées à la supply chain. L’une des raisons est que les tiers n’ont pas les mêmes mesures de sécurité que leurs clients.
Même si le pirate n’est pas en mesure d’accéder à la supply chain d’une organisation et d’exploiter les données en aval, rien ne dit qu’il ne pourrait pas y arriver côté prestataire. Et cela peut avoir des répercussions financières et des conséquences terribles pour des milliers de ses clients. Pour y faire face, les organisations doivent adapter leurs stratégies de gestion des risques liés à la supply chain.
Les règles de conformité de nombreuses organisations s’appliquent également à leur supply chain. Les outils utilisés doivent être conformes. Prenons le cas d’une banque, qui partage les informations personnelles identifiables (PII) de ses employés avec un prestataire pour la gestion des fiches de paie. Les informations devront être partagées via une solution de partage de fichiers conforme à la norme FIPS (Federal Information Processing Standards) 140-2. Tout manquement à cette règle est susceptible d’entraîner des amendes et/ou des pénalités, au-delà du risque de nuire à l’image de marque de l’organisation.
Gestion des risques tiers liés aux communications de contenu sensible
Avant de faire appel à un prestataire externe, mieux vaut bien étudier son infrastructure de sécurité pour s’assurer que son niveau de sécurité est suffisant. Mais même après la phase initiale, il est bon de vérifier régulièrement que tous les prestataires d’une entreprise appliquent les bonnes règles de sécurité.
L’obligation de vigilance sert à détecter et à remédier au plus tôt à toute faille éventuellement exploitable par des acteurs malveillants. Selon le dernier rapport d’IBM et du Ponemon Institute intitulé « Cost of a Data Breach Report » , le coût moyen d’une violation de données dans le secteur financier était de 5,97 millions de dollars l’année dernière, soit le deuxième plus élevé de tous les secteurs d’activité confondus (derrière la Santé).
Une des étapes décisives d’un protocole de gestion des risques tiers est l’inventaire complet des fournisseurs. Cette liste doit toujours être actualisée pour faciliter l’évaluation des risques.
En matière de conformité réglementaire des services externalisés, la difficulté réside dans la fragmentation des efforts d’évaluation des risques. Certaines entreprises investissent dans les technologies pour consolider et automatiser leurs processus.
Comment les Fintechs ont-elles créé de nouvelles cibles pour les criminels ?
Les Fintechs ont rapidement évolué ces dernières années, entrainant l’apparition de nouvelles vulnérabilités qui s’ajoutent à celles des établissements financiers traditionnels. Si ce phénomène a ouvert de nouvelles opportunités, il a également fait naître de nouveaux risques.
64 % des consommateurs indiquent avoir utilisé deux plateformes Fintechs ou plus au cours de l’année passée. Cette évolution bouleverse l’ensemble du monde financier : 22 % des sociétés d’assurance, de gestion d’actifs et de patrimoine et 28 % des établissements bancaires risquent d’être affectés par des pertes de revenus.
Cette tendance se vérifie dans le secteur du financement, où 1 dollar sur 5 en capital-risque, tous secteurs confondus, va aux Fintechs. Bien que le monde de la finance y voie l’opportunité de gagner en efficacité, de réduire les coûts et d’améliorer le service client, le développement des Fintechs multiplie les risques liés aux cybermenaces. Concrètement, d’après un rapport, 98 des 100 premières entreprises Fintechs mondiales sont aujourd’hui vulnérables aux cyberattaques.
Les normes et réglementations n’ont pas suivi aussi vite le rythme d’apparition de ces nouvelles technologies disruptives. Cela crée un terrain propice aux attaques des Fintechs qui manipulent des données sensibles. En guise de réponse, les instances de régulation tentent d’imposer de nouvelles normes pour obliger les entreprises à instaurer les suivis et les contrôles appropriés.
Confidentialité et conformité des communications de contenu dans le monde de la finance
Avec ces éléments en tête, on peut alors se demander :
- Que font les acteurs financiers et Fintechs face aux menaces de cybersécurité ?
- Comment font-ils pour assurer la conformité ?
- Comment gèrent-ils les risques tiers ?
Pour répondre à ces questions, vous pouvez aller consulter le Rapport sur la confidentialité et la conformité des communications de contenu sensible 2022 de Kiteworks qui évalue la maturité de la confidentialité et de la conformité des communications numériques dans les services financiers.
Les données sont l’essence même des établissements financiers et des Fintechs. Leurs modèles économiques reposent en grande partie sur la collecte, le partage, le transfert et le stockage des PII des clients et des données financières pour réaliser les opérations quotidiennes et l’innovation sur le long terme.
Toutes les opérations et démarches sont soumises à des normes strictes de sécurité et de conformité. Les réglementations relatives à la protection des données personnelles, telles que le RGPD dans l’UE, HIPAA (loi sur la portabilité et la responsabilité de l’assurance maladie et la CCPA (loi californienne sur la protection de la vie privée des consommateurs) contrôlent la collecte, le partage, la manipulation et le stockage des PII et des informations médicales protégées (PHI).
Le fait que les établissements financiers partagent un volume important d’informations sur leurs clients implique le respect de la conformité même lors du transfert et du partage des données. Le TPRM est un outil indispensable pour la sécurité, la confidentialité et la conformité des données dans le monde financier.
Y veiller n’est pas chose aisée, selon les conclusions du rapport Kiteworks. Sans surprise, le principal défi réside dans le partage et le transfert de données avec des tiers. 51 % des répondants ont déclaré qu’ils n’étaient pas suffisamment protégés contre les risques de sécurité et de conformité liés aux communications de contenu sensible avec des tiers, et 53 % seulement chiffrent tous les échanges de contenu sensible avec des tiers.
Quand on voit que 57,5 % des entreprises interrogées partagent des données confidentielles avec plus de 1000 tiers, et que 58 % d’entre elles n’ont pas mis en place de contrôles pour gérer les risques tiers, on commence à imaginer l’ampleur du défi auquel se heurte le secteur de la finance.
Table 1. Mesures prioritaires concernant la communication de contenus sensibles avec des tiers dans le secteur financier.
Gouvernance, gestion des risques et conformité dans les services financiers
Lorsqu’on les interroge sur les mesures à prendre en priorité, la gestion des communications de contenus sensibles arrive en tête du classement. Par exemple, 22,5 % des entreprises financières interrogées ont indiqué que la centralisation de la gestion, du suivi des politiques et de la création de rapports sur les communications numériques était prioritaire. Et 17,5 % ont déclaré qu’automatiser le chiffrement, le partage de fichiers, et la création de rapports était leur priorité absolue.
Cela est conditionné par une stratégie solide en matière de gouvernance, de gestion des risques et de conformité :
Gouvernance des services financiers
Toutes les organisations du monde entier sont obligées de suivre et d’appliquer des contrôles de gouvernance approfondis, dans le but d’atteindre et de démontrer leur conformité règlementaire en matière de protection des données. Le secteur financier est le plus réglementé au monde. Une enquête a révélé que 86 % des pays disposaient de lois et de réglementations relatives à la sécurité et à la transmission des données, 87 % à la cybersécurité, 78 % au partage des données des clients et 65 % relatives à l’identification électronique des PII.
Une autre question importante concernant les services financiers est tirée du rapport 2022 sur la confidentialité et la conformité des communications de contenu sensible de Kiteworks : les approches actuelles en matière de confidentialité et de conformité entravent-elles la croissance ? Près d’un tiers des répondants du secteur de la finance estiment que la gouvernance et la protection des communications de contenu avec des tiers nécessitent soit une nouvelle approche, soit une amélioration significative. Sept sur dix indiquent utiliser au moins quatre systèmes pour suivre, contrôler et sécuriser les communications de données sensibles avec des tiers. Cette diversité d’outils utilisés pour échanger du contenu numérique complique l’uniformité de la gouvernance (e-mail, partage de fichiers, transfert automatique de fichiers, formulaires Web et interfaces de programmation d’applications (API)). Il n’est donc pas surprenant que seulement 35 % d’entre elles aient mis en place des technologies et des processus pour mesurer le risque tiers associé aux communications de contenu (voir table 1).
Gestion des risques dans les services financiers
La gestion du risque lié aux communications de contenu sensible est un véritable défi pour le secteur financier. Le rapport a révélé des lacunes importantes :
- Seules 52 % des entreprises utilisent des technologies antivirus et antispam pour vérifier les communications de données entrantes en provenance de tiers (pourtant le secteur le plus mature).
- 4 entreprises sur 10 n’utilisent pas la DLP pour le partage et le transfert de fichiers avec des tiers ( pourtant le secteur le plus mature avec 33 % de plus que le secteur suivant).
- Un peu plus de la moitié seulement chiffrent leurs communications de contenu avec des tiers.
- Près de la moitié ne gèrent pas ou surveillent partiellement les communications de contenu sur le cloud.
Au vu de ces chiffres, les répondants n’ont pas confiance dans leur gestion des risques. Plus de 4 sur 10 ont déclaré que la gestion des risques tiers nécessitait soit une nouvelle approche, soit une amélioration significative. La moitié d’entre eux ont donc admis que leur organisation n’était pas bien protégée contre les risques tiers liés aux communications de contenu.
Conformité dans les services financiers
Les entreprises de la finance allouent de plus en plus de temps et de ressources à la gestion de la conformité réglementaire. Elles ont déclaré devoir rédiger plus de sept rapports de conformité par an. Et plus de la moitié a déclaré que chaque rapport leur prenait plus de 40 heures. Malgré ces efforts, seuls 20 % estiment que ces rapports sont exacts et 18,5 % qu’ils étaient peu ou pas du tout exacts par endroits.
Le réseau de contenu privé Kiteworks au service de la finance
Comme l’indique le rapport annuel d’IBM et de l’Institut Ponemon intitulé “Rapport sur le coût d’une violation de donnée, le bilan peut être dramatique pour l’entreprise. L’incapacité à suivre, contrôler et sécuriser les communications de données sensibles peut entraîner des sanctions financières, une mauvaise réputation ou la perte de propriété intellectuelle. Dans le cas des attaques par ransomware, on peut également ajouter le coût de la rançon.
Par conséquent, les entreprises financières ont besoin d’unifier leurs communications de contenu sensible. Une solution est le Réseau de contenu privé, qui repose sur des principes de sécurité zéro-trust, où le contenu ne reste pas dans les applications et les charges de travail dites « contrôlées » d’aujourd’hui. Cela suppose que chaque utilisateur n’est pas fiable par défaut, que chaque contenu n’est pas fiable par défaut et que le principe du moindre privilège s’applique. Cela permet aux sociétés financières de s’assurer que les informations personnelles privées, la propriété intellectuelle, les états financiers des clients, les créances d’assurance, etc. restent bien confidentiels et conformes aux réglementations mondiales en vigueur.
Ressources complémentaires