Secteur financier : quelles sont les règles de sécurité informatique ?

Secteur financier : quelles sont les règles de sécurité informatique ?
⏱ Lecture 5 min

Par Stéphane Astier & Anna Tchavtchavadzé

La sécurité informatique est un enjeu majeur pour le secteur financier.

Banques, assurances, sociétés de gestion poursuivent leur mutation digitale et se retrouvent particulièrement exposées aux attaques informatiques : chaque nouvelle application bancaire, chaque nouvel objet connecté déployé par une compagnie d’assurance, chaque interconnexion et accès ouvert aux partenaires, courtiers, fournisseur est en effet une porte d’entrée supplémentaire pour des hackers dotés de moyens de plus en plus performants.

Durant l’été 2018 Cosmos Bank a ainsi été victime d'une attaque visant son serveur de distributeurs de billets qui a donné lieu en à peine 2 heures à un détournement de 13,5 millions de dollars. Plus de 14.000 opérations de retraits frauduleux à des distributeurs répartis dans 28 pays différents ont été lancé par les hackers qui sont parvenus à pirater le système de transaction interbancaire Swift[1]. Plus récemment, Capital One, le troisième plus gros émetteur de cartes de crédit aux Etats-Unis, a annoncé lundi 29 juillet 2019 avoir été victime d'un hack visant les données de près de 100 millions de clients ou prospects[2]. La Banque Central Européenne a elle-même été touchée, victime d’une faille de sécurité déclarée en août 2019 suite à l’injection de logiciels malveillants dans ses serveurs[3]… et il ne s’agit que de quelques exemples ayant transpercé l’actualité.

Pour éviter de sombrer dans le cyber chaos, les acteurs se mobilisent et accentuent leurs efforts pour renforcer leur position : outils de sécurisations, certification, audit de sécurité etc. participent à cet objectif.

D’un côté l’augmentation des risques qu’ils soient d’ordre technique (perte, vol de données), juridique (sanction des autorités de contrôle) ou d’image (perte de confiance des clients et des partenaires) pousse les directions du secteur bancaire à agir, de l’autre, l’explosion des coûts liés à la sécurité des systèmes d’information ainsi que le risque de perdre toute fluidité dans le parcours et l’expérience client constituent des freins qu’il serait peu judicieux d’ignorer.

Afin de concilier ses problématiques et de piloter au mieux les actions à mener en ce domaine, il est avant tout déterminant d’identifier les principales contraintes réglementaires et légales susceptibles d’impacter la mise en œuvre de politique de sécurisation dans le secteur financier.

Observons ici qu’au niveau européen comme au niveau national, plusieurs textes ont progressivement vu le jour afin d’accompagner la mutation digitale du secteur financier et des enjeux de sécurité qui l’accompagne. L’occasion d’un tour d’horizon afin d’identifier les différentes obligations à respecter mais également les différentes autorités en charge de contrôler le respect de ces obligations.

1- Mesures de sécurité contraignantes pour les acteurs du secteur financier

Pour les banques, la deuxième [4] directive sur les services de paiement (DSP2), entrée en vigueur le 13 janvier 2018, a été suivie de standards techniques réglementaires[5] (RTS) applicables depuis le 14 septembre 2019.

La DSP 2 impose une réglementation plus stricte qu’auparavant en matière de sécurité dans le secteur financier.

En effet, elle met en place des mesures de sécurité renforcées afin de protéger les utilisateurs de services de paiement et de réduire le nombre de fraudes :

  • Obligations pour les prestataires de services de paiement (PSP) : ils sont responsables des mesures de sécurité proportionnées aux risques de sécurité concernés
  • Obligations pour l’utilisateur : il doit prendre des mesures raisonnables pour préserver la sécurité de ses données de sécurité personnalisées
  • Obligation d’authentification forte pour les consultations de compte et les opérations de paiement
  • Obligation de notification des incidents à l’Autorité de contrôle prudentiel et de résolution (ACPR)

 

Les normes techniques de réglementation ont été élaborées par l’Autorité bancaire européenne (ABE) et validées par la Commission européenne. Elles viennent fixer les exigences auxquelles les PSP doivent satisfaire pour garantir la sécurité des opérations de paiement conformément aux dispositions de la DSP 2 :

 a- Obligation d’authentification forte du client : réunion d’au moins 2 éléments indépendants

  • Connaissance (mot de passe, code…)
  • Possession (téléphone portable, tablette …)
  • Inhérence (reconnaissance faciale, empreinte digitale …)

b- Obligation d’assurer la protection de la confidentialité et de l’intégrité des données :

  • Communication sécurisée et standardisée entre les banques et les Fintech (type API)
  • Examen, audit des mesures de sécurité

Ces dispositions s’inscrivent dans une volonté d’établir un système de partage d’informations entre les différents acteurs afin de lutter de manière plus efficace contre les risques de cyberattaques.

La DSP 2 et la RTS font intervenir l’Autorité de contrôle prudentiel et de résolution (ACPR) et la Banque centrale européenne (BCE) qui se chargent de surveiller et de contrôler la bonne application des règles établies.

Télécharger notre livre blanc sur la DSP2

2- Renforcement de la protection des droits et libertés des citoyens


L’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD), le 25 mai 2018 [6], a poussé de nombreux acteurs à se mettre en conformité en prenant des mesures considérables afin d’assurer la sécurité et la confidentialité de leurs traitements.

Le RGPD insiste sur le renforcement de certains principes :

c- Renforcement des mesures de sécurité

    • Les données personnelles doivent être traitées de façon à garantir une sécurité appropriée
    • Il faut faire apparaître une description des mesures de sécurité techniques et organisationnelles dans certains documents (registre des activités, AIPD, code de conduite)
    • Le responsable de traitement et son sous-traitant doivent mettre en œuvre des mesures visant à garantir un niveau de sécurité adapté au risque
    • Il existe une obligation de notification des violations de données personnelles à la CNIL

d- Renforcement des droits et libertés des personnes concernées

    • Toute violation de données personnelles doit être communiquée à la personne concernée
    • Introduction du droit à l’information, droit à l’oubli, droit à la portabilité …

En matière de protection des données personnelles, l’autorité de contrôle compétente est la Commission nationale de l’informatique et des libertés (CNIL).

3- Renforcement des textes face aux risques cyber

La directive Network and Information Security[7] (NIS) du 6 juillet 2016 a élargi à de nombreuses entreprises l’obligation de renforcer leurs systèmes de sécurité. Elle concerne la mise en œuvre de mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information au sein de l’Union européenne.

En France, cette directive a été transposée par une loi du 26 février 2018. Elle établit des exigences en matière de sécurité et de notification pour les :

  • Opérateurs de services essentiels (OSE)
  • Fournisseurs de services numériques (FSN)

Elle fixe également des obligations aux Etats membres pour l’adoption d’une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information et souhaite instituer un groupe de coopération.

Par ailleurs, la loi relative à la programmation militaire pour les années 2019 à 2025[8], du 13 juillet 2018 (LPM), a également étendu ces obligations aux opérateurs de communication électronique ainsi qu’aux hébergeurs. En effet, les cyberattaques peuvent toucher des acteurs de domaines de plus en plus variés, ainsi, il était important d’étendre la réglementation à d’autres types d’organismes.

Ces deux derniers textes sont soumis au contrôle de l’Agence nationale de sécurité des systèmes d’information (ANSSI).

 

***

Cet ensemble de textes démontre la nécessité d’associer une expertise juridique à l’expertise technique lorsque l’on souhaite piloter une démarche globale de sécurisation des systèmes d’information qu’il s’agisse du réseau de l’entreprise, d’application mobile, d’objets connecté, d’immeubles intelligents ou autres intelligences artificielles.

L’obligation de documentation, la sensibilisation du personnel, la formalisation de procédures dont devra justifier la société de gestion, la compagnie d’assurance ou encore le courtier sont autant d’éléments clés impliquant une parfaite connaissance de la réglementation et des réponses techniques à y apporter en vue d’une sécurisation globale de l’activité.

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans de nombreux domaines notamment en matière de cybersécurité. Si vous souhaitez avoir plus d’information sur les mesures nécessaires à mettre en place, Contactez-nous ici

 

[1] Cf. https://www.lesechos.fr/finance-marches/banque-assurances/les-cyberattaques-nouveau-risque-systemique-bancaire-139603

[2] Cf. https://www.latribune.fr/entreprises-finance/banques-finance/piratage-bancaire-comment-100-millions-de-personnes-ont-ete-touchees-par-un-vol-de-donnees-824884.html

[3] Cf. https://www.bfmtv.com/economie/la-bce-victime-d-un-piratage-informatique-sur-un-site-d-information-bancaire-1749645.html

[4] Directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur

[5] Règlement délégué (UE) du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication

[6] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[7] Directive (UE) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union

[8] Loi n°2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019-2025 et portant diverses dispositions intéressant la défense

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin