Une étude de l'association de consommateurs britannique Which? montre que la sécurité de la banque à distance est encore loin d'être parfaite. De leur côté, les analystes de Forrester soulignent l'apparition de nouvelles sources de risques dans les organisations. La solution passe par l'adaptation des stratégies selon les rôles concernés.La transition massive des interactions vers les canaux numériques rend les institutions financières toujours plus sensibles aux cybermenaces. Or les meilleures pratiques de sécurité semblent avoir parfois des difficultés à s'imposer, comme le révèle l'écart béant séparant les meilleurs (Starling Bank en tête avec un score de 85%) et les pires (Tesco Bank sous la moyenne, TSB à 51% et Santander à 62%) établissements du Royaume-Uni selon Which?, à partir d'une analyse externe des services web et mobiles.
Certes, quelques critères de mesure sont potentiellement discutables. Mais, en 2021, comment se fait-il par exemple que des banques persistent à envoyer des messages d'alerte comportant des liens hypertextes ou des numéros de téléphone (générant une possible confusion avec les méthodes favorites des escrocs), que subsistent des systèmes d'authentification forte par envoi de SMS (universellement jugé fragile), qu'aucun contrôle ne soit opéré sur des connexions multiples simultanées…?
Naturellement, il est facile d'accuser les départements de sécurité de laxisme face à ces défauts petits et grands. Mais il est également important de prendre conscience que la mutation « digitale » entraîne avec elle la distribution de la responsabilité dans toutes les pores des entreprises. Chacun à son niveau doit comprendre les enjeux et les dangers de la moindre décision, depuis le conseiller transmettant une information à un client jusqu'au responsable de produit concevant les fonctions d'une future application.
Le même genre de problème a été identifié depuis longtemps dans les directions informatiques. Ainsi, les développeurs, qui n'ont, en général, jamais été exposés au cours de leur parcours éducatif aux principes élémentaires de sécurité dans la programmation, continuent-ils à commettre régulièrement des erreurs provoquant plus tard des désastres. Les démarches DevSecOps, supposées apporter la réponse, peinent à se diffuser, surtout quand les équipes sont sous pression permanente.
Et Forrester nous rappelle donc que les progrès rapides des approches « low code », permettant à des employés dont ce n'est pas le métier de créer leurs propres applications, introduisent dorénavant une dimension supplémentaire dans l'équation. Par leurs cibles et par leur modes de fonctionnement, ces outils sont exposés à des menaces radicalement différentes – la fuite d'informations confidentielles plus que l'injection SQL – mais tout aussi critiques. Pourtant leurs utilisateurs ont rarement reçu une formation adéquate.
Ces quelques cas illustrent clairement le besoin d'un changement d'échelle dans la manière d'aborder la cybersécurité, dont plus aucun collaborateur ne peut rester à l'écart. Tout d'abord, les responsables doivent cartographier les multiples niveaux d'implication existants, les structures et les individus qui en ont la charge, leurs domaines spécifiques de risque… Puis, des mesures personnalisées (pédagogiques, outillage et automates, politiques de validation…) doivent être mises en place pour chaque groupe.
Jeu de briques
Snake
Pacman
Bubble