Stratégie

Cybersécurité : la Société Générale réagit aux risques croissants

Thierry Olivier, RSSI du Groupe Société Générale, a insisté sur l’enjeu majeur qu’est la cybersécurité pour une banque.

Durant sa Techweek, la Société Générale a beaucoup insisté sur la cybersécurité et a présenté son approche avec quelques projets menés.

Publicité« La transformation de la relation client vers le digital accroît l'exposition aux cyber-risques, autant pour nos clients que pour nous-mêmes » a constaté Xavier Lofficial, directeur de la transformation, processus et systèmes d'information du Groupe Société Générale. Il a ainsi ouvert une session consacrée à la cybersécurité des rendez-vous Talk&Touch du groupe bancaire le 5 juillet 2017. Se déroulant dans le Cybersecurity Hub, un point de rendez-vous pour des démonstrations et des formations, cette session prenait place au cours de la Techweek, du 3 au 6 juillet.
Pour une banque, la cybersécurité n'est pas une option. Le moindre risque doit être traité. Xavier Lofficial a rappelé une évidence : « la protection des données est au coeur de la relation de confiance avec les clients. » Or cette relation de confiance est la base d'une relation commerciale avec un acteur hautement stratégique pour les clients. Mais « le sujet est pris avec beaucoup d'humilité car la bataille est permanente » a concédé Xavier Lofficial.

La révolution digitale créatrice de nouveaux risques

La Société Générale a calculé qu'elle avait, chaque année, 785 millions de contacts digitaux avec ses clients, soit 86 % des contacts entrants. La dépense moyenne annuelle d'un consommateur lambda est de 1780 euros (en 2015, +14 % par rapport à 2014) grâce aux 3,2 écrans mobiles en moyenne par foyer (tablettes, smartphones, ordinateurs portables...). Dans le même temps, un Français sur deux a été victime de la cybercriminalité. Les trois quarts des PME ont fait l'objet d'au moins une attaque repérée et le nombre d'incidents de cybersécurité s'est accru de 51 % entre 2014 et 2015. A ce jour, 170 millions de malwares ont été repérés avec plus de 100 000 nouvelles variantes par jour. Malgré la prévention opérée, il ne faut que 82 secondes entre l'envoi d'un phishing et le premier clic sur le lien proposé.
Concernant plus spécifiquement la banque, la fraude aux transactions internationales a atteint les 266 millions d'euros par an (213 en 2013). La fraude à la carte bancaire sur les paiements à distance s'accroissent, eux, de 66,5 % d'une année sur l'autre. La relation entre la banque et ses clients est bouleversée par quatre défis : la mobilité (clients particuliers ou entreprises, collaborateurs...), les réseaux (communautés...), la connaissance client grâce au Big Data et la flexibilité du Cloud.

4 piliers et 5 axes

« Nous avons classé les risques en quatre grandes familles pour mieux y répondre » a ensuite expliqué Thierry Olivier, RSSI du Groupe Société Générale. Les quatre familles sont en l'occurrence : les fuites d'information, les cyber-attaques, les indisponibilités du SI et les fraudes internes/externes. Un incident sur ces domaines porte de plus un risque de conformité réglementaire (règles bancaires ou RGPD) et un impact sur l'e-réputation et donc la confiance des clients dans leur banque. Bien que très pudique sur le sujet, la Société Générale a accepté de mentionner que le dernier incident grave avait été, il y a deux ans, une attaque DDOS ayant entraîné une indisponibilité des sites web publics.
Cinq axes sont mis en oeuvre dans la politique de cybersécurité du groupe. Il s'agit en tout premier lieu de la sécurité des applications sensibles du groupe. Face à une attaque de type Wannacry, la règle est évidemment d'être toujours à jour sur les patches de sécurité. Quant aux Distributeurs Automatiques de Billets (DAB), leur sécurisation propre les rend invulnérables à ce genre d'attaques via un « OS durci ». Ensuite, logiquement, c'est la sécurité des données sensibles, point particulièrement important dans le cadre de la mise en conformité RGPD. Bien entendu, un axe « détection et réaction » a été créé pour réagir aux attaques. Le quatrième axe est la cybersécurité pour les clients finaux de la banque. Enfin, le dernier axe est la sensibilisation aux cyber-risques, tant au bénéfice des clients comme des collaborateurs, axe qui est renforcé depuis deux ans.

Publicité« L'idéal serait un zéro investissement en sécurité. »

Le Security by Design reste un rêve

La sécurité coûte cher, évidemment. Par exemple, une équipe de 700 collaborateurs est entièrement dédiée au sujet de la cyber-sécurité au sein du groupe Société Générale. Mais Xavier Lofficial a estimé : « l'idéal serait un zéro investissement en sécurité grâce au Security by Design mais on n'en est pas encore là ! » Outre les projets de cybersécurité pure, la Société Générale a mis en place quatre grandes catégories de contre-mesures pour faire face aux cyber-menaces. Il s'agit tout d'abord de développer la culture du risque numérique, suffisante pour stopper la majorité des attaques, via une sensibilisation autant des collaborateurs que des clients. Cela prend aussi la forme de « petits déjeuners PME » qui rencontrent un grand succès. Bien entendu, il s'agit de protéger les données, notamment via l'authentification, l'anti-DDoS, le chiffrement, etc.
Mais ces mesures ordinaires sont insuffisantes. « Plutôt que de casser un firewall, les pirates ont compris qu'il était bien plus intéressant d'usurper une identité légitime » a relevé Thierry Olivier. La banque se doit donc de détecter les fraudes à l'identité : c'est par exemple l'objet du projet Mosaic (voir ci-après). Malgré tout, la détection des vulnérabilités et l'analyse des logs réseaux restent évidemment incontournables. Enfin, le dernier pilier est la réaction en cas d'incident détecté avec la création d'une procédure de cyber-crise et des exercices. La réglementation exige que la banque communique les incidents constatés.

Des projets concrets

La banque a présenté plusieurs exemples de projets dont l'objet unique est la cyber-sécurité, en tout premier lieu pour ses clients. Le premier est le déploiement de la carte à cryptogramme dynamique, actuellement utilisée par 150 000 clients. De la même épaisseur qu'une carte bancaire ordinaire, celle-ci comprend un mini-écran LCD affichant un code de sécurité variant toutes les heures.
Quant à la fraude à l'identité, c'est le coeur du problème traité par Mosaic, développé depuis 2015 sur une base Big Data. Il s'agit, avec Mosaic, de sécuriser la banque à distance (sur Internet), en prenant pour base que le pirate a récupéré les identifiants de connexion du client et qu'il va donc se connecter en s'authentifiant correctement. Mosaic constitue pour chaque client un profil de navigation à partir d'une analyse Big Data des logs de connexion. Si une session est atypique (opérations inhabituelles, circuit de navigation entre les pages inhabituel...), le système remonte une alerte. Le cas échéant, des opérations (virements...) peuvent être suspendues. Le chargé de clientèle est prévenu et se charge de contacter son client pour vérifier que la session était bien valide.