Bilan

La lutte contre le vol de données inquiète les banques

La FINMA a p résenté de nouvelles normes contre les vols de données bancaires et enjoint les établissements à prendre des mesures. Les premières victimes pourraient finalement être les banques elles-mêmes, s'alarment des experts.
Le travail et la gestion des données bancaires va profondément évoluer d'ici au 1er janvier 2015.

L'Autorité de surveillance des marchés financiers (FINMA) a présenté la semaine précédente la version définitive de ses prescriptions pour les données électroniques. Elles entreront en vigueur le 1er janvier 2015, laissant un peu plus d'un an aux banques pour améliorer leur sécurité informatique.

Cette réglementation fait suite au vol de données effectué par l'informaticien Hervé Falciani chez son employeur, la banque HSBC Private Banking. Pour la FINMA, c'était clair: l'organisation interne et le contrôle chez HSBC avaient failli.

Ce jugement est tombé en 2011. Pourtant, de nombreuses banques n'ont pas voulu en tirer de leçons, déplore Thomas Koch, expert sécurité chew PricewaterhouseCoopers (PWC). «Ainsi, de nombreux CD contenant des données clients ont pu être vendus et bien des banques n'ont toujours pas de système d'alerte», rappelle-t-il dans le Tages Anzeiger.

Nouvelles obligations pour les banques

Si la FINMA ne s'est plus exprimée depuis l'affaire Falciani, elle n'est pas restée inactive. «Elle force ainsi les banques à se mettre rapidement à jour au sujet de la sécurité des données», résume Thomas Koch.

Ce règlement est «inhabituellement détaillé», aux yeux de la branche. Selon Matthias Bossardt, responsable de la sécurité des données chez KPMG, les conséquences risquent d'être nombreuses. «Cela force les banques à analyser la situation dans laquelle se trouvent leurs données, qui y a accès et dans quelles conditions», résume Bossardt.

Bientôt des détectives pour les banques?

Pour les établissements qui ne se sont pas encore engagés sur ce terrain, cela se traduira par des «charges substantielles». La FINMA pourra ainsi les enjoindre à déclarer chaque incident sérieux, ce qui n'était pas le cas jusqu'à présent. Et les banques devront répondre des cas d'externalisation.

«Pour la plupart des banques, cela signifie un besoin d'agir assez important», souligne Reto Zbinden, chef de la sécurité informatique chez Swiss Infosec. De nombreux établissements ont ainsi fait l'impasse sur une étude du passé de leur personnel à des postes clés. Ce ne sera désormais plus possible et dans les faits, les banques pourraient bien se mettre à engager des détectives privés pour enquêter.

Cloisonnement de l'accès aux données

La situation financière sera régulièrement examinée. «Cela peut faire apparaître qu'un employé vit au-dessus de ses moyens ou mettre à jour des problèmes de dépendance voire des types de comportement», explique Zbinden. Si Julius Bär s'y était appliquée à l'époque, elle aurait peut-être décelé à temps les problèmes de dette de son informaticien allemand Lutz O. qui a vendu au fisc allemand des données clients en 2011.

La FINMA exigera aussi que seuls ceux qui ont besoin pour leur travail puissent avoir accès aux données. Une révolution pour de nombreuses petites banques, estime Zbinden. «Beaucoup d'entre elles protègent actuellement leurs données vis-à-vis de l'extérieur. A l'interne, les systèmes sont relativement ouverts, ce qui permet à de nombreux collaborateurs de pouvoir servir la clientèle.»

Danger pour les petites et moyennes banques

Toutefois, Matthias Bossardt espère que ces mesures seront relatives, ce qui laissera une marge de manœuvre opérationnelle aux banques. Ces dernières sont déjà confrontées à un environnement de plus en plus régulé et l'adaptation en termes de processus et de systèmes informatiques pourrait être conséquente. Surtout les banques de petite et moyenne taille, ajoute Zbinden.

Les établissement n'ont pas manqué de faire remarquer les coûts énormes que les mesures de la FINMA allaient engendrer mais aucune n'a voulu prendre officiellement position sur les conséquences à attendre. Et personne ne croit que ce règlement enrayera le vol de données. «Aussi longtemps qu'il y a un marché pour ce genre de produit, il y aura des collaborateurs qui seront prêts à tout pour les vendre», estime Bossardt.

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info


Image Footer

"Tout ce qui compte.
Pour vous."