Cybersécurité : les clients des néo-banques peuvent-ils vraiment dormir sur leurs deux oreilles ? 😴

Quelle ne fut pas la surprise des 7,5 millions de clients de la néo-banque américaine Dave lorsqu’ils ont appris, l’été dernier, que leurs données personnelles avaient été divulguées sur des réseaux sociaux accessibles au grand public. A l’origine de cette publication inopinée : des pirates informatiques, qui avaient profité de brèches dans les systèmes d’information de la société pour dérober ces informations sensibles. La mésaventure dont a fait l’objet Dave n’est pas un cas isolé. Début 2017, la néo-banque allemande N26, devenue depuis un acteur central du secteur, était alertée par Vincent Haupert, un chercheur en sécurité informatique, de l’existence de failles dans son système informatique. Il n’avait fallu à cet expert que cinq minutes pour le corrompre. Quant à la néo-banque australienne Xinja, elle a annoncé fin 2020 renoncer aux bénéfices de sa licence bancaire obtenue quelques mois plus tôt à l’issue d’un long processus. Officiellement, cette décision a été imputée à la crise sanitaire, qui aurait ralenti le rythme de conquête de nouveaux clients. Mais il est rapidement ressorti qu’un audit, portant sur la sécurité de ses infrastructures informatiques, mené par un tiers au cours des semaines précédentes avait mis en lumière des failles importantes. Face à l’inquiétude d’actionnaires de la fintech, les levées de fonds initialement prévues s’en étaient trouvées suspendues. Autant d’alertes qui, légitimement, sont de nature à interpeller les utilisateurs de néo-banques et à susciter des craintes parmi de potentiels futurs clients.

Une menace globale

Mais dans la sphère financière, les risques cyber sont loin de peser sur ces seuls acteurs. Loin s’en faut. Parmi les banques traditionnelles, les exemples d’attaques informatiques ayant notamment entraîné un vol de données se sont en effet multipliés depuis une dizaine d’années. Elles n’ont pas épargné les établissements bancaires de premier plan puisque Citi, JP Morgan, et Unicredit, pour ne citer qu’eux, figurent dans la liste des victimes prestigieuses de hackeurs… Même la Banque centrale de Nouvelle-Zélande, en début d’année, et la coopérative chargée de fournir des services aux banques internationales Swift, en 2016, ont subi pareille déconvenue. La menace cyber est d’ailleurs jugée tellement préoccupante que la Banque Centrale Européenne l’a érigée, dans sa Cartographie des risques 2020, comme l’un des trois principaux facteurs de risque auxquels le système bancaire de la zone euro devrait faire face au cours des trois prochaines années ! De son côté, le Fonds Monétaire International (FMI) a récemment appelé les acteurs bancaires à mieux coopérer dans un contexte d’accroissement des risques cyber. De fait, les tentatives d’attaques cyber visant les banques ont explosé depuis le début de la crise, comme l’ont par exemple révélé des études de l’agence de notation Moody’s ou de la Banque de France. Une tendance qui, sous l’effet de la digitalisation croissante des services bancaires et du recours de plus en plus marqué au télétravail au sein des banques, est appelée à se poursuivre.

Des systèmes d’information obsolètes dans les banques traditionnelles 

Dans cet environnement à hauts risques où le risque zéro n’existe pas, la question essentielle n’est donc pas tant de savoir si les clients des néo-banques peuvent dormir sur leurs deux oreilles face à la menace cyber, mais plutôt de savoir si ceux-ci peuvent mieux dormir que les clients des banques traditionnelles. De prime abord, ces dernières, du moins les plus grandes, semblent, il est vrai, disposer d’un atout de taille vis-à-vis de leurs concurrentes « néo ». Au regard de l’ampleur des investissements nécessaires à la sécurité informatique, qui peuvent se chiffrer en dizaines, voire en centaines, de millions d’euros, elles génèrent pour la plupart d’entre elles des revenus amplement suffisants pour assumer ces dépenses. De là à en déduire que le degré de protection de leurs outils IT est forcément supérieur, il y a cependant un pas que certains professionnels ne franchiraient pas mécaniquement. 

Pour rappel, les systèmes d’information (SI) des grandes banques ont été conçus et installés des dizaines d’années avant même qu’internet existe... bien avant l’apparition des mots « hacker » et « cyber sécurité ». Année après année, les SI ont donc été adaptés mais, malgré leur longévité, leur performance et leur adaptabilité au cours des années, ils atteignent aujourd’hui leur limite.  

A mesure qu’elles se sont développées, les banques historiques ont continué de s’appuyer sur les mêmes SI, et se sont simplement contentées de mettre à jour au fil des années et des acquisitions éventuelles. Or c’est là que le bât blesse. Comme l’observent les équipes d’Orange Cyberdéfense, de nombreux SI « demeurent anciens et mal adaptés pour faire face aux menaces qui touchent les banques ». Chargé de contrôler les banques dites systémiques, le Mécanisme de supervision unique (BCE) partage cet avis. « Un grand nombre d’établissements importants ont recours à des systèmes informatiques en fin de vie pour conduire des procédures opérationnelles critiques, ce qui les rend encore plus vulnérables au risque lié à la cybersécurité », a-t-il récemment prévenu. Par «  fin de vie », deux professeurs d’informatique à l’Ecole polytechnique de Louvain et de Bruxelles précisaient dans une tribune qu’il s’agit de SI « qui ne peuvent plus être maintenus ni mis à jour du fait de leur ancienneté, mais qui n’ont pas encore été remplacés, voire qui sont impossibles à remplacer ». Constat des plus inquiétants, pas moins des deux tiers des SI bancaires seraient aujourd’hui dans cet état ! Une situation d’autant plus problématique que les banques européennes sont désormais contraintes d’ouvrir l’accès à leurs systèmes à des acteurs tiers, dont des fintechs, comme le leur impose la directive révisée sur les services de paiement (DSP 2)… 

Des contraintes réglementaires identiques en Europe

Si les carences relevées chez Xinja tendent à prouver que les néo-banques ne sont pas toutes  irréprochables dans ce domaine, le fait qu’elles se soient construites sur la base de technologies récentes (dont le cloud) et d’un modèle d’architecture ouverte contribue à leur conférer un avantage compétitif. A cela vient s’ajouter un autre élément de confort. Comme le stipule l’Autorité de Contrôle Prudentiel et de Résolution, les entités disposant d’un agrément d’établissement de crédit, qu’il s’agisse de banques ou de néo-banques, sont soumises aux mêmes exigences réglementaires, notamment en ce qui concerne la sécurité des systèmes informatiques. Rappelant les attentes en la matière, une notice de 37 pages vient tout juste d’être mise à jour par l’institution française chargée de la supervision des secteurs bancaires et d’assurance.

S’il en fallait davantage pour rassurer les clients français de néo-banques, ils sont, à l’instar de ceux des banques traditionnelles, couverts par le Fonds de Garantie des Dépôts et de Résolution (FGDR) à hauteur de 100 000 euros pour le total de leur compte courant, livrets et plans d’épargne en cas de défaillance de leur partenaire bancaire. De quoi leur permettre de dormir plus sereinement.

Pour découvrir les solutions de Core Banking Platform de Skaleet, cliquez ici !