Développement à l'international, banque en ligne, nomadisme, paiement sans contact...

L'Atelier a organisé, en partenariat avec Symantec, une conférence consacrée à l'importance de la sécurité pour les banques dans la conduite de leurs projets. Désormais, de nombreuses applications peuvent être effectuées par le biais d'Internet, comme des transactions financières ou la consultation de son compte. Mais s'ils facilitent les rapports de chacun avec sa banque, ces services augmentent les risques de piratage ou de détournement de données personnelles, rendant précaires les activités des banques et la confiance des utilisateurs. A l'heure de la virtualisation des échanges, il devient dès lors primordial pour les entreprises de garantir la sécurisation de leurs plates-formes, par des organisations humaines et techniques, dans le but de mériter la confiance de leurs clients et de se différencier.
François Jeanne, journaliste à L'Atelier, a ouvert la rencontre en soulignant les enjeux de la gestion de la confiance des clients à travers les risques que l'entreprise doit affronter.
Habituées aux attaques de tout ordre (virus, piratage, etc.), les entreprises ont développé des technologies capables d'affronter ces tentatives de dégradation ou de vol de données. De plus, certains risques, graves, comme le blanchiment d'argent ou l'usurpation d'identité, ne sont que très peu médiatisés, et induisent une incompréhension des clients, qui ne se rendent pas compte du risque encouru, face aux mesures de sécurité prises par leur banque.
Face à cette banalisation des risques, contenus mais non annihilés, les entreprises ont tendance à céder à l'immobilisme, en déniant l'insécurité de leur SI ou en assumant faussement leur impuissance face à certains problèmes.

Les entreprises doivent dès lors changer d'angle de vision en pratiquant une politique de transparence mais, surtout, en mettant l'information au cœur de leur démarche, afin de permettre un changement profond de la société et de garantir non pas la résolution mais l'absence de tout risque, seule apte à établir une réelle relation de confiance entre l'entreprise et le client.

Internet Security Threat Report

Paul Dominjon, en charge des solutions banque et assurance chez Symantec, est revenu sur les risques que doit affronter l'entreprise et sur la nécessité de déployer des solutions pour mieux garantir la confiance que le client va lui accorder.

Pour sa démonstration, M.Dominjon s'est basé sur un rapport publié par Symantec concernant la période janvier-juin 2006. L'entreprise, qui analyse 15 % du trafic mondial de messagerie, a constaté, par le biais de 40 000 sondes déployées dans le monde, que 54 % du trafic mondial était constitué de spams.

Cette dixième version du rapport, qui permet un certain recul, a également permis de souligner l'évolution des risques qui menacent chaque jour davantage les entreprises : en 6 mois, Symantec a dénombré 2200 attaques supplémentaires, la plupart d'entre elles étant des applications Web.

Face à l'augmentation et la complexité de ces menaces, les entreprises ne peuvent alors plus se contenter des résolutions habituelles. D'autant qu'il a été constaté une évolution des dangers, comme un changement du comportement des pirates, qui s'organisent désormais et élaborent leur propre marketing dans le but de s'enrichir, mais aussi une plus grande furtivité des attaques et une hausse de la manipulation des particuliers.

Enfin, malgré sa praticité, le nomadisme reste un facteur de vulnérabilité, en laissant la possibilité pour les pirates de mettre au point des accès fictifs et de se connecter à l'insu du propriétaire d'un appareil pouvant contenir des données confidentielles.

Dans un univers où l'on déploie de plus en plus de nouvelles technologies, les entreprises doivent alors intégrer la sécurité dans leur analyse marketing ainsi que dans chacun de leurs projets au niveau des utilisateurs, et déployer un certain nombre de remèdes, tels que la mise en place d'un service de veille et d'alerte.

Sécurisation des environnements utilisateur – Rétablir la confiance

Benjamin David, consultant avant vente chez Symantec, s'est alors interrogé sur les moyens technologiques disponibles aptes à rétablir la confiance à la fois du point de vue de l'utilisateur final et de celui de l'éthique interne.

Les attaques que doit affronter l'entreprise changent fréquemment de visage. Aujourd'hui, le délai entre la découverte d'une vulnérabilité et son exploitation par les pirates ne cesse de diminuer. La motivation des attaquants évolue également, et voit les anciens pirates amateurs laisser place à des professionnels aux méthodes affinées et dont le principal objectif est la recherche de profit.

C'est pourquoi, afin de rendre aux internautes leur confiance dans les banques, Symantec a élaboré plusieurs services, comme Norton Confidential, un logiciel grand public destiné à protéger les interactions en ligne contre les vols d'identité sur Internet à partir de quatre axes : la protection du navigateur Web, l'authentification des sites, le blocage des "Crimeware" et la gestion des données confidentielles.

Une deuxième solution, axée B2B, concerne la circulation d'informations, inexistante dans le cadre de l'utilisation B2C, et vise à sécuriser les postes non administrés qui accèdent au système par un module qui garantit la sécurité grâce à une localisation virtuelle ou encore par la présence d'un antivirus. Ce module, activé avant toute transaction, permet de procéder à des vérifications sur la machine réceptrice et crée un bureau qui garantit la sécurité pour sa boîte mail et ses pièces jointes en effaçant la totalité des donnant à la fin de chaque session.
Enfin, la messagerie instantanée, qui comporte de grands atouts pour la communication au sein de l'entreprise, doit pouvoir être utilisée malgré les risques qu'elle comporte. Afin d'utiliser des services aussi ouverts sans en pâtir, Symantec a déployé la solution IM Manager, qui, sur la base de trois phases distinctes (classifier, contrôler, auditer), est capable de transformer ces outils pour opérer des transactions en services sécurisés, utilisables dans un cadre professionnel.
Symantec Online Fraud services
Luigi Brusamolino, CISM senior regional director, southern EMEA, consulting services, a ensuite développé l'approche stratégique déployée par Symantec pour dominer les risques de fraude en ligne.
En parallèle des problèmes techniques qu'il cause, le piratage souligne les problématiques de gouvernance et de conception de la sécurité auxquelles les entreprises sont confrontées, et tend à remettre en question leur efficacité du point de vue de leurs clients.
En effet, la fraude en ligne, très facile à opérer, se fait de plus en plus sophistiquée et nombreuse. C'est pourquoi il devient prépondérant d'avoir une approche globale qui, en tablant sur une compréhension du risque, de l'impact, et de l'argent en jeu, et en établissant des scenarii sur le long terme, sera capable de pallier ces fraudes et d'aider les clients.
Dans cet objectif, Symantec, qui aide son interlocuteur à définir la stratégie appropriée, propose un ensemble de services qui mesurent le "business impact" (perte directe) avant de définir toute solution, et place la relation avec le client au centre des préoccupations de la banque.

Outre l'importance de l'organisation humaine dans la gestion des incidents, plusieurs étapes entrent en compte qui permettent de prévenir la banque dès l'identification d'une attaque : la détection des tentatives de phishing, le monitoring de la totalité des transactions, des mails et des autres opérations effectuées par les clients, mais aussi le scan des e-mails, le déploiement d'analystes spécialisés dans la sécurité sur les chats et forums ou le contrôle du comportement de l'utilisateur dans le but d'identifier toute anomalie ou tout risque associé à une transaction particulière et de garantir la protection du client final.

Internet Banking Security - A perspective from UniCredit

Alessandro Colafranceschi, p-dg de Online Banking UniCredit Banca, a conclu cette rencontre en exposant le déploiement des solutions Symantec sur UniCredit.

UniCredit, deuxième plus grande banque d'Italie avec 28 millions de clients et 7000 branches, domine le secteur de la banque en ligne. C'est pourquoi, dans le but de consolider et protéger cette position, et d'assurer aux clients toujours plus nombreux à effectuer leurs transactions sur le Net (30 % des paiements par carte) la sécurité totale de son système, la banque a fait appel à Symantec.
Cette collaboration s'est faite encore plus pressante après l'apparition récente de la fraude en ligne en 2005 en Italie, véritable onde de choc auprès de clients qui pour 65 % placent la sécurité du système Internet des banques comme leur principale préoccupation.
Afin de rester vigilant face à ces menaces, UniCredit s'est rapidement attaché à déployer une stratégie destinée à combattre la fraude en ligne. Principalement, celle-ci développe des opérations de prévention des clients, la collaboration avec des partenaires issus d'autres institutions, et la mise en place d'un système d'identification, dans le but de protéger chacune des étapes des clients venus procéder à des opérations en ligne. La banque permet également à ses clients d'acquérir les meilleurs solutions de sécurité.
Ces co-initiatives, comme un nouveau système d'authentification mis gratuitement à disposition des clients, aptes à délivrer un réel contenu sécurisé en ligne, ont permis non seulement l'accès aux opérations sur Internet à 360 000 clients supplémentaires,ainsi que l'augmentation de 64 % des revenus issus de la banque en ligne, mais aussi et surtout une très grande satisfaction des utilisateurs et un engagement du personnel dans la vente de services d'e-banking.
Mathilde Cristiani, pour L'Atelier

Source: http://www.atelier.fr/crconference/developpement,international,banque,ligne,nomadisme,paiement,contact-33370-CRConference.html