Cybersécurité : l’innovation par essence

Face à la sophistication des attaques numériques, Société Générale place la cybersécurité au cœur de ses préoccupations afin de protéger ses clients, leurs données, et ses systèmes d’information. Questions à Thierry Olivier, Responsable Sécurité des Systèmes d’Information du groupe Société Générale, sur les enjeux de la cybersécurité à l’heure de la transformation digitale des banques.

Thierry Olivier

Quels sont les principaux enjeux de cybersécurité pour les banques ?

La menace et les incidents liés à la cybercriminalité ne cessent d’augmenter et des attaques d’importance réussies sont désormais publiques. Avec les comportements de nos clients liés aux nouvelles technologies et la transformation de nos systèmes d’information pour répondre à leurs besoins, tels que le Cloud, le Big Data/Machine Learning, la mobilité ou les réseaux sociaux, les modèles de sécurité traditionnels de type « château fort » sont révolus. Nous sommes passés à des modèles plus ouverts, ce qui implique que notre surface d’attaque s’est élargie. Les organisations criminelles ne s’y trompent pas et ont énormément investi pour détourner les moyens informatiques mis à disposition de nos clients et collaborateurs. Elles industrialisent de plus en plus leurs attaques. La cybercriminalité introduit quatre risques majeurs. Le risque le plus ancien est lié à la disponibilité de nos systèmes d’information. Or, il est essentiel que nos clients puissent accéder à leurs services bancaires en ligne quand ils le veulent, de l’endroit qu’ils choisissent, avec n’importe quel outil (ATAWAD, any time, anywhere, any device). Viennent ensuite les fraudes externes qui visent les infrastructures visibles par le client (sites de banque en ligne, appli…), et les fraudes internes qui visent les systèmes internes de la banque. Enfin, la fuite d’information : un vol de données, même circonscrit, pourrait conduire à une perte de confiance de nos clients, particuliers ou entreprises.

Face à ces menaces, quelles sont les actions menées par Société Générale ?

Société Générale investit en permanence pour toujours mieux protéger les actifs et les transactions de ses clients.  Nous sommes garants de la sécurité des données et du respect du secret bancaire. Nous agissons sur cinq axes : La sécurité des applications et la sécurité de l’ensemble des données client, personnelles ou bancaires,  le renforcement de la sécurité proposée à nos clients (avec des outils robustes mais aussi simples à utiliser), et la sensibilisation et l’accompagnement de nos clients mais aussi de nos collaborateurs, car près de 90 % des attaques au niveau mondial surviennent via les salariés de l’entreprise.

Par exemple, dès qu’il y a une opération qui n’est pas conforme - un utilisateur qui a l’habitude de se connecter pendant la journée qui se connecte en plein milieu de la nuit - une alerte remonte dans nos SOC (Security Operating Center) qui surveillent 24h/24, 7j/7 la manière dont sont utilisées l’ensemble des infrastructures informatiques et applications. L’ensemble des dispositifs de lutte contre la cybercriminalité s’appuie sur 4 piliers : « Prévention, Protection, Détection et Réaction ».
 

Comment cela se traduit pour les clients ? Pouvez-vous nous donner des exemples de solutions proposées par Société Générale ?

L’une de nos solutions phares est le cryptogramme dynamique, placé au dos de la carte bancaire. Il s’agit d’un écran digital intégré affichant un nouveau code toutes les heures qui rend ainsi impossible la réutilisation des données. En six mois, près de 100 000 de nos clients ont déjà adopté cette solution. Nous proposons également un logiciel de sécurisation de l’espace client sur notre site : Trusteer qui permet à l’utilisateur de s’assurer que le site qu’il consulte n’est pas un site pirate usurpant l'identité Société Générale. Autre exemple avec Secure Access, une solution dédiée aux entreprises qui sécurise l’authentification et la validation des ordres de paiement ou d’encaissement.

Comment les nouvelles technologies contribuent à assurer la sécurité et renforcer la confiance numérique ?

Afin de détecter les fraudes, le Big data nous permet de collecter et de centraliser des grands volumes de données. Ensuite, nous utilisons des modèles mathématiques pour extraire des usages déviants et détecter des événements anormaux. On définit un modèle type, un écart type et quand une opération varie au delà de cet écart type, une alerte est envoyée. Les systèmes de machine learning qui nous permettent ces détections, comme par exemple les transactions frauduleuses par cartes bancaires, sont de plus en plus puissants et nous montrent des choses que nous n’aurions pas pu voir sans eux.

Société Générale et Wavestone ont lancé les Banking CyberSecurity Innovation Awards, une première dans le secteur bancaire. Quel est l’objectif de ce prix ?

Je pense qu’en tant qu’acteur de l’économie réelle, nous avons la responsabilité sociétale d’aider et de promouvoir de jeunes entreprises innovantes françaises et européennes. Cette initiative forte d’open innovation vise à multiplier les contacts et les échanges avec les acteurs de l’écosystème afin de co-construire des solutions pour garantir la sécurité des systèmes de la Banque et des échanges avec ses clients, et maintenir son rôle de tiers de confiance. Enfin, il est important de montrer à nos clients qu’il nous tient à cœur d’avoir toujours un temps d’avance pour protéger les données qu’ils nous ont confiées, que l’on continue à développer et à investir dans l’innovation pour anticiper les nouveaux risques et proposer des solutions novatrices permettant de pallier ces risques.

Vos équipes travaillent-elles avec d’autres acteurs de la cybersécurité (startups, laboratoires de recherche…) ? Quelle est l'importance de ces collaborations ?

Aujourd’hui, les banques - et les grandes entreprises en général - ne peuvent pas à répondre aux évolutions technologiques en vase clos et ont besoin de s’appuyer sur des spécialistes. Nous identifions des startups qui nous paraissent intéressantes pour apporter des solutions aux défis sur lesquels nous travaillons. Nous sommes par exemple en train de mettre en production une solution israélienne repérée début 2016. Via notre CERT (Computer Emergency Response Team)  notamment, nous travaillons beaucoup avec l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) avec qui nous échangeons de l’information sur les nouvelles attaques. Guillaume Poupard, le directeur général de l’ANSSI, fera d’ailleurs parti du jury des Banking CyberSecurity Innovation Awards. Nous sommes par ailleurs partenaire de la Chaire Cybersécurité des infrastructures critiques portée par Télécom Bretagne, en collaboration avec Télécom ParisTech et Télécom SudParis. Dernièrement, nous avons noué des contacts avec le Président de l’Inria (institut national de recherche dédié au numérique) dans la perspective de résoudre des problématiques de sécurité sur lesquelles nous n’avons pas de propositions satisfaisantes de la part des éditeurs. Nous voulons identifier de nouvelles solutions qui répondent aux enjeux de sécurité par des prismes différents des nôtres aujourd’hui. Cela passe forcément par l’ouverture et la co-création.