close
Share with your friends

Principaux cyberrisques pour les banques durant la COVID-19

Principaux cyberrisques pour les banques

Les contrôles antifraude sont primordiaux pour les banques

Contenu connexe

Regrettable mais vrai, les fraudeurs ont tendance à profiter des événements ou des difficultés inattendus. Toute perturbation de la normalité leur apparaît comme une opportunité à exploiter.

Il n'est donc pas surprenant que la pandémie de COVID-19 ait entraîné une augmentation importante des activités frauduleuses. Pour de nombreuses personnes, la vie a soudainement pris une tournure très différente et inhabituelle, les rendant plus susceptibles de travailler à la maison plutôt qu'au bureau, de jongler avec la garde des enfants et de s'inquiéter des finances et de l'avenir. Des entreprises du monde entier sont aussi confrontées à d'importantes préoccupations en matière de liquidités et de revenus, et bon nombre d'entre elles se tournent vers des prêts d'urgence ou de l'aide gouvernementale.

Tout cela fait des clients des services bancaires aux particuliers et aux entreprises une cible naturelle pour les fraudeurs. En effet, les clients du secteur bancaire ont rapporté une augmentation significative du nombre de courriels d'hameçonnage reçus liés à la COVID-19. Ces courriels, qui semblent provenir de la banque, peuvent porter sur du soutien financier offert dans le contexte de la pandémie, mais servent en fait de leurre pour demander aux clients de fournir ou de valider des renseignements sur leur compte ou leur identité. D'autres courriels peuvent contenir des logiciels malveillants qui sont téléchargés sur l'appareil du client lorsqu'il clique sur un lien.

De plus, on a également observé une augmentation de la fraude dans les centres d'appels. Les fraudeurs peuvent avoir recours à ce que nous appelons le piratage psychologique, qui consiste à publier des questions « amusantes » d'apparence anodine sur des plateformes de médias sociaux, comme « Quel était le nom de votre premier animal de compagnie? », afin de recueillir des renseignements sur certaines personnes et de les utiliser pour se faire passer pour elles auprès de leur banque ou pour présenter une fausse réclamation d'assurance.

Ces stratagèmes n'ont rien de nouveau, mais le volume de ces tentatives a bel et bien augmenté. Les banques travaillent de façon proactive pour sensibiliser leurs clients et fournir des conseils sur les principes de base d'une bonne sécurité. Certains adoptent des approches entreprenantes, comme remplacer la musique d'attente dans les centres d'appels par des conseils enregistrés sur la sécurité.

Le défi du télétravail

Cependant, ce ne sont pas seulement les clients que les banques doivent s'efforcer de protéger : le personnel est lui aussi exposé à un risque accru. Probablement l'une des conséquences imprévues de la migration de masse vers le télétravail, les fraudeurs se sont vu offrir un nouveau terrain de jeu très tentant. En effet, les employés pourraient être plus vulnérables aux courriels d'hameçonnage et autres arnaques. Cette menace est ce que nous appelons le « réseau domestique hostile » : dans un foyer, plusieurs membres de la famille pourraient se connecter au même réseau et cliquer sur des liens et du contenu de toutes sortes, exposant ainsi les appareils à des logiciels malveillants qui pourraient ensuite pénétrer le réseau de l'entreprise en l'absence de contrôles appropriés aux points terminaux.

Par ailleurs, l'utilisation des applications de vidéoconférence a explosé. Il a cependant été démontré que certaines d'entre elles ne répondent pas aux normes de sécurité optimales, et on soupçonne que des personnes non invitées auraient écouté ou même piraté des conversations.

Bien entendu, les banques disposent d'une connectivité et de systèmes informatiques sophistiqués et bien établis, et permettaient déjà à de nombreux employés de travailler à distance au besoin. Mais l'augmentation fulgurante du nombre d'employés à tous les niveaux de l'organisation qui ont soudainement eu besoin d'un accès à distance a créé un premier défi, même pour elles. Certains membres du personnel n'avaient peut-être pas le matériel ou les logiciels nécessaires pour accéder au réseau privé virtuel (RPV) de la banque, forçant les équipes de TI à assouplir certains contrôles à court terme.

En fait, la COVID-19 a entraîné un énorme défi de surveillance. Les banques – et toutes les entreprises – doivent s'assurer que les utilisateurs à distance sont bien ceux qu'ils prétendent être et se comportent conformément à ce qui est attendu. Ce n'est pas chose facile lorsque les utilisateurs peuvent se connecter non seulement à partir d'ordinateurs fournis par l'entreprise, mais aussi à partir de leurs téléphones, tablettes et autres appareils personnels. Les protocoles PAP (prenez vos appareils personnels) habituels qui permettent l'accès à distance à partir d'un seul appareil peuvent avoir dû être assouplis. En outre, il est fort probable que les employés ne suivent pas leur horaire de travail habituel (p. ex., connexion vers 9 h et déconnexion vers 17 h) et qu'ils travaillent plutôt par intermittence à différentes heures de la journée en raison de la garde des enfants ou d'autres responsabilités. Dans ce cas, comment les systèmes de surveillance peuvent-ils détecter des schémas d'activité « inhabituels » et les signaler pour un examen plus approfondi?

Interruption de la surveillance des négociateurs

Autre domaine d'importance : la surveillance des négociateurs. La réglementation exige que les appels des négociateurs soient enregistrés et surveillés. Or, les négociateurs travaillent de la maison et les appels ont arrêté d'être enregistrés. Les négociateurs de certaines banques ont commencé à revenir travailler au bureau, tandis que d'autres sont toujours à la maison. Les autorités de réglementation ont accordé une certaine marge de manœuvre à court terme, compte tenu de l'importance de maintenir les flux de liquidité sur le marché, mais cette situation ne peut pas durer éternellement. Entre-temps, les banques n'ont d'autre choix que d'examiner minutieusement les transactions pour déceler tout signe d'anomalie.

Tous ces enjeux ne font que souligner l'importance capitale de la sécurité de l'information, de la cybersécurité et des contrôles antifraude. C'est un domaine qui demeurera au centre des préoccupations durant la période de relance post-COVID. Par ailleurs, en raison des mesures de confinement, les banques ont élargi la gamme d'options libre-service offertes aux clients en ligne – opérations de gestion de patrimoine, prêts hypothécaires, demandes de prêt, etc. Il devient alors encore plus crucial de veiller à ce que des contrôles de sécurité rigoureux soient en place pour cette nouvelle fonctionnalité client.

Priorités pour l'avenir

Pour l'avenir, deux grandes tendances se profilent à l'horizon. D'abord, puisque les niveaux de télétravail risquent de demeurer plus élevés qu'ils ne l'étaient avant la COVID-19, les banques pourraient devoir remanier certains de leurs protocoles et politiques en matière de gestion des accès afin de trouver des moyens d'accroître la souplesse sans compromettre la sécurité. En outre, elles chercheront probablement à utiliser des services de vidéoconférence plus sécuritaires.

Ensuite, on s'attend à ce qu'un nombre croissant de banques transfèrent une partie de leurs opérations de TI vers des environnements infonuagiques publics. À l'heure actuelle, la plupart des banques utilisent leurs propres nuages privés, mais en situation de confinement ou autre situation d'urgence, leur gestion peut s'avérer plus difficile. Par exemple, pour déployer un correctif de sécurité dans un système sur un nuage privé, un membre de l'équipe doit être physiquement sur place. Avec un nuage public, en revanche, la gestion des correctifs et d'autres fonctions de sécurité peuvent s'exécuter automatiquement à distance. Pour que cette transition se produise, les exploitants de services infonuagiques publics devront satisfaire aux exigences de sécurité supplémentaires très précises et rigoureuses que les banques sont susceptibles d'imposer. Malgré tout, on s'attend à voir des efforts de part et d'autre pour que cela fonctionne. Cette transition, quoique peut-être graduelle, s'inscrira fort probablement dans une tendance au cours des prochaines années.

En plus de tous les autres enjeux pressants liés au soutien des clients et à la fourniture de liquidités, la cybersécurité demeurera à l'avenir une priorité absolue pour les banques.

Si vous avez des questions ou désirez obtenir des conseils, veuillez communiquer avec nous.

© 2020 KPMG s.r.l./S.E.N.C.R.L., société à responsabilité limitée de l’Ontario et cabinet membre de l’organisation mondiale KPMG de cabinets indépendants affiliés à KPMG International Limited, société de droit anglais à responsabilité limitée par garantie. Tous droits réservés.

Pour en savoir plus sur la structure de l’organisation mondiale KPMG, visitez https://home.kpmg/governance (en anglais).

Communiquez avec nous

 

Vous voulez faire affaire avec KPMG?

 

loading image Appel d’offres