CyberArk : La cybervulnérabilité des banques et de leurs robots

La technologie a complètement transformé notre manière d’appréhender nos transactions bancaires. Les consommateurs et les entreprises exigent en effet aujourd’hui une immédiateté des échanges et des actions, et contribuent ainsi largement à l’essor des applications bancaires mobiles. D’ailleurs, une étude conduite récemment par le cabinet américain eMarketer estime que d’ici 2021, 84,3 % des Français utiliseront des services bancaires en ligne.

Ces derniers mois, nous avons assisté à la montée des Fintech et à une mutation rapide vers une nouvelle génération de banques digitales telles que Monzo ou encore Tandem. Ces dernières répondent en effet aux attentes des clients souhaitant des paiements en temps réel, des comptes-rendus détaillés sur leurs dépenses et un service client rapide. Ces nouveaux besoins du marché obligent les fournisseurs de services bancaires traditionnels à prendre rapidement le train de la transformation numérique, et à revoir leurs offres. Pour défier ces nouveaux concurrents, les grandes banques se tournent vers l’automatisation de leurs back-office en s’appuyant sur des bots financiers qui, sans un contrôle scrupuleux, peuvent constituer une véritable vulnérabilité et conduire à des failles de sécurité.

Automatisation du back-office

Les banques telles que la Barclays, Nationwide, Natwest et RBS investissent énormément dans leurs opérations de front-end pour maintenir le rythme face à cette nouvelle concurrence, mais l’accélération des services sera presque impossible si leurs fonctions de back-office ne sont pas plus efficaces. Comment un employé peut-il répondre rapidement à son client s’il est tributaire d’un support informatique basé à l’étranger ou surchargé pour résoudre un problème ? Et d’où viendront les investissements dans les nouveaux produits, si des fonds sont gaspillés dans le traitement manuel qui nécessite beaucoup de temps ?

Pour rationaliser les processus, de nombreuses banques font appel à des « robots » ou « bots », c’est-à-dire des applications qui effectuent de manière automatisée des tâches prédéfinies avec un résultat plus rapide, moins coûteux et plus précis qu’un humain. Ainsi, lorsqu’un administrateur informatique peut être appelé pour résoudre un problème, un robot pourrait effectuer la même action automatiquement. Il n’est donc pas surprenant que les tâches informatiques qui étaient auparavant externalisées à l’étranger – comme le redémarrage d’un serveur ou l’allocation de ressources – reviennent en métropole sous la forme de bots pour accélérer les temps de réponse et assurer que les ressources sont allouées à des activités de plus grande valeur ajoutée.

Comment les robots peuvent-ils conduire à des infractions ?

Cependant, tout comme n’importe quel administrateur IT humain, les robots utilisés doivent bénéficier de droits d’accès à des comptes administrateurs ou comptes à privilèges. Ces informations d’identification utilisées pour accéder aux systèmes, offrent un accès élevé et non restrictif à la plateforme sous-jacente, à laquelle les comptes d’utilisateurs non-admin ne peuvent pas accéder.

En outre, ces banques qui tentent de garder une longueur d’avance les unes sur les autres pour déployer des robots, ouvrent alors la porte à de nouveaux types de risques si elles n’anticipent pas correctement la façon de les sécuriser. La compromission de ces comptes à privilèges donne au pirate informatique la possibilité de se déplacer latéralement – et insidieusement – à travers les systèmes de la banque jusqu’à ce qu’il trouve l’information, ou les fonds, qu’il recherche et prenne potentiellement le contrôle du réseau.

Les banques sont une cible très prisée des cyberpirates, du fait des gains financiers conséquents qu’elles rapportent ! En effet, un nouveau rapport d’Accenture a révélé que les organismes bancaires subissent près de 85 tentatives sérieuses de cyber-brèches par an, dont plus d’un tiers aboutissent. Les institutions financières n’ont simplement pas le droit à l’erreur et ne peuvent sous aucun prétexte laisser apparaître la moindre lacune de cybersécurité.

Gestion du risque

Les tâches d’automatisation des banques sont naturellement axées sur la valeur ajoutée des robots. La rationalisation des processus permet en effet d’économiser les coûts informatiques, d’accélérer les services et de garder une longueur d’avance sur la concurrence. Cependant, avoir conscience du risque induit est essentiel pour s’assurer que les bots bancaires ne conduisent pas à des failles de sécurité, et plus largement à des infractions. Tout comme pour les comptes d’utilisateurs réguliers ainsi que pour les applications et les autres processus clés, il est indispensable de s’assurer que les informations d’identification des comptes à privilèges associées aux robots sont correctement configurées et protégées.