Pour Jean Diederich, banques et fintech ont tout à gagner à apprendre les unes des autres sur le plan de la sécurité. (Photo: Lala La Photo)

Pour Jean Diederich, banques et fintech ont tout à gagner à apprendre les unes des autres sur le plan de la sécurité.  (Photo: Lala La Photo)

Dans le cadre des deux jours de célébration pour les 20 ans du Clusil, le club des spécialistes de la sécurité, un petit-déjeuner était consacré à la cybersécurité dans le contexte des fintech, tout aussi exposées que les banques à des attaques de plus en plus sophistiquées et changeantes. Tentatives de phishing, arnaques au président ou chevaux de Troie sont leur lot partagé au quotidien.

«Les banques comme les start-up sont nombreuses à travailler sur des plateformes centralisées et à recourir au protocole de communication Swift, une porte d’entrée commune», constate Jean Diederich, président de l’Apsi et animateur de la matinée. «Souvent très petites, les fintech consacrent rarement des moyens suffisants à leur sécurité, en particulier lors de leurs premières années. Elles veulent être agiles et pensent d’abord au business. De leur côté, les banques sont des cibles toutes trouvées pour des attaquants voraces. Globalisées, les menaces viennent de tous les côtés.» 

Illusion sécuritaire

Si la protection totale est une douce chimère quel que soit le secteur envisagé, se protéger passe d’abord par la détection, l’analyse et le monitoring des tentatives d’attaque. Conscientiser l’utilisateur final est, bien sûr, la première étape d’une politique de sécurité solide. «Bien souvent, des menaces externes se combinent aux menaces internes. Il n’y a plus de frontières strictes entre les deux», pointe Eric Romang, invité lors du panel et part de l'aventure Yapital, dont la société a fortement souffert d’un vol de code source. «Il est dangereux de sous-estimer l’importance des risques en matière de propriété intellectuelle.» 

Même la Réserve fédérale américaine a été hackée, pourquoi pas vous?

Steve Clement, spécialiste en gestion de crise de CIRCL

Les entreprises ont affaire à des attaquants très bien formés et travaillant en réseau. Le hacking ne connaît plus de frontière. «Personne n’est à l’abri. Même la Réserve fédérale américaine a été hackée, pourquoi pas vous? Pour se protéger, il faut bien comprendre la manière dont ses propres systèmes sont interconnectés et comment ils fonctionnent. Certains cybercriminels les connaissent mieux que vous. Loin de tenter des entrées au hasard, ils savent exactement quel passage emprunter», affirme Steve Clement, spécialiste en gestion de crise pour le CIRCL, qui milite pour un partage des tentatives de hacking.

La technologie change tout le temps, la réglementation ne peut pas suivre.

Alex Kampa, fondateur de Hiero

Se limiter au niveau légal requis ne suffit pas, puisque les attaques ont une nature évolutive. «Nous vivons dans un monde obsédé par la réglementation depuis 20 ans», souligne Alex Kampa, fondateur de Hiero. «Si la ‘checklist’ imposée est trop longue, on aura tendance à s’en contenter et ne pas regarder au-delà. Ce n’est pas la bonne approche. La technologie change tout le temps, la réglementation ne peut pas suivre.»  

Pour être efficace, toute politique de sécurité doit être actualisée en permanence et relayée hors du département IT. «En partageant l’information, on peut en aider d’autres. Pour être une start-up nation, il faudra parvenir à partager ses échecs et occasions manquées. C’est une importante source d’apprentissage, y compris sur le plan technique. Dans trop d’entreprises, la sécurité ne devient un enjeu qu’en cas d’attaque», achève Steve Clement.