Six étapes, inspirées du secteur bancaire, par lesquelles toute société devrait passer pour une sécurité de bout-en-bout

Fini le temps de ces mails dans lesquels des escrocs vous demandaient, dans un français approximatif, de vérifier votre compte en utilisant un lien inséré dans le message. Aujourd’hui, hackers et fraudeurs ont atteint un très haut degré de professionnalisme dans leurs attaques. Certains vont même jusqu’à disposer de leur propre centre d’appels, prêt à vous répondre si vous avez des problèmes pour payer la rançon d’un ransomware. Mais comment détecter et prévenir les cyber-attaques? Et comment réagir de manière pertinente en cas d’attaque? A l’occasion du séminaire Checkup de SecureLink, Sandro Sinigaglia, responsable de l’e-Fraud Management & Cybercrime SPOC for Business d’ING, a partagé avec les participants la manière dont il voit les choses, une vision qui s’appuie sur ce que vit le secteur financier au quotidien.

De tout temps, le secteur financier a été une cible privilégiée. “A l’heure où l’argent se dématérialise de plus en plus – qui d’entre nous paye encore en monnaie sonnante et trébuchante? -, le secteur doit veiller à ce qu’un quelconque quidam agissant au niveau du réseau ne puisse pas mettre la main sur le coffre-fort. Une solution technique possible est de prévoir un front-end qui se charge des identifications afin de pouvoir vérifier que l’utilisateur est bien celui qu’il prétend être”, explique Karl Wouters, responsable commercial Grands comptes chez SecureLink. “Nos compétences et les certifications de haut niveau que nous proposons permettent d’intégrer les systèmes adéquats, de telle sorte à fournir une solution sécurisée à nos clients.”
Côté utilisateur, il est important de s’appuyer sur une feuille de route et de l’appliquer soigneusement en cas d’incident. “Tout commence par une préparation approfondie. Mais il ne faut pas négliger pour autant une analyse a posteriori. C’est là une étape importante si l’on veut pouvoir mieux faire face, voire éviter, de semblables incidents à l’avenir”, souligne Sandro Sinigaglia, responsable e-Fraud Management chez ING Belgique.
La préparation
Vous devez être prêt à réagir en cas de survenance d’un incident. Vous devez savoir quoi faire. Pour cela, il est important de pouvoir collecter les éléments essentiels dans le flux d’informations. Autre conseil: mettre ses propres procédures à jour sur base des informations reçues. “Faites une distinction entre les actions qui sont systématiquement permises, celles qui sont toujours bloquées et la “zone grise”, à savoir des activités insuffisamment claires pour être immédiatement bloquées mais qui nécessitent un suivi”, explique Sandro Sinigaglia. Vérifiez également les ressources internes, aussi bien en termes d’équipements que de ressources humaines. Veillez à procurer les formations nécessaires et évitez que les connaissances qui auront ainsi été construites ne quittent l’entreprise. Une solution est ici de partager ces connaissances.
Une simulation de crise, à intervalles réguliers, est bien entendu indispensable. Sandro Sinigaglia: “Nombreux sont ceux qui, au stade de la phase préparatoire, oublient de définir ce qu’est une “crise” et ce qui la distingue d’un incident. Nous la définissons pour notre part comme suit: quelque chose pour laquelle nous ne trouvons pas d’issue, même après consultation avec nos experts.”
L’identification
Lorsqu’un incident se produit, il est important d’en faire une évaluation correcte en surveillant les signaux d’alerte. “C’est simple en réalité: suis-je conscient ou non de ce qui se passe? Dans le secteur bancaire, cela concerne le fait d’autoriser ou non certaines transactions. Si vous êtes dans l’ignorance, vous avez un problème. Il s’agit alors de passer à l’étape suivante”, déclare Sandro Sinigaglia. Il souligne également l’importance d’un “case management” (gestion de cas), surtout si plusieurs membres de l’équipe ou plusieurs départements planchent sur l’incident. Cela permet à chacun de savoir quelle action il doit prendre et de vérifier si ces actions ont effectivement été menées.
Stopper l’hémorragie
Dès l’instant où l’incident a été détecté, il s’agit d’intervenir pour le stopper. Une série d’options s’offrent en la matière au secteur bancaire. Il peut par exemple suspendre la transaction ou bloquer temporairement le compte. “Dans l’intervalle, il est possible de vérifier l’authentification via un autre canal, par téléphone par exemple. Ou bien encore vérifier s’il s’agit d’une transaction normale de la part du client”, explique Sandro Sinigaglia.
C’est lors de cette phase que l’équipe rapid response entre en piste. Elle s’efforce d’évaluer les dommages subis. “C’est ici que vous décidez: avons-nous encore le contrôle ou l’avons-nous perdu? Dans le premier cas, vous déclarez l’état de crise et vous en informez aussi bien la direction que les autorités, ce qui est d’ailleurs une obligation.”
Nettoyer
Avant d’en revenir à une situation normale, il vous faut tout d’abord éliminer la menace. “Rassemblez également des preuves de la situation vécue et analysez-les. Elles peuvent vous aider à constituer un dossier à charge en vue du dépôt d’une plainte mais aussi à comprendre ce qui s’est passé et à renforcer ou affiner les procédures.”
Restaurer
Veillez à disposer d’un plan de restauration après désastre, structuré en étapes à franchir afin d’en revenir à un mode de fonctionnement normal. Il se peut que vous deviez bloquer certains éléments – par exemple, des comptes bancaires, des comptes “mule” (comptes qu’utilisent les pirates pour faire transiter l’argent) ou encore les comptes mobiles d’un client.
Pensez aussi à la communication et prévoyez par exemple un scénario pour le centre d’appels qui est sans doute submergé de questions. “Ne vous contentez pas d’un “avez-vous fait telle ou telle étape?” mais essayez aussi, sur base de ces appels, de réunir des informations qui peuvent vous aider à éviter un futur incident”, confie Sandro Sinigaglia.
En tirer les leçons
Affaire bouclée? Pas vraiment. Vous pouvez en effet tirer beaucoup d’enseignements des erreurs commises. Identifiez les “éléments récurrents” des attaques passées de telle sorte à pouvoir les contrôler immédiatement lors d’un prochain incident. Pour ce faire, constituez une équipe multidisciplinaire incluant un analyste de fraudes, un ingénieur processus, un rédacteur de règles et – sans doute le plus important – un chargé de rapport. “Il sert de relais entre les collaborateurs techniques qui résolvent le problème et la direction ainsi que le monde extérieur”, déclare Sandro Sinigaglia.
Dernière étape: la rédaction d’un rapport final. “Ne le rendez pas trop technique. Limitez-vous aux éléments essentiels: cela doit rester simple et intelligible pour l’équipe de direction. Vous pouvez bien entendu rédiger un rapport “lessons learnt” à destination de votre propre équipe. Il contiendra les aspects techniques sur lesquels vous pourrez vous appuyer lors d’événements futurs”, explique encore Sandro Sinigaglia.
Interne ou externe?
Tout est susceptible d’être piraté. Une sécurité totale n’existe pas. “Chaque société devrait implémenter une feuille de route comme c’est le cas chez ING. Une brèche a en effet des effets néfastes. Cela m’étonne parfois de voir à quel point certains acteurs ne suivent pas ces quelques règles logiques”, déclare Karl Wouters de SecureLink. “Quelles que soient les ressources disponibles, une problématique récurrente pour les sociétés est de pouvoir dénicher les bons profils.” Le message à retenir en la matière est de collaborer avec des spécialistes.
“Ne vous lancez jamais dans quelque chose qui vous dépasse”, confirme Sandro Sinigaglia d’ING Belgique. “Mettez-vous plutôt en quête d’une expertise externe. Vous pouvez par exemple opter pour un modèle de service géré avec un prestataire. Un conseil à cet égard: aucun partenaire ne réalise précisément ce que vous désirez. Choisissez dès lors un partenaire en qui vous avez confiance et élaborez les solutions en relation étroite avec lui. Essayez de jouer un rôle actif, de manière transparente, dans la feuille de route qui doit vous mener vers de nouveaux produits et solutions. Et veillez à faire insérer dans le contrat l’assurance que votre prestataire opérera un transfert de connaissances en votre faveur.”