La transformation numérique dans le secteur bancaire est irrésistible. A cause de la crise sanitaire, les fermetures et les limitations liées aux protocoles de sécurité imposées aux agences bancaires a d'ailleurs accéléré la transformation au cours de la dernière année. Les banques ont ainsi été contraintes d'améliorer leurs services numériques et de garantir leur qualité, tout en renforçant la sécurité de l'information et en évitant les pannes du système associée à l'utilisation croissante de la banque en ligne. Lorsque la Banque nationale d'Égypte (NBE, National Bank of Egypt) s'est lancée dans sa transformation numérique, il y a plusieurs années, le défi n'était pas simplement de présenter des services numériques à ses clients, mais aussi de transformer une culture qui reposait beaucoup sur l'argent liquide.

La population égyptienne dépasse les 100 millions d'habitants et de nombreux clients des banques sont des agriculteurs, des maçons, des personnes âgées et des personnes ayant une faible appétence pour la technologie. Le défi pour la Banque nationale d'Égypte est par conséquent non seulement d'amener ces clients à passer à la banque en ligne au lieu de garder leur tendance naturelle à utiliser de l'argent liquide et à se rendre dans des agences physiques, mais aussi d'assurer la création d'une infrastructure solide pour servir les millions d'utilisateurs convaincus d'applications en ligne.

Des agences presque entièrement automatisées

« Les succursales numériques et les succursales bancaires automatiques ont permis à nos clients de bénéficier d'une expérience bancaire transparente, où qu'ils se trouvent, même lorsqu'ils sont en déplacement. Dans ces agences presque entièrement automatisées, les clients peuvent interagir avec le service client via des chats vidéo dans les ITM (guichets bancaires interactifs) et bénéficier de l'émission instantanée de cartes dans ces agences numériques, entre autres services. Des solutions numériques supplémentaires sont prévues pour le déploiement cette année, qui seront annoncées en temps voulu », a déclaré Abeer Khedr, responsable de la cybersécurité à la Banque nationale d'Égypte.

Elle ajoute : « mon rôle est d'accompagner le métier pour déployer ces projets digitaux en toute sécurité. En nous alignant avec la direction et les équipes métier, en participant tôt aux phases de lancement du produit tout au long de la conception, du développement et des tests, nous nous assurons que la sécurité est correctement intégrée dans le cycle de vie de nos solutions et que nous assurons une mise sur le marché en temps opportun. »

La numérisation signifie investir dans la cybersécurité

Le paysage des cybermenaces auquel est confronté le secteur bancaire a évolué de manière sans précédent. Cela est dû à de nombreux facteurs : des initiatives de transformation numérique qui se sont accélérées, appelant à l'adoption de technologies nouvelles et perturbatrices dont la sécurité n'est peut-être pas complètement arrivée à maturité, couplées à une dépendance croissante à l'égard de fournisseurs de technologies financières tiers dont le risque doit également être géré.

« Les criminels ont également profité de l'année de la pandémie et nous avons vu les campagnes de phishing et les escroqueries numériques monter en flèche, en plus des logiciels malveillants et des ransomwares », a relevé Abeer Khedr. « De plus, avec la découverte de tant de vulnérabilités zero-day dans de nombreux systèmes, en plus des récentes attaques à grande échelle des outils amont comme SolarWinds, les banques constatent qu'elles doivent accélérer le rythme de leurs processus de déploiement de correctifs, accroître leurs capacités de détection des menaces et renforcer leurs mesures de sécurité globales. Les vecteurs d'attaque sur les banques incluent désormais non seulement le périmètre externe, mais également les applications bancaires, les terminaux et les API tierces. De plus, il y a l'élément humain, avec des attaquants ciblant aussi bien employés et clients.

Les vecteurs de cyberattaque se multiplient

« S'attaquer à cette augmentation des vecteurs d'attaque nécessite de travailler avec plusieurs catégories de partenaires de cybersécurité : des fournisseurs de solutions de sécurité qui vous fournissent les systèmes et appareils nécessaires pour la défense du réseau, la gestion des menaces, la journalisation, l'authentification multifacteur et la gestion des identités, pour n'en nommer que quelques-uns » constate Abeer Khedr. « Une autre catégorie de partenaires avec lesquels nous travaillons sont les sociétés de services de sécurité qui fournissent des services d'évaluation de la sécurité, de criminalistique, de réponse aux incidents et de protection de la marque. »

Lorsque de nouvelles solutions numériques ont été introduites, NBE a également lancé simultanément des campagnes de sensibilisation à la sécurité des clients. Des conseils ont ainsi été fournis aux clients sur différents sujets : sécurité mobile, phishing, escroqueries et ingénierie sociale. Les campagnes ont été dirigées vers les clients et les prospects sur les réseaux sociaux, dans les succursales, les guichets automatiques, via les centres d'appels et tous les autres canaux de communication possibles.

Expliciter les investissements aux directions métiers

Compte tenu du nouveau paysage des menaces, NBE a augmenté son budget de cybersécurité. Abeer Khedr préfère utiliser le terme « investir » dans la cybersécurité plutôt que de dépenser. « Augmenter les budgets pour la protection des actifs critiques d'une organisation qui permet à l'entreprise de prospérer, allouer des budgets aux campagnes de sensibilisation à la sécurité de vos clients qui les aident à adopter en toute sécurité vos solutions numériques tout en les protégeant des escrocs qui en veulent à leur argent - cela augmente la confiance des clients dans votre organisation également », relève Abeer Khedr.

Mais l'argent doit être dépensé judicieusement. « Obtenir un budget pour la sécurité devient un défi lorsqu'il n'est pas dirigé vers les bonnes ressources et que le retour sur investissement attendu n'est pas clarifié correctement à la direction et au conseil d'administration » juge Abeer Khedr. Elle conclut : « c'est le travail du RSSI d'expliciter les investissements aux directions métier et ainsi de servir la stratégie globale de croissance de l'organisation ».

Andrea Benito, CIO Middle East (adapté et traduit par Bertrand Lemaire)