Actu PME Des projets de type gestion des identités et contrôle d'accès sont de plus en plus souvent mis en place dans les établissements financiers. Pensez-vous que le risque interne est  une préoccupation plus importante que les attaques externes ?

Marc Clément Le risque interne est perçu chez EFG comme étant aussi important que le risque externe et nous faisons beaucoup d’effort pour sécurisé les données de l’intérieur, spécialement contre des gens ayant la connaissance IT nécessaire aux piratages de ces données

Aujourd’hui la sécurité des périmètres réseaux et des systèmes d’information sont plutôt bien sécurisés. Désormais, c’est le facteur humain qui apparaît aujourd’hui comme le maillon faible dans la sécurité de l’entreprise. Les risques humains sont le plus souvent liés à des erreurs, des insuffisances ou à de la malveillance et c’est ce sur quoi nous nous concentrons.

Actu PME  Quels que soient les outils utilisés, nous constatons que l'informatique, qui envahit autant notre vie personnelle que professionnelle, est devenue un enjeu majeur. Comment garantir la sécurité et la confidentialité des informations dans un établissement bancaire tel que EFG?

Marc Clément En maîtrisant évidemment les éléments de sécurité physique, des systèmes d’information et surtout en maîtrisant, non seulement les échanges de données avec l’extérieur, mais surtout les flux internes et l’accès aux données. Mais il faut aussi avoir une équipe compétente dédié à la sécurité, travaillant avec des consultants externes de haut niveau. La sécurité étant une chaine, chaque maillon doit avoir la même solidité, faute de quoi c’est la totalité de la chaine qui n’offrira pas la solidité attendue.

Cela signifie traiter tous les cas liés à l’information à sécuriser comme évoqué ci-dessus, mais il ne faut pas oublier les aspects liés à la sécurité physique (ex. vol de données par des employés d’une société de nettoyage, etc..). En effet, rien ne sert de mettre en place une sécurité informatique élaborée alors qu’il suffit de voler des papiers.

Actu PME  D'après une étude du cabinet Deloitte, certaines compétences en ce qui concerne la sécurité feraient largement défaut aux établissements financiers. Estimez-vous que les banques suisses disposent des compétences nécessaires pour répondre efficacement à leurs besoins en sécurité ?

Marc Clément La sécurité est une guerre qui ne s’arrête jamais, un peu comme le dopage et les contrôles antidoping. La première chose est d’avoir en interne des gens qui comprennent la chose, avec une solide implication de la direction. Le reste des connaissances qui sont difficiles à avoir - car en constant changement - peut s’obtenir en travaillant avec des consultants de qualité. La difficulté est de dénicher les bons consultants, car les bons sont souvent déjà surchargés de mandats.

En fin de compte, c’est plutôt la prise de conscience des risques au plus haut niveau de l’entreprise qui faisait bien souvent défaut. La prise de conscience que le risque doit être envisagé dans son ensemble, et pas uniquement par des attaques de hackers, ou de virus. Les événements des mois passés (HSBC, etc.) ont eu au moins l’avantage de mettre évidence cette réalité.

Actu PME  La part du budget informatique attribuée à la sécurité dans les banques est demeurée en 2010 dans la tranche la plus basse car les dépenses se sont concentrées sur le maintien en condition opérationnelle des infrastructures. Devant la sophistication des menaces et l'émergence de nouvelles technologies, ne pensez-vous pas que cela constitue un risque ?

Marc Clément C’est clair que la situation financière joue contre nous, car la sécurité est la partie immergée de l’iceberg, dont personne n’a connaissance, sauf quand une situation vous explose à la figure.

C’est là que l’implication – et la compréhension – de la direction entre en jeu, car ce sont souvent ces derniers qui décident des coupes budgétaires.

Au moment des négociations budgétaires, il faut des personnes ayant de bons arguments, mais aussi des talents de négociateurs, pour faire passer un budget qui de prime abord n’apporte rien. Evidement, si un membre de la direction générale est sponsor de ceci, le budget passera plus facilement.

Donc pour répondre à votre question, oui le risque existe bien et il est inhérent à notre secret bancaire en vigueur qui nous oblige à prendre les mesures pour le garantir.

Actu PME  Les banques sont de plus en plus confrontées à des incidents liés à la sécurité (pertes financières, vol de données, compromission de l’image). Comment peuvent-elles faire face à cela ?

Marc Clément Certainement en mettant en application ce que j’ai évoqué plus haut, mais aussi en mettant en place un cadre de travail de qualité pour les gens travaillant dans l’IT, car in fine, ce sont souvent ces personnes qui volent les données, et s’ils le font, c’est très souvent à des situations de frustrations, psychologique et/ou salariale, voir des situations de désillusion dûes à la charge de travail voir du mobbing.

En d’autres termes, si vous avez des employés heureux, bien dans leur société, le risque de vol diminuera. Ce faisant, vous travaillez à maintenir la solidité de tous les maillots de la chaine.

Le « bien être des collaborateurs » est donc un élément très important (bien que pas souvent pris en compte) dans la sécurité de l’entreprise. Un collaborateur mécontent – pour une raison ou pour une autre – peut devenir lui aussi un élément de risque important.

Actu PME Certains responsables IT se disent peu enthousiastes à l'idée d'acheter des produits ou services de sécurité s'ils ne contribuent pas à l'automatisation. Pensez-vous que la sécurité au sein d’une grande entreprise telle que EFG peut être entièrement automatisée ?

Marc Clément L’automatisation c’est bien, l’intelligence c’est mieux.

Plus sérieusement, je pense que l’automatisation doit venir en aide aux gens de la sécurité à cause de la masse de données à surveiller. Celle-ci devenant tellement énorme, il n’est simplement plus possible de suivre sans aide par des systèmes automatisés.

Donc, s’imaginer que l’on peut mettre des systèmes automatisés en place et ainsi économiser des ressources est une illusion. Il faut des systèmes automatisés AVEC des personnes compétentes qui gèrent intelligemment les alertes, c’est-à-dire qui extraient les éléments  pertinents de la masse d’informations et d’alertes générées par les produits ou services de sécurité automatisés. Tels sont les challenges de la sécurité informatique aujourd’hui.

Interview réalisée par Thierry Dime

Copyright © d'Actu PME - Tous droits réservés

---

PARTAGER CET ARTICLE