Quels effets de la transformation numérique dans le secteur bancaire et financier ? Quelles conséquences sur la cybersécurité ?

Deux questions abordées lors des tables-rondes organisées récemment par le cabinet NetEvents auxquelles étaient conviées à la fois des entreprises du secteur bancaire et des fournisseurs IT. Même si la monnaie n’est pas un bien comme les autres, le secteur bancaire et financier est tout autant soumis à la pression technologique que les autres, pression à laquelle il faut aussi ajouter un cadre réglementaire assez stricte et évolutif. Par exemple, la directive PSD2 a accéléré la transformation numérique et poussé le secteur à s’ouvrir encore plus et engager l’ère de l’open banking (En route vers l’open banking avec la directive PSD2). Ces évolutions facilitent l’arrivée de nouveaux entrants qui propose des nouveaux services et inventent des nouveaux business models.

Ces nouveaux services visent à répondre à des attentes fortes des consommateurs, notamment parmi les plus jeunes. « Deux voies sont possibles pour embrasser les changements en cours, explique Philip Griffiths, responsable des partenariats de NetFoundry . La première est d’engager le changement en interne et la seconde de le faire en dehors de l’entreprise. Cette dernière est le plus souvent retenue dans une stratégie low cost. Elle a l’avantage de permettre le lancement d’expérimentation sans mettre en péril l’activité existante ».

« Les Fintech ont de nombreuses opportunités à saisir mais doivent relever le défi du choix des technologies dont la palette est de plus en plus large », poursuit Philip Griffiths,. Sachant que 60 % des budgets IT sont destinés à maintenir l’existant (le legacy).

Aujourd’hui, le risque est de ne pas faire évoluer son infrastructure IT vers le cloud, qu’il soit public et/ou privé. Sachant que dans tous les cas, les entreprises se doivent de garder le contrôle de leur infrastructure. Pour Mansour Karam, CEO et fondateur d’Apstra, un pionnier dans ce que l’on appelle l’Intend-Based Networking, « le bon ratio serait de 70 % pour le cloud privé et 30 % pour le cloud public ». Pour Phil Mochan, co-fondateur de la société Koine, fournisseur d’une suite de gouvernance, conformité, gestion des risques et audit, « le cloud public offre toutes les garanties de sécurité encore faut-il l’utiliser correctement. » C’est là qu’intervient la notion de modèle de sécurité partagée (Shared Security model) qui détermine les responsabilités du fournisseur et du client en matière de sécurité. Il faut que les clients comprennent qui est responsable de quoi entre le client et le fournisseur.

Dans cette course permanente à l’innovation, l’Asie est plutôt avance en avance alors que les banques américaines font plutôt de la résistance. Depuis la crise de 2008, qui a fait tomber la prestigieuse Lehman Brothers, quelque 500 banques régionales américaines ont disparu.

A l’instar des autres secteurs, la question que les banques doivent se poser est de savoir où est la valeur. Ce qui ramène à la définition juridique de ce qu’est une banque qui montre qu’il est possible de découpler un certain nombre d’activités (voir encadré ci-dessous).

Les six natures juridiques d’établissements définies par le cadre bancaire et financier en France

– établissement de crédit, article L. 511-1 du code monétaire et financier,
– prestataire de services d’investissement, article L. 531-1 du même code,
– établissement financier,
– établissement de paiement,
– établissement de monnaie électronique,
– la société de financement, créée en 2013,
– ainsi que leurs différents intermédiaires, dont les intermédiaires en opérations de banque et en services de paiement (IOBSP), ou encore, les Intermédiaire en financement participatif, depuis le 1er octobre 2014.
(Source : Wikipedia)

Transformation numérique et cyber-risque

Toute opération de transformation, a fortiori numérique, comporte une part de risque importante dont la cybersécurité est une composante primordiale. Une des difficultés est que c’est un secteur très morcelé dans lequel aucun fournisseur ne couvre tous les besoins, loin de là. Ray Ottey, Fellow Cybersecurity practitionner chez Verizon rapportait un entretien avec un client ayant répertorié plus de 700 solutions utilisées dans son entreprise. Les différents intervenants à cette table-ronde recommandent de choisir un fournisseur proposant une approche de type plate-forme qui peut intégrer différents modules fonctionnels.

Autre difficulté, la cybersécurité est souvent prise en compte à la fin des projets alors qu’elle devrait être intégré dès le début, ce que l’on appelle couramment « security by design ».

Pour offrir un maximum de flexibilité, toutes les infrastructures devront, à moyen terme, être conçue et pilotée par logiciel (Software Designed). C’est ce que proposent les sociétés et Netfoundry.

« Jusqu’ici, la cybersécurité est pilotée par les fournisseurs, estime Brian Lord, de la société PGI, un conseil en sécurité qui travaille autant pour les gouvernements que pour les entreprises. Il faut que les entreprises reprennent la main. Et ce n’est pas seulement une question de budget même si la majorité des entreprises ont compris qu’elles devraient dépenser beaucoup en cybersécurité. Ce qui suppose que les directions générales comprennent les enjeux. Inutile d’aborder le sujet sur un plan technique. En fait, il faut développer des messages en termes business et de risques ».