skip to content
Nous joindre
Cliquez pour ouvrir la recherche Ouvrir le menu de navigation mobile Fermer le menu de navigation mobile
Accueil

Voici pourquoi le secteur bancaire doit amorcer sa transformation numérique en donnant la priorité à la cybersécurité...

Publié le : 7 septembre 2022
Mis à jour le : 7 septembre 2022
Article

Il ne fait aucun doute que les percées numériques changent la façon dont les institutions financières interagissent avec leurs clients et leurs employés. La transition numérique, y compris le transfert des données dans le nuage, offre aux institutions financières l’occasion de moderniser leurs applications et d’en créer de nouvelles. Leur but : accroître l’agilité des TI et l’efficience des activités, en plus de demeurer concurrentielles.

Selon de récentes études, 91 % des institutions financières utilisent déjà des services infonuagiques ou prévoient y recourir au cours des six à neuf prochains mois. En examinant de près le secteur financier, on constate que le taux d’adoption est impressionnant. En 2012, 58 % des banques planifiaient la mise en place de services infonuagiques, les testaient ou les avaient déjà intégrés. Aujourd’hui, c’est le cas de 80 % d’entre elles. Les banques représentent 16 % des investissements mondiaux dans les capacités infonuagiques, soit près de 100 milliards de dollars américains par an. Et l’on s’attend à ce que la charge de travail des plateformes infonuagiques double chaque année.

Malgré ce taux d’adoption, le secteur financier pourrait exploiter le nuage plus efficacement, s’il donnait la priorité à la cybersécurité et à la protection des données. Pour suivre le rythme de l’évolution constante du numérique et des nouvelles technologies, il ne faut ignorer aucune des étapes fondamentales.

La plus importante d’entre elles consiste à bâtir des assises assez solides pour que l’entreprise sorte gagnante de la révolution numérique, y compris au niveau de la direction, qui doit elle-même intégrer aptitudes et valeurs numériques, et à se doter de l’infrastructure et de la capacité nécessaires afin que la transition se fasse en douceur. Cependant, la création de ces bases de changement peut avoir des répercussions considérables sur les fonctions de la gestion du risque, de la conformité et des affaires juridiques.

Afin que la transformation numérique soit couronnée de succès, votre organisation doit repenser tous les aspects : équipes, structure organisationnelle, stratégie, plans pour l’innovation et la croissance, expérience client, chaîne d’approvisionnement, technologie, finance, droit, fiscalité, risque et cybersécurité.

À mesure qu’elles réinventent des pans entiers de leurs activités, les organisations doivent porter une attention particulière à la protection et à la confidentialité des données. Elles doivent, entre autres, veiller à :

  • gérer la conformité à la réglementation, les données et le cyberrisque;
  • se préparer à contrer des cyberattaques de plus en plus fréquentes;
  • comprendre les risques généraux liés aux nouvelles technologies;
  • créer un programme de cybersécurité.

Donner la priorité à la cybersécurité et à la protection des données

Dans une économie mondiale connectée, les menaces évoluent rapidement, accentuant sans cesse les risques liés à l’exploitation d’une entreprise. Il est donc capital que les institutions financières ne négligent pas la cybersécurité au début de leur transformation numérique. Les investissements dans les technologies transformatives peuvent s’avérer inefficaces s’ils ne protègent pas les clients, les données sensibles et d’autres actifs essentiels. Une seule entreprise peut détenir les renseignements personnels de plusieurs millions de clients. Elle est tenue d’en assurer la confidentialité, de protéger les clients et de préserver sa réputation.

À l’heure actuelle, les écosystèmes financiers, qui connectent des entités, des personnes et des données, font face à une menace de cyberattaque grandissante. En outre, la législation sur la confidentialité et la protection des données continue d’évoluer à l’échelle mondiale.

Le but ultime de la protection des données est de faire en sorte que les renseignements permettant d’identifier une personne soient traités adéquatement et que leur sécurité soit assurée, en plus de satisfaire aux attentes du public en la matière. Elle répond aux préoccupations entourant la possible transmission des données à des tiers, avec ou sans le consentement des personnes concernées, et la manière dont les données sont alors communiquées. Cette discipline porte également sur les méthodes utilisées pour recueillir, traiter, conserver et supprimer les données.

La longue liste des initiatives législatives montre que les entreprises et les particuliers sont de plus en plus conscients de la valeur et de l’importance d’assurer la sécurité des renseignements sur les utilisateurs. Ces efforts ont obligé de nombreuses entreprises à élaborer une feuille de route décrivant leurs stratégies de protection et de confidentialité des données pour l’avenir.

En l’absence de processus et de mécanismes de contrôle efficaces en matière de cybersécurité, bon nombre d’organisations mettent en danger non seulement leurs données et leur propriété intellectuelle, mais aussi leurs employés et leurs clients. Les exigences relatives à la cybersécurité et à la protection des données ne doivent pas être considérées comme un à-côté. Elles doivent figurer au cœur du plan de transformation numérique, afin de prendre en compte les risques et les menaces et d’éviter de coûteuses mesures correctives. Cela permet également de se conformer à diverses exigences réglementaires.

Classification des données, protection des données et point de vue des consommateurs

Classer les données dans différentes catégories permet de les protéger plus efficacement. Grâce à ce processus, seuls les utilisateurs autorisés peuvent accéder aux données, au moment où ils en ont besoin et de la manière voulue, et les utiliser selon des critères prédéfinis. La classification des données consiste à déterminer le type de données, la personne qui en sera responsable, leur degré de confidentialité et leur intégrité.

Par exemple, une organisation peut classifier ses données comme étant des renseignements à diffusion restreinte, des renseignements personnels ou des renseignements publics. Les renseignements à diffusion restreinte seraient les plus sensibles et exigeraient le niveau de sécurité maximal. À l’inverse, les renseignements publics seraient les moins sensibles et les exigences en matière de sécurité en tiendraient compte.

Les consommateurs sont de mieux en mieux informés et prennent des précautions avant de communiquer des renseignements. Parallèlement, les organismes de réglementation mettent régulièrement à jour les exigences relatives à la protection des données. Les entreprises ont donc compris qu’elles peuvent faire de la protection et de la confidentialité des données un avantage concurrentiel.

Alors que les consommateurs adoptent de plus en plus la technologie numérique, les données qu’ils génèrent représentent pour les entreprises à la fois une occasion de mieux mobiliser leur clientèle et une responsabilité en ce qui a trait à la sécurité de celles-ci. Les données, comme la géolocalisation et d’autres renseignements permettant d’identifier une personne, sont extrêmement précieuses pour les entreprises, qui peuvent les utiliser pour mieux comprendre les irritants et les besoins non satisfaits de leurs clients, par exemple. Elles peuvent alors mettre au point de nouveaux produits et services, en plus de personnaliser la publicité et le marketing.

Les consommateurs croient souvent, à tort, que le nuage présente un risque plus grand pour la sécurité des données. Bien entendu, c’est très préoccupant pour le secteur financier, d’autant plus que le public doute fortement de sa capacité à protéger les données sensibles (selon un récent sondage, seuls 44 % des personnes faisaient confiance à l’approche du secteur financier en matière de sécurité numérique). En fait, les clients ont peut-être besoin d’en savoir plus sur les capacités infonuagiques des institutions financières, en particulier sur la manière dont elles les utilisent.

Pour les entreprises qui manipulent les données des consommateurs, les enjeux sont énormes. Même quand ils ne sont pas directement touchés par une infraction, les consommateurs prêtent attention à la manière dont les entreprises réagissent aux menaces.

Intégrer les bases de la protection des données à la transformation numérique

Malgré les défis, la transformation numérique demeure extrêmement attirante et bénéfique, en plus d’être indispensable pour le secteur financier. La perspective de déployer des technologies de pointe en vue d’accélérer l’innovation et d’obtenir un avantage concurrentiel a assurément de quoi séduire. Toutefois, si une entreprise cherche à se métamorphoser sans se préoccuper des questions de sécurité, elle finira presque inévitablement par rencontrer d’importants problèmes. Une institution financière peut se montrer proactive et prendre plusieurs mesures en vue de répondre aux exigences de protection et de confidentialité des données.

La première consiste à établir un ensemble de dispositifs de supervision et à veiller à ce que le projet soit examiné par un conseiller juridique ou un spécialiste de la protection des données. L’institution financière doit également produire des documents clairs sur les registres et la gouvernance concernant la collecte, l’entreposage et l’utilisation des données. Il est possible qu’une partie des renseignements obtenus ne soit jamais utilisée. Par conséquent, les entreprises du secteur financier peuvent atténuer le risque en recueillant uniquement les renseignements dont elles ont besoin pour servir leurs clients.

En guise d’autre étape essentielle, l’institution financière doit rédiger des politiques sur l’entreposage et la sécurité des données ou réviser celles qui sont en place. Idéalement, ces politiques doivent prendre en considération les différentes catégories de données, puisque l’entreposage varie selon les cas. L’institution financière doit élaborer des procédures claires et normalisées afin de gérer les demandes de suppression ou de transmission des données. Ces procédures doivent accélérer la conformité aux réglementations et englober les demandes des consommateurs visant l’identification, la suppression et la transmission des données.

Pour en savoir plus, regardez une discussion instructive entre spécialistes de la protection et de la confidentialité des données dans le nuage, organisée dans le cadre de la conférence Trusted Cloud de Cyber Tech & Risk, le 16 septembre 2021. Les participants sont Dishank Rustogi, directeur principal, Ingénierie de la cybersécurité, chez BDO, Helen Oakley, architecte principale de la sécurité des produits chez SAP, Hammoud Rabahm, directeur, Intégration de la sécurité de l’infonuagique chez RBC, et David Décary-Hétu, professeur associé à l’Université de Montréal.

Play Panel - Cloud Data Protection and Privacy

Qu’en est-il de la mise en œuvre de ces mesures?

Le cadre de protection des données de votre entreprise devrait comprendre un architecte à la protection des renseignements personnels, c’est-à-dire un spécialiste de la sécurité et de la technologie. L’architecte peut évaluer les objectifs de l’entreprise et la législation à laquelle vous devez vous conformer. Sans connaissance de la législation sur la protection des données, les projets technologiques peuvent créer de nouveaux risques pour votre société financière.

Une fois qu’une infraction a eu lieu, il est trop tard pour penser à une stratégie. Et le coût peut être considérable. La gestion d’une infraction doit prendre en compte les conséquences à court et à long terme.

Les conséquences à court terme comprennent des amendes et des frais, ainsi que le coût de l’enquête et des mesures correctives.

À long terme, la réputation de l’organisation est ternie et la confiance des clients, perdue. Une institution financière peut passer des années à se constituer une image qui inspire confiance et à travailler sans relâche pour maintenir son intégrité. Tous ces efforts peuvent être anéantis en quelques minutes. Il lui faudra alors plusieurs années pour rétablir sa réputation, mais la confiance des clients pourrait ne jamais revenir.

Protéger les données dès la conception

Alors que le secteur financier entame sa transformation numérique, la théorie de la protection des données dès la conception, élaborée par la Dre Ann Cavoukian dans les années 1990, fournit sept principes fondamentaux pour créer un programme de protection des données impérissable. Cette théorie se fonde sur l’idée que l’avenir de la protection des données ne peut pas être assuré simplement en se conformant aux cadres réglementaires; la protection des données doit plutôt devenir le mode de fonctionnement par défaut de l’organisation.

En respectant ces principes, les grandes institutions financières ont la possibilité de prendre le contrôle des renseignements personnels et sensibles, et de renforcer leur avantage concurrentiel. Votre organisation peut appliquer les principes énoncés ci-dessous, quels que soient ses employés, ses processus et ses technologies :

  1. Action plutôt que réaction; prévention plutôt que correction — Les organisations doivent pouvoir anticiper et neutraliser les événements avant qu’ils se produisent, au lieu d’y remédier.
  2. Protection des données comme paramètre par défaut — Peu importe le système ou le processus, les renseignements personnels et sensibles sont protégés par défaut.
  3. Sécurité intégrée à la conception – La sécurité des données doit faire partie de chaque plan.
  4. Pleine fonctionnalité – Une approche à somme positive, et non à somme nulle, de la conception des systèmes et des processus élimine les compromis inutiles en ce qui concerne la sécurité et la protection des données.
  5. Sécurité de bout en bout – Cette approche intégrée vise le cycle de vie complet des données, de la collecte à la destruction en passant par la conservation et l’entreposage.
  6. Visibilité et transparence – Il est important d’informer les parties prenantes que les activités de protection des données et les mécanismes de contrôle fonctionnent conformément aux objectifs établis et peuvent être soumis à une vérification indépendante.
  7. Respect de la confidentialité des renseignements des utilisateurs – Les intérêts de l’utilisateur doivent primer; les mesures de contrôle et les processus doivent être conçus en conséquence.

Il existe d’autres cadres ou normes pour aider les organisations à élaborer leurs programmes de protection des données. Tous contribuent à maintenir la confiance des clients, à améliorer la gestion des données et les dispositifs de protection, ainsi qu’à encourager l’innovation et à faciliter la transformation numérique, tout en réduisant les pertes attribuables aux amendes et pénalités, les dommages causés à la marque et le risque de poursuites.

En outre, les données ne peuvent pas être protégées sans un solide modèle de gouvernance opérationnelle qui englobe ce qui suit :

  • Gérance, rôles et responsabilités;
  • Politiques en matière de sécurité et de protection des données;
  • Diagrammes et ensembles des données sensibles devant être protégées et classifiées;
  • Découverte de la protection des données;
  • Protection des données et prévention des pertes (au repos et pendant les transmissions);
  • Intégrité des données et gestion du changement;
  • Accès établis en fonction des règles énoncées dans les politiques et des principes du besoin de connaître et du moindre privilège;
  • Accès et activités des utilisateurs consignés et surveillés;
  • Réaction en cas d’incident et d’infraction;
  • Conservation et destruction des données;
  • Sensibilisation et exécution;
  • Gestion des tiers;
  • Gestion des risques.

Principales questions que les sociétés financières devraient poser au moment d’élaborer leur cadre de protection des données

Pour placer la protection des données au cœur de sa transformation numérique, votre institution financière peut se poser les questions suivantes :

  1. Quelles sont les obligations légales et de conformité liées aux services fournis?

    Avant de mettre sur pied un programme de protection des données, il est important de bien comprendre les obligations légales et de conformité (p. ex., RGPD, CCPA, LPRPDE, HIPAA, PCI) liées aux services fournis et à l’information recueillie et conservée. Les raisons qui justifient la collecte, l’entreposage et le traitement sont appelées l’objectif défini ou conforme. Tout ce qui ne correspond pas à cet objectif doit être exclu, à moins d’obtenir un consentement.

  2. Quels sont les renseignements recueillis et traités? D’où viennent-ils et où sont-ils conservés?

    Il est essentiel de connaître la nature des renseignements personnels ou sensibles qui sont recueillis afin de pouvoir les protéger. On s’attend généralement à ce que des renseignements comme le nom, l’adresse, la date de naissance soient demandés. D’autres sont plus confidentiels, notamment le salaire, les renseignements sur la santé, l’emplacement, l’adresse IP et même les secrets commerciaux. De plus, certains renseignements personnels appartiennent à des catégories spéciales; c’est le cas, entre autres, de l’opinion politique, de la religion, de l’état de santé, du sexe ou du casier judiciaire.

    Une fois que la nature des renseignements est connue, il convient de déterminer d’où ils viennent et où ils vont, et où ils sont traités et conservés au sein de l’organisation (p. ex., base de données, serveurs infonuagiques, matériel de bureau, centres de données sur site, appareils mobiles).

  3. Les risques liés à la protection des données sont-ils bien compris?

    Une évaluation du risque aidera les organisations à déterminer la probabilité d’un événement négatif et les répercussions s’il devait se produire. Le résultat de cette analyse permet d’établir les mesures de contrôle et d’atténuation à mettre en place, et de définir la priorité de celles-ci, en plus d’aider la direction à prendre des décisions éclairées.

  4. Qui est responsable du programme de protection des données?

    Afin que le programme de protection des données fonctionne comme prévu, il est capital de définir les responsabilités. Votre institution financière doit désigner un responsable de la protection des données, chargé de la gouvernance et de la supervision. Quiconque au sein de l’organisation a accès à des renseignements sensibles ou permettant d’identifier une personne doit aussi être responsabilisé. La haute direction doit assurer la gouvernance globale et appuyer le programme de protection des données grâce à des politiques claires, à la formation et à la sensibilisation.

L’équipe de spécialistes de la cybersécurité de BDO est à votre disposition pour parler de vos besoins en matière de protection des données. Nous pouvons analyser votre situation et vous aider à élaborer un cadre qui donnera la priorité à la cybersécurité et à la protection des données tout au long de votre transition vers le nuage numérique.

Pour obtenir de plus amples renseignements, veuillez communiquer avec :

Mike Gelesz
Chef sectoriel national, Services au secteur des services financiers et bancaires | Services de consultation

i. https://www.ibm.com/thought-leadership/institute-business-value/report/banking-hybrid-multicloud

ii https://www.ibm.com/downloads/cas/74KLAO6J

iii https://www.mckinsey.com/business-functions/risk-and-resilience/our-insights/the-consumer-data-opportunity-and-the-privacy-imperative

Notre site utilise des témoins nous permettant de vous offrir un service plus réactif et personnalisé. En consultant notre site, vous acceptez l'utilisation des témoins. Veuillez lire notre déclaration de confidentialité pour en savoir plus sur les témoins que nous utilisons et sur la façon de les bloquer ou de les supprimer.

Accepter et fermer