Quand la sécurité accompagne l'ouverture sur le web et le mobile : le cas de la banque privée

Sécurité de l'information
Quand la sécurité accompagne l'ouverture sur le web et le mobile : le cas de la banque privée

Advens était récemment invité à une table ronde organisée par le bureau de Genève de la société CAPCO, cabinet de conseil spécialisé dans la finance présent dans toutes les grandes places financières du globe.

Cette table ronde avait pour thème le développement des canaux « Internet » et « mobile » dans les services financiers, et plus particulièrement dans le secteur de la banque privée (private banking) et de la gestion de fortune (wealth management), compte-tenu du contexte suisse.

Quelques différences entre banque privée et banque de détail

Les échanges ont permis de mettre en avant toutes les particularités de la banque privée, notamment par opposition à la banque de détail : clients hautement exigeants et particulièrement suivis, forte obligation d’information sur les placements et les risques associés, manipulation de produits financiers complexes, le tout sur fond de cadre réglementaire strict et de secret bancaire.

Le poids croissant du SI dans le métier bancaire n’est pas parvenu à gommer ces différences ; il a parfois pu les amplifier. Et le mouvement de fond initié par le développement du « e-banking » pour du « m-banking » n’est pour l’instant pas en mesure de modifier cette tendance.

La banque privée a ses particularités et ses exigences. Et celles-ci viennent directement alimenter les cahiers des charges des applications destinées aux canaux web et mobile : refus ou impossibilité de réutiliser des solutions provenant de la banque « grand public », volonté commerciale ou stratégique de proposer une solution différente, plus personnalisée, plus adaptée, plus sur-mesure. Prêt à porter contre haute-couture.

La nécessaire ouverture sur Internet et sur le mobile

Tout est réuni pour motiver le déploiement de solutions : demande croissante des clients pour des services numériques, avantage et commodité de la tablette dans la gestion de la relation client, possibilités offertes par la dématérialisation; mais encore faut-il que ces solutions existent et soient prêtes au déploiement.

Parmi les difficultés ressenties par les différentes banques qui se sont exprimées sur le sujet, deux facteurs de complexité reviennent en boucle :

  • la complexité d’intégration des applications web et mobiles, aux technologies multiples et difficiles à suivre, dans un SI de plus en plus global; et
  • la sécurité des données, des flux et des applications.

Le mot est lâché : la sécurité serait un frein à l’ouverture vers ces nouveaux canaux.

Nos retours d’expérience

L’expérience d’Advens a démontré que la sécurité peut être source de valeur et apporter un avantage stratégique à quiconque sait mettre en place une fonction « sécurité » pleine de sens. Notre intervention lors de cette table ronde a mis en avant des approches innovantes de la sécurité au service des métiers.

 En effet, il est acquis que la sécurité ne doit plus être un facteur de blocage, mais au contraire un accélérateur pour le métier et l’ouverture aux nouveaux canaux. Au travers de quelques exemples, cette approche a été illustrée afin d’en démontrer la viabilité et la pertinence dans différents contextes.

Les apports de la sécurité pour la banque en ligne

Dans le cas d’un site de « e-banking », un certain nombre de fonctionnalités se retrouvera assez facilement sur les différents sites bancaires. En revanche, certains services peuvent apporter beaucoup aux clients et devenir des avantages compétitifs. La mise en place de services de signature électronique, en s’appuyant par exemple sur des certificats déployés pour l’authentification forte, peut permettre de réaliser des opérations à plus forte valeur ajoutée, comme la souscription à un nouveau produit ou l’arbitrage sur un portefeuille de placements.

Sur cette base, il peut être ensuite possible de développer une solution de coffre-fort numérique. A l’heure où les « papiers » les plus importants pour un client peuvent être numériques, quoi de plus logique que de passer le coffre-fort dans la sphère numérique ? Un des services les plus historiques de la banque devient alors disponible sur le canal « internet » grâce à une sécurité adaptée.

Ces dispositifs se heurtent à des contraintes de déploiement ou de validation juridique. Mais la dématérialisation reste un vecteur intéressant du « marketing » de la sécurité. Au métier qui s’interroge sur les possibilités de nouveaux services en ligne, le RSSI donne alors des solutions et peut même donner de nouvelles idées.

Une approche innovante, centrée sur la valeur ajoutée pour le métier

Lorsqu’il s’agit d’applications mobiles, le lancement des projets peut être impacté par de nombreux facteurs internes : difficulté à retenir une solution ou une technologie, complexité à suivre l’évolution des terminaux et de leur système d’exploitation, méconnaissance de cet environnement par les métiers, etc. Pour les plus motivés, il n’est pas rare qu’une fois terminée, l’application mobile fièrement lancée se voit rendue obsolète par la sortie d’une nouvelle tablette ou l’apparition d’une nouvelle approche technologique ou ergonomique.

Pire encore, l’application peut être exploitée par une autre application mobile, proposant une surcouche qui va réutiliser les identifiants des clients pour l’amener au mieux sur une application au design plus attrayant, au pire vers une application malveillante.

Et si l’on inversait la tendance ? Il faudrait se concentrer sur le développement d’un ensemble de composants sécurisés et validés, qui pourraient être utilisés par l’écosystème des développeurs d’applications mobiles qui sont légion sur Internet. La banque se concentre sur la mise au point d’un cœur applicatif sécurisé et conforme, ainsi que sur certains composants critiques comme l’authentification ou l’envoi d’information. Et le reste est pris en charge par la communauté, moyennant une étape d’homologation de sécurité : le « crowdsourcing » comme facteur de développement et d’accélération de la banque mobile… Pour certains l’approche est trop innovante compte-tenu des méthodes de travail habituelles. Pour d’autres, l’idée fait réfléchir.

Vers un meilleur traitement des risques

Ces deux exemples ne sont que des illustrations et ne prennent pas en compte l’ensemble des contraintes régissant ce volet du métier bancaire. Cependant ils mettent en lumière une approche innovante de la sécurité, approche saluée par les différents participants. La sécurité est clairement identifiée comme un sujet incontournable dans la banque en ligne et dans la banque mobile. Une approche positive, centrée sur la valeur ajoutée pour le métier, devient alors le point de départ d’un meilleur traitement de la sécurité et des risques.

Benjamin Leroux, Innovation & Marketing, Advens