Les banques sont enthousiastes pour aller dans le Cloud mais elles ne sont pas prêtes

En Europe, les banques sont volontaires pour mettre leur informatique en Cloud, mais elles ne prennent pas toujours les précautions nécessaires. Depuis 2016, nous voyons ces établissements passer des contrats de Cloud public, principalement avec AWS pour les banques modernes nées avec le digital, ou de Cloud privé, le plus souvent avec IBM pour l’héritage d’un système d’information vieillissant et hérité des mainframes. Il n’y a guère que les banques Suisses et Luxembourgeoises qui fassent encore de la réticence et, ce, pour des exigences légales particulièrement contraignantes dans ces deux pays : respectivement la Finma et le CSSF.

Le tabou du Cloud est tombé dans les milieux de la finance depuis que les prestataires ont pris des engagements sur l’encadrement juridique et sur l’isolation des données avec le reste du monde, en particulier grâce à des datacenters situés en Europe. Pour autant, la stratégie de migration, le respect des réglementations internationales, ainsi que des aspects plus pointus comme les données non structurées ou les droits d’accès, sont des domaines qui ne sont pas encore maîtrisés et qui posent des risques qu’il est urgent d’encadrer.

Les stratégies de migration vers le Cloud sont insuffisamment élaborées

Savoir quelles données ou traitements peuvent aller dans le Cloud nécessite d’abord de conduire un projet de classification et d’inventaire exhaustif. Or, dans le cadre des audits que nous menons, nous constatons dans la plupart des cas que des données à caractère sensibles sont stockées sur des espaces en ligne ouverts, comme OneDrive, ce qui ne devrait jamais arriver. Nous y voyons la preuve que la classification n’est jamais complète. Ces données sont les informations à caractère personnel, bancaires ou liées à la propriété intellectuelle.

Migrer dans le Cloud passe aussi en amont par déterminer une stratégie de stockage pour se conformer aux réglementations. Or, c’est là que le bât blesse : le stockage en Cloud étant réputé bon marché, les banques imaginent qu’elles n’auront plus jamais de contrainte de place et se désintéressent de faire le ménage. Elles se retrouvent dès lors à conserver des demandes de crédit ou des constitutions de dossiers d’assurance, qui fourmillent de données à caractère personnel, au-delà des délais autorisés par les réglementations.

Il y a à ce titre deux facteurs aggravant. D’une part, ces informations sont dans 80% des cas des données non structurées, c’est-à-dire de simples fichiers comme des exports Excel ou des scans de pièces justificatives, et elles sont particulièrement complexes à gérer car il faut les ouvrir pour identifier leur nature, ce qui est un travail pharaonique si on le fait manuellement. D’autre part, ces fichiers sont éparpillés au point qu’il est difficile de déterminer qui a le droit d’accéder à quoi et que la traçabilité imposée par les réglementations devient impossible.

Enfin, la stratégie de migration des données doit prévoir de couvrir les vulnérabilités propres au service Cloud dans lequel elles seront hébergées. Bien évidemment, il faut circonscrire l’exposition sur Internet, ainsi que les nouveaux modes d’accès, notamment depuis des mobiles. Mais le point le plus important est celui des nouveaux usages et, en particulier, les nouvelles possibilités de partage d’information avec des tiers extérieurs. Nous observons ainsi que les salariés des banques ont tendance à partager leurs données dans des espaces OneDrive avec des liens anonymes (quiconque se voit donner le lien peut accéder aux données) et sans restriction de délai. Le problème que cela pose le plus souvent est que les collaborateurs oublient au fil du temps qu’ils ont partagé ce lien. Et ils mettent ensuite dans cet espace de stockage de nouveaux documents, à l’attention d’autres partenaires, sans se rendre compte que les utilisateurs précédents y ont toujours accès.   

Pour toutes ces raisons, la stratégie de migration des données dans le Cloud doit prévoir un mécanisme qui détermine la nature des fichiers, qui crée des alertes lors des partages, qui détruit les liens automatiquement passé un certain délai et qui sache retracer l’historique des accès.

Le respect des réglementations doit relever d’un design technique qui reste à faire

Respecter les réglementations signifie spécifier des règles de sécurité techniques et juridiques dans un contexte globalisé, où les grandes banques opèrent sur tous les continents. La difficulté est d’aller au-delà du RGPD européen ; il faut également prendre en compte tous les détails du Privacy Shield sur l’échange de données entre l’Europe et les USA, le Consumer Privacy Act en Californie, etc. Or, le respect de toutes ces réglementations, que ce soit sur les contraintes légales (localisation des données, confidentialité, réglementations spécifiques à certaines données...) mais aussi pratiques (disponibilité, réversibilité, portabilité...) restreint l’usage de certains services en Cloud, voire interdit la collaboration avec certains hébergeurs. Or, plusieurs mois après l’entrée en vigueur du RGPD, nous observons que plusieurs entreprises peinent encore sur ces points.

La bonne pratique est d’avoir une approche dite de « privacy-by-design », c’est-à-dire de préparer les services et les données avec un design technologique qui assure leur sécurité en amont de leur mise en Cloud. Cela signifie qu’il faut faire des efforts de développement pour que les services minimisent le stockage de données clients, le nombre d’accès et le délai de rétention. Et pour qu’ils soient automatisés, ces services doivent voir toutes les données et tous leurs droits d’utilisation, mais aussi connaître la sensibilité de tous les contenus ainsi que tous les risques qu’ils posent.

Les risques à prendre en compte sont, répétons-le, la perte de gouvernance sur le traitement (parce qu’il est pris en charge par une application externe ou une chaine de sous-traitance, typiquement), la dépendance au fournisseur de service Cloud, ainsi que les défauts d’isolation, de délai de rétention et de droits d’accès des données,

Et même si les réglementations comme le RGPD ne concernent que les informations personnelles des clients, les banques auraient tout à gagner à encadrer de la même manière l’ensemble de leurs données. Elles en tireront le bénéfice de mieux les organiser et, par conséquent, d’être plus facilement conformes aux réglementations futures.

Résoudre le problème des données non structurées et des droits d’accès

S’il est assez simple de protéger les données prises en charge par les processus automatiques des bases de données ou de certaines applications, la grande majorité des informations sensibles résident dans les fichiers et les e-mails des collaborateurs ; ce sont ce que l’on appelle des données non structurées. Selon les analystes d’IDC, ces données non structurées augmentent plus vite que les autres et elles représenteront 93% des informations d’ici à 2022.

Outre des données personnelles, les fichiers et les e-mails contiennent des plans stratégiques et des analyses confidentielles. Et le problème est que, selon une récente étude de Forrester, seuls deux directeurs de la sécurité sur cinq savent localiser ces données et les classer selon leur contenu. C’est un paradoxe pour les banques qui, selon une étude de Kaspersky, dépensent trois fois plus de budget en cybersécurité que les autres grands groupes, mais ne maîtrisent donc majoritairement pas la sécurité des ressources que les pirates visent en priorité.

La question de la sécurité des e-mails et des fichiers des utilisateurs soulève celle des droits d’accès de ces utilisateurs, car ce sont ces droits d’accès que les pirates exploitent pour infiltrer et dérober les informations. Par principe, les collaborateurs qui ont besoin de certaines données pour travailler devraient être les seuls à y avoir accès. Dans les faits, l’étude Data Risk Report 2018 de Varonis montre qu’en moyenne 41% des collaborateurs ont accès à au moins 1000 fichiers sensibles et 58% à plus de 100.000 dossiers sur lesquels aucune restriction d’accès n’est posée.

Parmi ces collaborateurs, se trouvent notamment des comptes fantômes, c’est-à-dire des comptes utilisateurs que l’on a oublié de détruire après le départ de leur titulaire et dont les pirates pourraient prendre possession sans que personne ne s’en rende compte. La non-destruction de ces comptes relève d’un problème de communication interne : dans des organisations aussi grandes que les banques, il est compliqué pour les services concernés par le départ d’un collaborateur d’en référer rapidement à la direction informatique, d’autant que celle-ci doit valider l’information avec la DRH qui, elle-même, peut mettre du temps à actualiser ses informations. Les pirates, en revanche, sont passés maître dans l’art de se tenir au courant de tels mouvements et ils sauront exploiter les droits laissés vacants pour mener des actions d’infiltration qui, techniquement, paraîtront tout à fait légitimes.

Pour résoudre cette situation, la seule solution est de s’imposer une discipline stricte sur les droits d’utilisation, laquelle commence par identifier pour chacun des collaborateurs qui est propriétaire de quoi.

Guillaume Garbey, Directeur France Varonis