Poussés par des rapports incessants de petites et moyennes entreprises perdant des millions de dollars aux mains de cybercriminels organisés, les régulateurs fédéraux pourraient bientôt définir des mesures plus strictes que les banques commerciales doivent prendre pour protéger les clients commerciaux contre la fraude bancaire en ligne et éduquer les utilisateurs sur les risques de la banque en ligne.
En cause sont les des lignes directrices publié conjointement en 2005 par cinq régulateurs bancaires fédéraux sous l’égide de la Conseil d’examen des institutions financières fédérales (FFIEC). Les conseils visaient à inciter les banques à mettre en œuvre ce que l’on appelle «l’authentification multifacteur» – essentiellement, pour exiger des clients qu’ils fournissent autre chose en plus d’un nom d’utilisateur et d’un mot de passe lorsqu’ils se connectent à leurs comptes bancaires en ligne, comme la sortie d’un jeton de sécurité .
Le FFIEC n’a pas précisé exactement comment les banques devaient procéder et a en effet laissé aux institutions financières le soin d’élaborer l’approche la plus appropriée. Cependant, de nombreuses banques semblent s’être tournées vers des approches relativement peu coûteuses, faciles à vaincre et qui peuvent ne pas respecter strictement les directives, comme obliger les clients à fournir périodiquement la réponse aux «questions de défi» comme condition préalable à la connexion à leurs comptes en ligne.
Malheureusement, comme je l’ai documenté à maintes reprises, les criminels informatiques organisés déjouent facilement ces solutions. Les experts disent qu’une partie du problème est que peu de ces solutions peuvent protéger les clients dont les systèmes sont déjà infectés par des logiciels malveillants voleurs de mots de passe. De plus, peu de banques ont mis en place une technologie sur leurs systèmes dorsaux pour surveiller les transactions des clients afin de détecter des anomalies pouvant indiquer une activité frauduleuse, de la même manière que l’industrie des cartes de crédit passe au crible les données en temps réel et alerte le client si une transaction ou un ensemble de transactions s’écarte radicalement des habitudes d’achat habituelles de ce client.
Le mois dernier, breachtrace.com, interviewé Robert C. Drozdowski un spécialiste senior de la technologie avec le Société fédérale d’assurance-dépôts (FDIC). Drozdowski m’a dit que les régulateurs bancaires ont récemment organisé une série de réunions avec des banques et des fournisseurs de technologies de sécurité pour déterminer si des directives supplémentaires aideraient les banques à mieux protéger leurs clients commerciaux. Je lui ai posé des questions sur l’état actuel de ces réglementations et sur ce que nous pourrions attendre des régulateurs bancaires dans les mois à venir sur cette question. Ce qui suit est une partie de cette discussion.
MA: D’après ce que j’ai pu comprendre, il s’agit d’un type de fraude qui n’a souvent pas d’incidence directe sur les banques et qui, par conséquent, pourrait ne pas permettre aux institutions de documenter les pertes liées à la fraude bancaire en ligne. Les régulateurs bancaires ont-ils un moyen de mesurer combien les entreprises perdent à cause de la fraude bancaire en ligne ?
DR : Nous le faisons, mais ce n’est pas une demande que nous pourrions adresser immédiatement aux banques. Si nous pensions que ces informations seraient utiles, nous devions démontrer pourquoi nous avons besoin de ces informations, puis envoyer une demande au [White House’s] Bureau de la gestion et du budget, indiquant que nous aimerions soumettre une enquête à l’industrie. Ensuite, l’OMB nous répondrait si cela serait acceptable.
MA: Cela ne ressemble pas à un énorme obstacle…
DR : D’accord, mais il y a beaucoup d’autres problèmes qui créent de réels problèmes pour les institutions financières dans le domaine de l’immobilier commercial sur lesquels nous ne disposons pas non plus d’informations adéquates. Avec le [losses to smaller companies through online banking fraud], on parle de pertes de millions de dollars, alors que les pertes immobilières commerciales se chiffrent en milliards. Les pertes économiques plus importantes subies par les institutions financières dans l’immobilier commercial créent des ravages, et c’est là que l’accent est mis maintenant.
MA: Donc, vous dites que si les banques connaissaient en fait plus de situations dans lesquelles elles perdaient de l’argent à la suite de cette épidémie de fraude bancaire en ligne perpétrée contre les entreprises, alors les régulateurs s’en soucieraient davantage ?
DR : C’est quelque chose qui apparaît sur notre écran radar lorsque les banques commencent à subir des pertes, et pas seulement les entreprises associées à ces entités, c’est une observation juste. Mais dans la mesure où ceux-ci [attacks] créer un risque pour les clients des banques, nous avons l’obligation d’engager nos institutions et de les mettre au défi de faire mieux.
Je dois noter qu’il se passe beaucoup de choses dans les coulisses. Nous avons fourni à nos examinateurs bancaires des informations non publiques sur ces menaces, pour leur demander d’accroître leur diligence raisonnable en examinant les solutions d’authentification utilisées par les banques. Nous avons également publié un manuel d’examen des paiements de détail qui [asks] ce que font les institutions pour atteindre les clients afin de s’assurer qu’ils connaissent les exigences nécessaires pour effectuer des transactions de sécurité en ligne.
MA: Alors, n’y a-t-il pas de banques qui souffrent financièrement à cause de ce type de fraude ?
DR : Il y a des banques qui en souffrent. Nous avons des situations où les banques partagent les pertes avec leurs clients afin d’éviter les litiges et afin de préserver les relations d’affaires. Il y a des pertes tangibles que nous pouvons citer qui nous poussent à nous engager dans ce domaine. Et il y a des cas juridiques qui pourraient modifier considérablement ce paysage s’il était déterminé que les banques n’offrent pas le niveau de protection prévu par la loi.
MA: D’accord, mais il ne semble pas que les banques comprennent vraiment ce que voulait dire cette loi. Comme vous venez de le mentionner, il y a quelques poursuites en cours en ce moment qui pourraient en fin de compte déterminer si les banques font ce qu’il faut.
DR : Vrai. Cette barre est définie de manière assez ambiguë en ce moment. Ce qui est commercialement raisonnable n’est pas bien défini, et à l’heure actuelle, c’est à la jurisprudence de le déterminer.
MA: Plusieurs analystes m’ont dit qu’une partie du problème ici est que de nombreuses banques commerciales ont effectivement externalisé une grande partie de leur visibilité sur les transferts d’argent en ligne à des sociétés tierces, des entreprises comme Digital Insight, Jack Henry, Fiserv et d’autres. Bien que ces entités puissent offrir une surveillance des transactions back-end et d’autres fonctionnalités de sécurité, il n’est pas clair dans quelle mesure les banques qui s’appuient sur ces sociétés adoptent ces fonctionnalités, ou même les rendent disponibles en option pour les clients commerciaux. Il n’est pas non plus facile pour les entreprises de rechercher la banque la plus sûre, car les banques ne divulguent pas toujours ce qu’elles font ou ne font pas pour sécuriser les transactions. Que font les régulateurs à cet égard ?
DR : Je peux vous dire que nous avons contacté tous les principaux fournisseurs de services et que nous les avons reçus au cours des derniers mois pour discuter de ce problème et de l’adéquation des directives d’authentification qui datent maintenant de quelques années. Nous avons discuté de la question de savoir si nous devrions réorganiser ces directives. Et nous savons qu’ils ont les produits disponibles et qu’ils les offrent, mais nous savons aussi qu’ils n’ont pas été adoptés dans tous les cas parce que les institutions n’ont pas subi les pertes pour justifier les dépenses engagées.
MA: De quels types d’offres parle-t-on ?
DR : Ils ont tous différents niveaux de sécurité qu’ils offrent. Dans la plupart des cas, il s’agit d’offres de style cafétéria, et les institutions les sélectionnent ou non en fonction de leur tolérance au risque. Cela dit, vous devez reconnaître que lorsque vous rencontrez ces personnes et que vous leur parlez, elles sont incitées à vendre plus de produits pour nous amener à prendre en charge une plus grande authentification. Nous devons donc suivre une ligne très fine pour résoudre un problème par rapport à promotion d’un service. Nous sommes prudents quant à l’élaboration d’un scénario qui leur permettrait simplement de vendre plus de produits, donc c’est une ligne fine.
J’ai parlé avec le Better Business Bureau à ce sujet, et quelque chose qu’ils cherchent à faire est de créer une prise de conscience pour inciter votre institution à vous fournir un accès plus sécurisé si elle ne le fait pas déjà, et à encourager les entreprises à payer pour ces services s’ils sont disponibles. Nous espérons également impliquer la Small Business Administration dans ce dossier.
MA: Alors, les régulateurs vont-ils mettre à jour leurs orientations ?
DR : Il existe un groupe de travail de toutes les agences FFIEC qui examine les directives d’authentification. Nous avons traversé un processus au cours des deux derniers mois où nous avons fait appel à plusieurs des plus grands fournisseurs de services, les Jack Henrys, les Digital Insights, ces types d’acteurs. Nous avons eu des discussions ouvertes avec eux, mais dans le cadre de réunions à huis clos et confidentielles avec les régulateurs bancaires. Ensuite, nous avons fait venir des banques individuelles de toutes tailles pour discuter des problèmes. Le processus exploratoire vient de se terminer il y a quelques semaines. Les différents régulateurs bancaires retroussent désormais leurs manches et demandent « qu’avons-nous appris et que voulons-nous faire ensuite ».
MA: Mais qu’est-ce que cela signifie, concrètement, par rapport aux directives actuelles sur les services bancaires en ligne ?
DR : Je pense qu’il y a une prise de conscience que ce qui aurait pu être une sécurité adéquate il y a quatre ans, lorsque [a bank] l’examinateur est entré et a demandé aux institutions ce qu’elles faisaient sur la double authentification n’est pas adéquate ou peut ne pas l’être actuellement. Il y a un effort pour voir si nous devons ou non mettre à jour les directives ou publier une FAQ pour clarifier ce qui est ou n’est pas adéquat, et peut-être donner quelques exemples illustrés de ce que nous pensons n’est pas adéquat. Nous espérons que nous pourrons publier quelque chose dans quelques mois qui en parle. C’est donc un effort qui est en cours, et tous les régulateurs bancaires y sont impliqués, et c’est absolument une priorité pour les régulateurs en ce moment.