CARLOS MOREIRA. Le climat actuel donne des ailes aux fabricants de logiciels de sécurité. Dont Wisekey.
En attendant d’y voir plus clair sur les circonstances du pillage, l’apparente facilité avec laquelle un informaticien d’HSBC a sorti des dossiers sensibles de la filiale genevoise du groupe britannique alimente l’argumentaire des fournisseurs de logiciels de sécurité. Dont Wisekey à Genève. Son CEO, président et fondateur, Carlos Moreira, proclame une nouvelle fois que les banques ont les moyens de se protéger de ce genre de risque.
En quoi l’affaire HSBC se distingue- t-elle de celle des évadés fiscaux liant le Liechtenstein et l’Allemagne?
Les banques montrent leur incapacité à mettre en place des dispositifs de sécurité capables de les prémunir contre de telles dérives. Exclusivement sur la place genevoise, il existe près d’une dizaine de PME dans le domaine de la sécurité, capables d’offrir une gamme de solutions destinées à empêcher de manière continue ou temporaire les responsables informatiques d’avoir personnellement et exclusivement accès aux données sensibles d’une banque. Que ce soit à l’aide du PKI, de la biométrie ou du cryptage quantique, notamment. Wisekey n’est pas le seul acteur suisse sur ce marché. Néanmoins, c’est une chose de gérer le stockage des données, et c’en est une autre de le protéger afin d’en éviter une exploitation abusive.
Aucun établissement financier n’est prêt à outsourcer la gestion de ses données informatiques. Comment alors peuvent-ils s’assurer du bon usage de leurs données?
En séparant et restreignant l’accès à ces fichiers. L’affaire HSBC ne concerne pas les systèmes de stockage en tant que tels - qui sont pour la plupart fiables (Oracle, Microsoft Access, D-Base, etc.), mais la sécurisation des données. Les informaticiens ne devraient avoir accès qu’à certains dossiers et uniquement sur autorisation des directeurs de la sécurité (CSO) et des directeurs opérationnels (COO), voire des membres de la direction. Car ce n’est pas aux responsables IT d’exploiter les données des banques mais à leurs supérieurs, uniquement. En cas de doute sur l’objet d’une manipulation, il est possible de stopper de manière instantanée et par voie informatique ou de téléphonie mobile l’accès aux fichiers grâce à des processus d’identification forte et de cryptage et d’alerte appelés dans le jargon, PKI (Private Key Infrastructure). Ce que les banques ne font manifestement pas toujours.
La clientèle a-t-elle des raisons de douter alors de la fiabilité des systèmes de sécurité mis en place par les banques suisses?
Oui, et non. La Suisse et les établissements bancaires qui y sont implantés n’ont jamais fait l’objet d’autant d’attaques de hackers depuis le vote sur les minarets et depuis la révélation du scandale HSBC. Il est donc crucial de pouvoir compter sur des solutions efficaces, en particulier dans ces moments sensibles. L’extraction de données, que se soit d’une banque, d’une de ses filiales ou de tout autre entreprise, n’est pas étonnant en soi, et ce même si la Suisse demeure le pays le plus sûr au monde en matière de sécurité des données qui y sont gérées. Dans ce cas présent, on ne parle en effet pas de défaillance technique, mais d’un maillon faible clairement identifié: l’être humain. Reste que, dans le cas HSBC, la banque a fait preuve d’un manque de connaissances et peut être minimisé les risques informatiques liés à la gestion de tellesdonnées sensibles (i.e. les comptes des clients).
Si des solutions existent, pourquoi les banques n’y recourentelles pas?
D’une part, les sociétés IT en Suisse qui proposent de telles solutions sont jugées trop petites (nombre sont encore des start-up) encore. Il paraît en effet inconcevable qu’une banque mise sur une société dont l’existence sur le long terme n’est pas assurée pour assurer sa sécurité.Ce qui n’est plus le cas de Wisekey. Nous comptons 10 ans d’expérience et sommes en train de boucler une levée de fonds dirigée par UBS en vue d’une IPO dans les prochains mois, laquelle devrait nous permettre d’atteindre la taille critique de nature à rassurer davantage nos clients et, plus particulièrement les banques. D’autre part, quelques banques préfèrent continuer à développer des solutions à l’interne. Reste que, tant pour des raisons de sécurité que d’un point de vue marketing, elles seront, à court-moyen terme, contraintes d’implémenter de nouvelles méthodologies de gestion de ces accès pour mieux protéger la sphère privée de leurs clients. Les banques suisses ont réussi à instaurer un rapport de confiance avec les clients du monde entier. Ce rapport n’est pas tout à fait brisé (ce n’est pas une banque suisse qui a été touchée), mais celui-ci est tout de même biaisé désormais. La clientèle ne se déplace plus forcément en Suisse comme par le passé pour y ouvrir un compte, la technologie lui offre aujourd’hui d’autres moyens. A la banque de s’adapter dès lors à ces relations d’un nouveau genre. La plupart n’ont ,pour le moment, pas encore négocier ce virage, malgré, je le répète, l’offre disponible sur le marché, et pas seulement celle de Wisekey. Or, si elles n’arrivent pas à transposer le lien de confiance physique en lien de confiance digital, elles courent le risque de devoir faire face à des plaintes pour négligence de la part de leur clientèle, comme cela se passe aux Etats-Unis.
Comment ont-elles alors réagi?
En misant sur le partenariat publicprivé. Citigroup est la première à avoir souscrit au réseau Identrus.com (une racine PKI bancaire) avec pour but de se prémunir contre toute attaque juridique intentée pour négligence. Identrus. com permet aux organisations de gérer efficacement les risques associés à l’authentification d’identité bancaire aux Etats-Unis. Ce type de modèle PKI financière n’existe pas encore en Suisse. Ce n’est pas dans la culture des banques helvétiques de travailler en réseau pour la gestion de la sécurité des informations liées à leurs clients. Or sans sécurité, pas de confiance, et sans confiance, multiplication des risques et désertion des clients.
La Suisse va par conséquent devoir prendre des décisions politiques en matière de sécurisation des données sensibles, notamment sur la création d’une racine bancaire cryptographique à disposition de tous les établissements financiers suisses.
Pourquoi la création d’un tel projet en Suisse n’est pas envisageable?
Nos banques ne sont pas prêtes à partager la racine d’un système sur lequel circulent les noms de ses clients avec leurs concurrents anglosaxons. Ni l’Association suisse des banquiers, ni la Banque nationale suisse, ni les plus importants acteurs de la place ne sont tentés d’emprunter actuellement ce chemin ou de déléguer la certification de sécurité liée à leurs données. Sécurité et confiance sont deux choses distinctes. Singapour et nombre d’instituts américains l’ont compris et collaborent désormais, en particulier pour des raisons de compétitivité avec des sociétés externes.
Ce faisant, la Suisse perd du même coup du terrain face à la concurrence mondiale dans le secteur de la protection technologique de la sphère privée. Son savoir-faire en matière de sécurité numérique (développé dans et par des PME) ne s’expose ni ne s’exporte, car trop peu exploité par nos propres entreprises (à commencer par les banques). Pourtant, la sécurité et la sphère privée vont indubitablement s’imposer comme le critère numéro un du client au moment de choisir l’établissement où placer ses avoirs. Pour une place financière qui gère un tiers de la fortune privée mondiale, cette inertie est inacceptable.
INTERVIEW:
JÉRÉMY NIECKOWSKI