Gestion de risque et conformité des technologies financières

À mesure qu’apparaissent les innovations, les responsables de la gestion de risque et de la sécurité informatique sont confrontés à des enjeux de plus en plus critiques. Maîtrisés, ces enjeux constituent une opportunité d’amélioration et de croissance.

En 2016, Carolyn Wilkins, première sous-gouverneure de la Banque du Canada déclarait : « Même s’il est essentiel de faire le tri dans tout le battage entourant les technologies financières, je suis convaincue que ces dernières pourraient avoir une incidence nette positive sur le système financier, pourvu que les risques soient gérés adéquatement. »

La cyberattaque dont a été victime Equifax en 2017 nous rappelle qu’en matière de « gestion adéquate des risques » et des données sensibles, rien n’est acquis.

Les banques non plus ne sont pas à l’abri des cyberattaques. En 2018, « la banque indienne Cosmos Bank a été victime d’une attaque d’un nouveau genre : des pirates ont installé un logiciel malveillant sur son serveur de distributeurs de billets et sont parvenus à siphonner l’équivalent de 13,5 millions de dollars en deux heures à peine ».

Plus près de nous et toujours en 2018, des pirates ont dérobé de l’information financière à 90 000 clients de la Banque de Montréal et de la Financière Simplii, filiale de la CIBC. La même année, le Sénat canadien sonnait l’alarme sur l’état de la cybersécurité   : « Même si les banques bénéficient de la connaissance et de l’expérience nécessaires pour lutter contre les cyberattaques, (…) les récentes cyberattaques contre la Banque de Montréal et la Simplii Financial envoient le message selon lequel même les entreprises les plus réglementées, et sans doute dotées des meilleurs moyens de défense contre les attaques en matière de cybersécurité, ont leurs faiblesses. » À cet égard, certains parlent même d’une crise de confiance entre les institutions et leurs clients.

Signe que les risques évoluent à la même vitesse que les innovations, le vol de données et les cyberattaques non seulement font régulièrement la une, « mais ils font partie des cinq menaces mondiales les plus probables en 2019, selon un rapport du Forum économique mondial (FEM) ».

Dans un contexte où les institutions sont plus que jamais étroitement interconnectées et où l’interopérabilité entre les services de paiement devient une norme réglementaire dans un nombre croissant de juridictions, la gestion du risque et de la conformité des technologies financières (FinTech) doit trôner au sommet de l’agenda des organisations. À mesure que les transactions bancaires sur mobiles deviennent la norme, que l’interconnexion des services et des organisations s’intensifie et que le nombre de failles potentielles augmente, « ce qui affecte un prestataire les affecte tous, car les nombreux cas de fraude, par exemple, remettent en question la confiance du consommateur non seulement dans un prestataire, mais aussi dans le marché tout entier ».

Deux exemples de risque technologiques
En matière de services financiers numériques, le risque technologique désigne une défaillance technique bloquant la réalisation d’une transaction et l’atteinte de l’objectif prévu : paiement, virement, retrait, dépôt, achat, transfert, etc. Cette défaillance peut provenir, par exemple, d’un bogue, d’un vice de conception logicielle menant à une cyberattaque, de la défaillance des systèmes de communication et dispositifs (applis, logiciels, plateformes, réseaux, terminaux) permettant de mener à bien la transaction. 1.       Interfaces de programmation applicatives (API)

  1. Les interfaces de programmation applicatives sont la « brique et le mortier » sur lequel repose l’économie numérique. Comme elles permettent à différents logiciels et systèmes d’interagir et de partager des données, la protection et la confidentialité des données échangées sont critiques. Puisque les produits et services bancaires sont de plus en plus « des produits et services numériques », il existe désormais des « agrégateurs » permettant au consommateur de centraliser à l’aide d’une seule appli mobile la gestion de ses différents comptes. On estime que quelque trois millions de Canadiens utilisent au moins un service d’agrégation financière. Les APIs sont au cœur de cette innovation. Comme les cyberattaques connaissent chaque année une croissance à 2 chiffres, pas étonnant que les attaques par l’entremise d’APIs vulnérables soient appelées à devenir la cause principale des fuites de données. Dans un rapport publié en 2018, le Centre canadien pour la cybersécurité constate que le « vol d’informations personnelles et financières s’avère lucratif pour les cybercriminels et il est donc vraiment susceptible d’augmenter ». Petit conseil : verrouillez votre mobile sur lequel « tournent » vos applications financières. En cas de vol de votre appareil, l’accès à vos comptes sera protégé. Au moins. 
  2. L’infonuagique
    Les banques sont parmi les organisations qui investissent le plus en solutions infonuagiques pour gérer leurs plateformes Web et mobiles. Bien que ces solutions tendent à devenir incontournables, il existe des risques inhérents liés à leur exploitation, aussi bien en ce qui a trait à la protection des renseignements personnels qu’en matière de sécurité des données et des transactions. Une fois qu’une institution migre ses opérations sur le nuage, en fonction du niveau de service qu’elle adopte (IaaS, SaaS, PaaS) elle accepte de céder, en partie ou en totalité, le contrôle qu’elle exerce sur ses activités, sur la propriété et la saine gestion de ses données et de ses données client, sur leur accessibilité et leur pérennité, pour ne mentionner que ces aspects-là. En 2009, un pirate est parvenu à installer un module de commande sur les services Cloud d’Amazon, infectant ainsi 4 millions d’ordinateurs. Dix ans plus tard, les solutions infonuagiques sont toujours une cible de choix et rien ne permet de croire que la tendance va s’inverser. 

Dans son High Performance Security Report de 2016, Accenture révèle que les organisations canadiennes comptent au nombre de celles qui investissent le moins en cybersécurité. Encore plus préoccupant, « only 28% of organizations would invest the extra cash in efforts that would directly affect the bottom lines, such as mitigating against financial losses. And only 17% would invest in cybersecurity training. »

Signe que l’enjeu est on ne peut plus d’actualité, mais qu’il demeure sous-estimé, on ne parle plus tant de cybersécurité que de cyberrésilience : « L’explosion du phénomène d’externalisation des systèmes et des données et la multiplication des incidents impactant ces services doivent conduire l’entreprise à se saisir du sujet de la cyberrésilience ». 
Une occasion pour se démarquer
Des PME aux grandes entreprises et aux institutions financières, les différents acteurs exploitant de près ou de loin des services financiers, que ce soit à titre d’utilisateur final, d’intermédiaire ou de fournisseur, n’ont jamais été confrontés à une telle combinaison d’enjeux réglementaires, économiques et technologiques. Forte de l’expérience acquise en gestion de projets d’envergure dans les secteurs privés, publics et parapublics, Cofomo possède une expertise et une réputation dont vous pouvez profiter. Considérant les enjeux précédemment évoqués, nous pouvons vous accompagner de trois façons.
  1. Développement de logiciels, d’applications et d’interfaces de programmation d’application (API) vous permettant d’offrir à vos clients des solutions de qualité à savoir : robustes, performantes, sécurisées et ergonomiques.
  2. Mise en œuvre d’une stratégie de gestion du risque technologique basée, par exemple, sur la norme de gestion du risque ISO 31000, cette norme fournissant « des principes, un cadre et des lignes directrices pour gérer toute forme de risque et pouvant être utilisée par tout type d’organisme sans distinction de taille, d’activité ou de secteur d’activité ». Appliquée aux services financiers numériques, notre approche cerne d’entrée de jeu les risques technologiques, comment ils peuvent affecter le déploiement de vos solutions et comment vous pouvez les gérer adéquatement.
  3. Accompagnement dans la mise en place d’un plan de gestion de la conformité avec les exigences prescrites par la loi. Rappelons que La Ligne directrice sur la gestion des risques liés aux technologies de l’information et des communications de l’Autorité des marchés financiers (AMF) est entrée en vigueur le 1er juin 2019. « En regard de l’obligation légale des institutions de suivre des pratiques de gestion saine et prudente, l’Autorité s’attend à ce que chaque institution se soit approprié les principes de cette ligne directrice en élaborant des stratégies, politiques et procédures adaptées à sa nature, sa taille, la complexité de ses activités et son profil de risque. »
Plus que jamais, la gestion du risque et de la conformité est appelée à jouer un rôle décisif non seulement dans la création de valeur, mais dans la manière dont les innovations propulsent votre organisation vers de nouveaux sommets de croissance et de rentabilité.

En septembre 2017, Cofomo s’est qualifiée comme partenaire de choix en infonuagique pour le secteur public du gouvernement du Québec. À la recherche d’un partenaire de confiance? Contactez-nous.