La lutte contre le vol de données inquiète les banques

FINMALa FINMA a p résenté de nouvelles normes contre les vols de données bancaires et enjoint les établissements à prendre des mesures. Les premières victimes pourraient finalement être les banques elles-mêmes, s'alarment des experts.

Le travail et la gestion des données bancaires va profondément évoluer d'ici au 1er janvier 2015.

Le travail et la gestion des données bancaires va profondément évoluer d'ici au 1er janvier 2015. Image: Keystone

Signaler une erreur

Vous voulez communiquer un renseignement ou vous avez repéré une erreur ?

L'Autorité de surveillance des marchés financiers (FINMA) a présenté la semaine précédente la version définitive de ses prescriptions pour les données électroniques. Elles entreront en vigueur le 1er janvier 2015, laissant un peu plus d'un an aux banques pour améliorer leur sécurité informatique.

Cette réglementation fait suite au vol de données effectué par l'informaticien Hervé Falciani chez son employeur, la banque HSBC Private Banking. Pour la FINMA, c'était clair: l'organisation interne et le contrôle chez HSBC avaient failli.

Ce jugement est tombé en 2011. Pourtant, de nombreuses banques n'ont pas voulu en tirer de leçons, déplore Thomas Koch, expert sécurité chew PricewaterhouseCoopers (PWC). «Ainsi, de nombreux CD contenant des données clients ont pu être vendus et bien des banques n'ont toujours pas de système d'alerte», rappelle-t-il dans le Tages Anzeiger.

Nouvelles obligations pour les banques

Si la FINMA ne s'est plus exprimée depuis l'affaire Falciani, elle n'est pas restée inactive. «Elle force ainsi les banques à se mettre rapidement à jour au sujet de la sécurité des données», résume Thomas Koch.

Ce règlement est «inhabituellement détaillé», aux yeux de la branche. Selon Matthias Bossardt, responsable de la sécurité des données chez KPMG, les conséquences risquent d'être nombreuses. «Cela force les banques à analyser la situation dans laquelle se trouvent leurs données, qui y a accès et dans quelles conditions», résume Bossardt.

Bientôt des détectives pour les banques?

Pour les établissements qui ne se sont pas encore engagés sur ce terrain, cela se traduira par des «charges substantielles». La FINMA pourra ainsi les enjoindre à déclarer chaque incident sérieux, ce qui n'était pas le cas jusqu'à présent. Et les banques devront répondre des cas d'externalisation.

«Pour la plupart des banques, cela signifie un besoin d'agir assez important», souligne Reto Zbinden, chef de la sécurité informatique chez Swiss Infosec. De nombreux établissements ont ainsi fait l'impasse sur une étude du passé de leur personnel à des postes clés. Ce ne sera désormais plus possible et dans les faits, les banques pourraient bien se mettre à engager des détectives privés pour enquêter.

Cloisonnement de l'accès aux données

La situation financière sera régulièrement examinée. «Cela peut faire apparaître qu'un employé vit au-dessus de ses moyens ou mettre à jour des problèmes de dépendance voire des types de comportement», explique Zbinden. Si Julius Bär s'y était appliquée à l'époque, elle aurait peut-être décelé à temps les problèmes de dette de son informaticien allemand Lutz O. qui a vendu au fisc allemand des données clients en 2011.

La FINMA exigera aussi que seuls ceux qui ont besoin pour leur travail puissent avoir accès aux données. Une révolution pour de nombreuses petites banques, estime Zbinden. «Beaucoup d'entre elles protègent actuellement leurs données vis-à-vis de l'extérieur. A l'interne, les systèmes sont relativement ouverts, ce qui permet à de nombreux collaborateurs de pouvoir servir la clientèle.»

Danger pour les petites et moyennes banques

Toutefois, Matthias Bossardt espère que ces mesures seront relatives, ce qui laissera une marge de manœuvre opérationnelle aux banques. Ces dernières sont déjà confrontées à un environnement de plus en plus régulé et l'adaptation en termes de processus et de systèmes informatiques pourrait être conséquente. Surtout les banques de petite et moyenne taille, ajoute Zbinden.

Les établissement n'ont pas manqué de faire remarquer les coûts énormes que les mesures de la FINMA allaient engendrer mais aucune n'a voulu prendre officiellement position sur les conséquences à attendre. Et personne ne croit que ce règlement enrayera le vol de données. «Aussi longtemps qu'il y a un marché pour ce genre de produit, il y aura des collaborateurs qui seront prêts à tout pour les vendre», estime Bossardt.

Créé: 10.10.2013, 16h16

Articles en relation

La FINMA enquête sur plusieurs banques suisses

Manipulation Des établissements financiers suisses sont suspectés d'avoir manipulé des cours de monnaies étrangères. Plus...

Hervé Falciani va travailler avec le fisc français

Banques L'administration fiscale française a accepté de «définir les modalités d'un travail en commun» avec Hervé Falciani, ancien informaticien de la banque HSBC à Genève, au nom de son «expertise» en matière d'évasion fiscale. Plus...

Julius Baer poursuivie par deux ex-clients à Singapour

Banques Les deux plaignants réclament 94 millions de dollars singapouriens (68 millions de francs environ) et 186 millions de dollars de Hong-Kong (quelque 22 millions de francs) à l'établissement bancaire. Plus...

Les grandes banques vont accroître leurs fonds propres

Finance Les besoins en capitaux des plus grandes banques de la planète sont chiffrés à plus de 140 milliards de francs. Les établissements bancaires européens concentrent 60% de cette somme. Plus...

La Finma met la banque Frey sous surveillance

Finances La plainte déposée aux Etats-Unis pousse le président de la banque à abandonner ses fonctions au sein de l'étude où un partenaire est également poursuivi. Plus...

Publier un nouveau commentaire

Nous vous invitons ici à donner votre point de vue, vos informations, vos arguments. Nous vous prions d’utiliser votre nom complet, la discussion est plus authentique ainsi. Vous pouvez vous connecter via Facebook ou créer un compte utilisateur, selon votre choix. Les fausses identités seront bannies. Nous refusons les messages haineux, diffamatoires, racistes ou xénophobes, les menaces, incitations à la violence ou autres injures. Merci de garder un ton respectueux et de penser que de nombreuses personnes vous lisent.
La rédaction

Caractères restants:

J'ai lu et j'accepte la Charte des commentaires.

No connection to facebook possible. Please try again. There was a problem while transmitting your comment. Please try again.