L’année écoulée a obligé les équipes et les organisations financières à revoir nombre de leurs processus techniques, d’autant que les employés ont été contraints de travailler à distance presque toute la nuit.

Une étude montre que 30 % des organisations financières estiment qu’elles courent aujourd’hui un plus grand risque en matière de cybersécurité qu’avant la pandémie. La majorité d’entre elles (64 %) s’inquiètent à la fois de la fréquence accrue des cyberattaques et des failles de sécurité causées par le travail à distance – mais malgré cette inquiétude accrue concernant les activités malveillantes, les incidents les plus signalés par les entreprises financières concernaient des erreurs humaines.

En conséquence, l’année 2021 verra certainement les organisations financières réévaluer leurs politiques de sécurité des données pour qu’elles soient adaptées à un monde numérique post-pandémique. Cependant, étant donné le large éventail de services financiers qui émergent, les organisations financières se trouvent aujourd’hui à des niveaux de maturité de sécurité très différents.

Certaines disposent d’une gestion des risques cohérente et continue, de processus établis et d’équipes de sécurité informatique dédiées. D’autres attendent simplement que les opérations informatiques gèrent la sécurité comme une tâche à temps partiel. De nombreuses organisations financières moins matures sur le plan technique ou qui dépendent encore fortement des systèmes existants n’ont tout simplement pas la motivation interne nécessaire pour adopter de meilleures pratiques de sécurité.

Pressions externes pour les services financiers

La bonne nouvelle est qu’à l’horizon 2021, ces organisations seront poussées à accroître la maturité de leur sécurité par des facteurs externes : la cyberassurance et les réglementations en matière de protection de la vie privée. En 2021, de nouvelles lois sur la protection de la vie privée et une application plus stricte des réglementations existantes, afin de minimiser le risque d’amendes élevées en cas de non-respect de la conformité, inciteront les entreprises à recourir à la cyberassurance.

La mauvaise nouvelle est que ces polices seront assorties de leurs propres normes et exigences en matière de sécurité, telles qu’une évaluation régulière des risques et des capacités de détection et de réaction efficaces.

En 2020, de nombreux projets de loi relatifs à la vie privée ont été relégués au second plan en raison de tâches plus urgentes liées à la pandémie mondiale. Cependant, ce n’est pas un problème qui va disparaître. Toutes les entreprises britanniques ou européennes qui traitent avec des marchés locaux ou internationaux doivent se conformer au GDPR – et avec l’amende récente de Twitter d’environ 500 000 € pour avoir omis de déclarer rapidement et de documenter correctement une violation de données marquant la première décision transfrontalière du GDPR, il y aura une vigueur renouvelée dans le secteur de la finance pour assurer la conformité.

En outre, la législation relative aux paiements, telle que PCI-DSS et PSD2, sera soumise à de nouvelles pressions, étant donné qu’une conséquence importante de la pandémie a catalysé le mouvement de dématérialisation des paiements.

Un équilibre entre conformité et sécurité

Ce regain d’intérêt pour les lois sur la protection de la vie privée oblige les organismes financiers à prêter davantage attention aux données qu’ils détiennent, à la manière dont ils les traitent, à qui y accède et pourquoi. Le fait de ne pas documenter ces éléments ou de ne pas suivre les politiques documentées peut entraîner des amendes importantes en cas de plaintes de consommateurs ou de violation de données. Cela peut obliger les sociétés financières à adopter des pratiques de sécurité et de gouvernance des données qu’elles n’avaient pas mises en place cette année.

L’autre facteur qui pousse les sociétés financières à revoir leurs mesures de sécurité des données est la cyberassurance. Le marché de la cyberassurance connaît une croissance rapide, avec un TCAC impressionnant de 26 %. Cette croissance est alimentée par la recrudescence des cyberattaques et par le fait que les entreprises cherchent à compenser leurs risques, et que les dirigeants et les membres des conseils d’administration reconnaissent les brèches potentielles ou les menaces de ransomware comme des risques commerciaux.

Les sociétés financières sont plus susceptibles de se tourner vers l’assurance comme option pour faire face au coût potentiel de ces nouveaux risques. Cependant, la cyber-assurance n’est pas une solution « payez et oubliez ». Pour réduire les risques d’atteinte à la vie privée de leurs clients, les compagnies d’assurance exigent qu’ils respectent leurs propres normes de sécurité, telles qu’une évaluation régulière des risques et des capacités de détection et de réaction efficaces. De cette façon, les assureurs contribuent à la croissance des solutions de sécurité qui offrent de telles fonctionnalités.

Enfin, ils obligent les entreprises à couvrir les éléments fondamentaux de la sécurité et à réévaluer régulièrement leurs programmes de risques informatiques et les changements de politique des assureurs pour garantir une couverture adéquate, car l’assurance n’est pas une panacée pour un programme de sécurité faible ou incohérent.

La vision à long terme

On peut affirmer sans risque de se tromper qu’au cours de l’année à venir, les assurances et la législation favoriseront l’adoption massive de pratiques de sécurité fondamentales pour les entreprises et les équipes financières. Toutefois, compte tenu de la pression particulière qu’ils subissent en matière de données, les services financiers devront trouver un équilibre entre le respect des critères d’assurance et le respect des normes réglementaires elles-mêmes. Bien que cela puisse poser certains problèmes de gestion des données, à long terme, cela s’avérera certainement bénéfique pour aider les services financiers à améliorer leur posture de cybersécurité.