La sécurité des données mobiles Les promesses du best of breed

PAGE
20. Indices |
|
Avril 2015 | Technologies bancaires
Les promesses
du best of breed
seront-elles tenues?
Choisir un système intégré
ou une sélection des meilleures
applications du marché
devient un vrai dilemme
pour les banques dans
l’environnement actuel.
Jean-Claude Favre
Directeur de Crédit Agricole
Private Banking Services (CA-PBS)
A
ujourd’hui, les évolutions réglementaires et les nouvelles exigences en matière de fiscalité et
de conformité imposent aux systèmes d’information un rythme
de changements très soutenu. Le
nombre de données à utiliser a également augmenté de manière exponentielle, rendant beaucoup plus complexe leur gestion, leur stockage
et leur interopérabilité. En outre, le niveau de sécurité exigé à l’égard des informations traitées se
veut toujours plus élevé, pour assurer une protection maximale des systèmes et se prémunir
contre les vols et les attaques extérieures.
Au vu de ces éléments, on mesure combien les
problématiques techniques en termes d’intégration, de développement et de maintenance se
compliquent. On comprend également que, dans
un tel contexte, une approche dite best of breed
– qui recherche les meilleurs outils du marché
et nécessite le développement d’interfaces pour
permettre la communication entre les différents
logiciels sélectionnés – devient plus difficile à
mettre en œuvre et coûteuse à maintenir. Cette
solution, qui promettait beaucoup il y a encore
quelques années, passe désormais plus difficilement l’examen de sa capacité à suivre les évolutions de l’environnement et à couvrir les besoins
en matière de sécurité.
MiFID, FATCA, et bientôt l’échange automatique d’informations, les nouvelles réglementations touchent en effet à des domaines toujours
plus variés au sein des systèmes d’information.
Pour s’en convaincre, il suffit de citer comme
exemple le traitement de la suitability qui exige une gestion de données à plusieurs niveaux:
clients, produits financiers mais aussi règles des
différents pays où opère la banque. Dans ce genre de cas, si les données en question sont traitées
par des outils différents, il peut devenir extrêmement complexe de gérer leur mise à niveau globale lors d’un changement de réglementation.
Sans oublier que la prise en compte de ces évolutions dans les différents outils doit être réalisée
dans des temps impartis souvent très courts sur
lesquels les banques n’ont aucune prise.
Dans un tel cadre, les interfaces mises en place pour faire cohabiter les différents systèmes
d’une approche best of breed impliquent des
charges d’intégration et de maintenance croissantes qui peuvent impacter négativement la capacité à financer de nouveaux développements.
En effet, quand il faut faire communiquer entre
eux des systèmes basés sur des approches, des
philosophies et des logiques différentes, il est
souvent nécessaire de recourir à des techniques
coûteuses de traduction des données dans un
langage intelligible par tous les systèmes utilisés. La valeur réelle créée pour les clients par
ces dépenses d’interfaçage est à l’heure actuelle
impossible à démontrer.
En période d’optimisation et de rationalisation
des coûts, la plupart des établissements qui
ont fait le choix d’une approche best of breed,
constatent que les dépenses induites pour maintenir cette stratégie augmentent fortement année
après année. Ils comprennent également qu’il ne
suffit pas d’avoir la meilleure solution du marché si son adaptation au système d’information
existant reste onéreuse en termes de temps et de
budget. Il est parfois bien plus avantageux d’opter pour une solution bancaire intégrée. Celle-ci
permettant de mener une réflexion de changement au niveau global et d’envisager une évolution comme un tout, incluant une implémentation transversale à tous les niveaux.
Un système intégré s’appuie sur un modèle de
données unique qui peut s’adapter plus facilement en fonction des évolutions réglementaires
ou des contraintes liées à la sécurité. Dans une
telle configuration, la protection des données
se trouve par ailleurs facilitée par le fait que les
informations sont stockées dans une seule base.
Dans une approche best of breed, le niveau de
sécurité est quant à lui affaibli puisque les données sensibles sont réparties dans différentes applications. Une telle solution nécessite la création
de passerelles entre plusieurs référentiels comprenant des données redondantes. Une situation
qui génère non seulement des risques d’erreur à
la saisie mais aussi de transformation et d’intégrité des données, ce qui peut
générer un nombre plus
Il ne suffit
élevé d’erreurs, d’importantes failles opérationnelpas d’avoir
les et des risques augmenla meilleure
tés de fuite de données.
Les difficultés éprouvées
solution si son
par ce genre de systèmes
adaptation
à garantir une protection
et une sécurité optimales
au système
sont encore redoublées par
existant reste
la multiplicité des fouronéreuse en
nisseurs impliqués, dont
les niveaux de sécurité
termes de temps
peuvent varier fortement.
et de budget.
Dans ce genre de situation,
nous savons bien que c’est
toujours le fournisseur
proposant le degré de sécurité le plus bas qui fixe
aux autres ses limites. Ajoutons encore que, si
l’un de ces fournisseurs venait à disparaître, le
système d’information dans son ensemble souffrirait de l’arrêt de maintenance d’une de ses parties. Aujourd’hui, il peut donc s’avérer plus judicieux de faire le choix d’un fournisseur unique
et fiable, qui offre des solutions pérennes tout en
engageant un vrai partenariat sur le long terme
avec son client.
Au regard de ces éléments, force est de constater que la comparaison entre l’approche best of
breed et le système intégré penche aujourd’hui
clairement en faveur de ce dernier. L’agrégation
de l’information au sein d’un système informatique unique est un élément déterminant pour la
qualité du service offert. En marge d’une sécurité accrue et d’une maîtrise plus importante des
risques, elle facilite la consolidation des données
clients, le pilotage des gestionnaires et l’intégration de nouveaux paramètres fiscaux et réglementaires.
Construire une solution soi-même nécessite
des efforts importants en matière de temps, de
finance et d’expertise. Peu d’acteurs ont une taille
et l’expérience suffisantes pour se le permettre.
En optant pour une solution intégrée couvrant
l’entier de ses besoins, on augmente sa maîtrise
des coûts tout en assurant une sécurité optimale
des données ainsi qu’une adaptation rapide aux
évolutions en cours et à venir. 
Private banking
La sécurité des
données mobiles
Céline Dangelser, Responsable Communication, AiM Services
Eric Pascal, Directeur Innovation & Mobilité, AiM Services
P
lusieurs études estiment à environ 1,75 milliard le
nombre de smartphones dans le monde à la fin de
l’année 2014. De surcroît, le nombre d’utilisateurs
d’Internet sur un terminal mobile, passera de 33
millions en 2012 à près de 800 millions en 2015.
Bien que le smartphone reste en tête avec un taux
de pénétration du marché de 50%, une préférence globale pour les
tablettes tactiles est à relever sur le marché du conseil financier.
D’autre part, selon l’étude MyPrivateBanking1, 96% des conseillers
financiers utilisent une unité mobile dans leur travail.
Avec la généralisation des supports mobiles, le marché du conseil
financier a pu relever un important changement du profil de l’investisseur et de ses habitudes de communication. Le nombre d’investisseurs utilisant un terminal mobile dans le cadre de la gestion
de leur(s) portefeuilles(s) a augmenté de manière exponentielle.
Qui plus est, les banques privées sont confrontées, au même titre
que les autres organisations, aux phénomènes du BYOD (Bring
Your Own Device) et du CYOD (Choose Your Own Device), et
donc à de nouvelles problématiques en termes de sécurité mobile.
Dans un contexte où la sécurité des données et la discrétion sont
une priorité pour les investisseurs, les banques privées doivent évoluer tout en rassurant leurs clients quant à la sécurisation de leurs
informations financières. A cet effet, les institutions bancaires peuvent se tourner vers la famille de normes ISO 27000, qui «aide les
organisations à assurer la sécurité de leurs informations, notamment concernant les données financières, les documents soumis à
la propriété intellectuelle, les informations relatives au personnel
ou les données qui sont confiées par des tiers». Dans cette famille,
la norme ISO/IEC 27001 expose les exigences relatives aux Systèmes de Management de la Sécurité des Informations (SMSI).
Ses règles permettent de garantir: la confidentialité, l’intégrité et
la disponibilité des données. Bien que n’étant pas une obligation
légale, le respect de cette norme permettra aux banques privées
de garantir à leurs clients la sécurité de leurs données financières.
Dans un contexte où les investisseurs attendent davantage de solutions mobiles, quelles sont les réponses qui existent sur le marché
pour être conforme avec la norme ISO 27001?
La première solution, est de mettre à disposition des investisseurs,
une application mobile de gestion de portefeuille sécurisée; pour
cela, les banques privées peuvent faire le choix d’une application
existante et nativement sécurisée telle que Mobius Wealth. Le cas
échéant, il est possible de développer une application «in-house»
en utilisant un SDK (Software Development Kit) tel que celui
d’AirWatch ou de Sysmosoft pour garantir la sécurité de l’application et des données qu’elle doit traiter.
Cette solution s’adresse principalement à des petites structures
bancaires ne faisant pas le choix de s’engager dans une importante
stratégie de mobilité. Si au contraire l’organisation est confrontée
au phénomène du BYOD ou du CYOD, il sera davantage conseillé
de s’orienter vers une seconde solution, plus globale: l’Enterprise
Mobility Management qui permettra de formaliser la politique de
sécurité de l’information de l’entreprise. Cette notion d’EMM est
appliquée par un certain nombre de banques privées, assurant ainsi au travers d’outils performants, une mise en place de politiques
de sécurité et de compliance. Cela permet, entre autres, à l’organisation de garantir à ses clients, que les gestionnaires qui adoptent
la technologie mobile, puissent échanger en toute sécurité et confidentialité de l’information et des documents. Il existe également
un outil complémentaire que les institutions financières peuvent
adopter: le téléphone sécurisé de type Kaymera, permettant de sécuriser les communications téléphoniques et sms.
S’il existe différentes solutions sur le marché, toutes permettent de
répondre à un unique besoin: garantir aux investisseurs la sécurité
de leurs données financières. La Suisse ayant connu ces derniers
temps une recrudescence d’attaques cybercriminelles et d’espionnage industriel, notamment dans le secteur de la finance, il est
aujourd’hui primordial pour une institution bancaire de garantir à
ses clients, une complète sécurité de leurs données. 
(1) Mobile Apps For Financial Advisors 2014 - MyPrivateBanking Report, 2nd edition.