ANALYSE
Sommaire Sécurité 
Les banques en ligne tardent à adopter l'authentification forte
Les établissements bancaires proposant une procédure d'authentification forte sont peu nombreux. La pédagogie envers le client final demeure une priorité.   (27/01/2006)
  En savoir plus
 Les solutions d'authentification forte
 14 anti-virus pour serveurs de fichiers
Dossier Virus, vers , Chevaux de Troie...
Alors que le montant des fraudes sur les sites de banque en ligne britanniques auraient représenté 14,5 millions de livres (ndlr : près de 22 millions d'euros) au premier semestre 2005, selon l'association britannique des paiements (APACS), les résultats d'un récent audit effectué par la CNIL ont de quoi surprendre.

Ainsi, trois banques en ligne françaises sur dix ne disposeraient pas de mécanismes de protection suffisants. Et quatre d'entre elles ne proposeraient pas de transaction sécurisée (protocole https) lors de l'échange du couple identifiant / mot de passe.

Les établissements bancaires - comme la plupart des sites marchands en ligne -, doivent veiller à mettre en œuvre deux dispositifs complémentaires : d'une part la sécurisation de leurs infrastructures réseaux et de leur serveur Web, d'autre part les accès aux comptes bancaires des utilisateurs.

Même si, prévient Nicolas Woirhaye, en charge de la lutte contre la cybercriminalité au sein du cabinet Lexsi, "ce sont avant tout les sites de banque en ligne qui font l'objet d'attaques, plus que le système d'information de la banque en elle-même".

'La sécurisation d'un SI bancaire nécessite une architecture en strates qui cloisonne et crée une défense en profondeur", signale de son côté Hervé Schauer, à la tête du cabinet HSC, spécialisé en sécurité informatique.

"Les logiciels utilisés sont en général Apache ou parfois Zeus en frontal comme serveur Web, ou relais HTTP en reverse-proxy sur des plates-formes Linux ou Solaris, alors que la supervision idéale sera faite sur un réseau distinct dédié à cette tâche, et cloisonné, afin de limiter les risques d'intrusions", ajoute Hervé Schauer.

La seule mise en place d'infrastructures sécurisées ne suffit pas
Mais la seule mise en place d'infrastructures sécurisées ne suffit pas, car encore faut-il s'assurer de leur intégrité. "Des audits comprenant - entre autres - des tests de montée en charge sont régulièrement effectués. Des outils de détection des fraudes et des techniques de scoring sont également utilisées", constate Laurent Treillard, consultant en sécurité des systèmes d'information chez Ageris Consulting, bureau d'études spécialisé.

"Nous faisons réaliser par une société externe un audit des applications et des services destinés au client et faisons procéder à une vérification de l'intégrité de l'ensemble de nos systèmes de sécurité. Par ailleurs, des tests d'intrusion sont menés par une équipe interne d'experts, épaulée par des correspondants sécurité présents au niveau régional", annonce Jean-Luc Jacob, responsable de la direction des nouveaux médias du Crédit Mutuel Nord Europe.

Le renforcement de la sécurisation des sites bancaires en ligne se fait cependant attendre (lire l'article du 17/03/2005). A ce jour, le Crédit Mutuel reste en effet l'un des rares acteurs bancaires à avoir instauré un système d'authentification forte.

"L'équipement systématique des clients en cartes d'identification renforcées, avec génération de codes aléatoires pour les particuliers, vient s'ajouter aux modalités d'identification statiques du couple identifiant / mot de passe", poursuit Jean-Luc Jacob. S'assurer que l'utilisateur qui accède à des comptes bancaires via Internet en est bien le titulaire demeure une préoccupation de tous les instants pour ces établissements.

"Les acteurs bancaires et les sites de commerce en ligne doivent se regrouper sur la problématique et mettre en place un système commun d'authentification forte le plus rapidement possible", alerte Nicolas Woirhaye (Lexsi).

Si la sécurisation des sites de banques en ligne est loin d'être homogène, un indispensable devoir de pédagogie doit être effectué en direction des clients finaux et des utilisateurs des services bancaires en ligne.

  En savoir plus
 Les solutions d'authentification forte
 14 anti-virus pour serveurs de fichiers
Dossier Virus, vers , Chevaux de Troie...
"Nous nous efforçons autant que possible de sensibiliser nos équipes de vente en interne aux phénomène de phishing, car ce sont elles qui vont être les premiers relais auprès de nos clients et pourront répondre à leurs craintes ou interrogations vis-à-vis de ces nouvelles menaces", conclut Jean-Luc Jacob.

Dominique FILIPPONE, JDN Solutions Sommaire Sécurité
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters