L’explosion de nombre d’objets connectés est une réalité désormais inéluctable. Depuis deux-trois ans, la communauté financière se pose régulièrement la question de l’équilibre risque/bénéfice d’un tel changement. Mais faire une telle évaluation et en donner une vision synthétique reste complexe, car l’extension du périmètre des objets connectés va de pair avec les croissances simultanées de la cybercriminalité, du volume de données connectées et des capacités de traitement de celles-ci.
Constatons d’abord que les objets connectés interviennent à de multiples niveaux du métier de la banque. Ils sont déjà très nombreux dans les moyens de paiement, d’authentification ou de sécurité : banque en ligne, smartphones, terminaux de paiement, distributeurs de billets, contrôles d’accès, vidéosurveillance… Mais ils pourraient potentiellement s’étendre à tout objet connecté industriel ou domestique permettant ainsi aux banques d’anticiper les divers besoins de financement, d’évaluer la solvabilité des acteurs ou d’anticiper des évolutions de marchés.
Les risques à prendre en compte
Le principal souci de sécurité des objets connectés vient directement de leur succès. Vérifier une transaction, valider la qualité d’une donnée ou encore authentifier une personne, nécessite des ressources à multiplier par les milliers de données à traiter provenant de chacun des milliards d’objets potentiellement concernés. Non seulement le coût d’une telle sécurité pose la question de sa rentabilité, mais la faisabilité technique de gérer toutes ces transactions et vérifications sans provoquer d’engorgement n’est pas garantie. Dès lors, faute de pouvoir assurer le 100 % sécuritaire et instantané, les banques doivent envisager les solutions à mettre en œuvre face aux écueils liés à l’emploi des objets connectés.
Le « hijacking »
Le risque le plus évident est la prise de contrôle des objets connectés eux-mêmes, souvent sans que cela soit détectable aisément. En effet, il ouvre de multiples possibilités de piratage aux cybercriminels : générer des transactions à partir d’un smartphone, faire délivrer plus de billets que demandés à un distributeur, éviter qu’un système d’alarme ne se déclenche, rendre aveugle une caméra, etc.
Le « eavesdropping »
Il n’est pas toujours nécessaire d’attaquer les objets connectés eux-mêmes. Le cybercriminel peut se contenter d’écouter ses échanges sur les différents réseaux pour obtenir des informations confidentielles. Au pire, il est possible d’obtenir la donnée transmise, tous les objets connectés n’ayant pas des capacités de chiffrages très élevées. Mais le simple fait que le trafic envoyé ou reçu par ces objets connectés évolue en fréquence ou volume, peut déjà constituer une information de valeur : augmentation de la fréquence d’échanges ou de transactions, augmentation des alarmes générées dans un site particulier, multiplication des informations de télésurveillance, ou au contraire absence d’échanges prouvant qu’un site est désert et donc attaquable, etc.
Le « denial of service »
Que le cybercriminel ait pu effectivement reprogrammer un grand nombre d’objets connectés ou simplement qu’il puisse simuler un large trafic venant de ces objets, il lui est possible de surcharger les moyens informatiques de la banque au point, soit d’en arrêter l’activité, soit d’en rendre impossible le tri entre données réelles et données corrompues. Indépendamment de la possibilité d’en tirer un bénéfice financier direct, en modifiant par exemple des soldes de comptes, le simple fait d’arrêter les transactions bancaires peut mettre à mal l’institution, les marchés ou même dans une certaine mesure l’économie locale. Sans compter la possibilité pour des concurrents de mettre en avant ces faiblesses de sécurité.
Le vol de données
Que ce soit au niveau du réseau ou des objets connectés eux-mêmes, l’accès frauduleux aux données traitées ou échangées par l’objet connecté autorise une large gamme d’activités délictueuses qui ne se réduisent pas à l’usurpation d’identité. Depuis quelques années, les spécialistes travaillent sur des scénarios construits sur l’interception de telles données, comme la possibilité d’ouvrir physiquement une agence bancaire ou une salle des coffres après avoir intercepté des mots de passe ou données biométriques et surveillé les mouvements des fonds et tours de garde en interceptant les images de vidéosurveillance ou détecteurs de mouvements.
La pénétration du système central
Que ce soit par une usurpation d’identité ou en tirant parti d’une faille de sécurité des objets connectés, la gravité du risque est accrue si l’agresseur accède au système central. L’ensemble des données bancaires peut alors être directement exposé ou même compromis. Dans le cas de certaines vulnérabilités, accéder directement au système d’information donne la possibilité au cybercriminel d’affaiblir l’ensemble des sécurités de la banque.
Le « MTM » (Man in the Middle) ou « spoofing »
L’une des vulnérabilités les plus étudiées est le « MTM », qui consiste pour le cybercriminel à se faire passer pour l’objet connecté vu du système central et pour le système central vu de l’objet connecté. Il peut ainsi réaliser potentiellement l’ensemble des attaques précédentes. Il est ainsi possible de valider une transaction demandée par un terminal de paiement ou un distributeur, tout en la masquant ou redirigeant vers un autre compte côté système central.
Le vol d’objets connectés
Pour être complet, même off, un objet « connecté » reste un risque. Le simple vol physique d’un tel objet peut permettre d’accéder aux données qu’il renferme, lesquelles peuvent être exploitées par ailleurs. Les mêmes personnes qui ne conserveraient jamais en clair leurs codes et mots de passe dans leur portefeuille physique auront bien moins de prudence quant à l’enregistrer sur un device mobile, à commencer par leur smartphone.
Les bénéfices attendus par les banques
La connaissance des clients et marchés
Le premier bénéfice des objets connectés est leur capacité à générer un très grand volume d’informations sur un périmètre très large. Non seulement l’information reçue des objets connectés est volumineuse, mais elle l’est en temps réel et en direct, sans intervention humaine, donc peu susceptible d’être manipulée. La banque obtient une connaissance de plus en plus rapide, précise et digne de confiance pour prendre ses décisions. Elle peut traiter des signaux de plus en plus faibles et évaluer des risques sur des statistiques de plus en plus représentatives. Sachant les habitudes de dépenses, elle peut surtout mieux cibler les produits pertinents vers les clients préférentiels.
L’expérience utilisateur
Banque mobile 24/24, banque à domicile, paiement en ligne, paiement sans contact, double authentification… Les objets connectés sont actuellement un atout majeur pour offrir aux clients une facilité d’usage et d’accès au financement. Ils offrent aussi un support idéal pour des offres ou des processus d’interaction avec la banque personnalisée. La reconnaissance faciale à l’entrée de la banque peut permettre un accueil et une mise en avant de produits personnalisés. Sans compter l’attrait des « early adopters » souvent très consuméristes des offres telles que l’utilisation de l’assistant domestique comme conseiller bancaire ou le « wearable banking » (pouvoir autoriser un paiement directement avec sa montre connectée, etc.).
Réduction des coûts
Comme pour toute industrie, les objets connectés permettent à la banque de mieux suivre ses propres assets pour en optimiser l’usage ou la maintenance. Ils proposent donc des gains de productivité directs. Ils offrent aussi des bénéfices indirects en facilitant l’accès à des process moins coûteux pour la banque : l’accès en mobilité à un assistant virtuel ou encore le simple fait que son smartphone indique directement au client quel service contacter.
La prévention des fraudes et la sécurité physique
Si les objets connectés peuvent alimenter les fraudes, ils multiplient aussi les moyens de les détecter. L’usage des cartes bancaires par exemple est de plus en plus surveillé et les informations obtenues par voies diverses (lecteurs, caméras…) recoupées de plus en plus. Ils permettent de faciliter la détection de toute activité anormale dans les réseaux et systèmes.
De même, ils multiplient les moyens de contrôle d’accès ou de surveillance des transports de fonds. Mais le bénéfice n’est pas limité aux objets appartenant à la banque et à ses clients. L’IoT au sens large, dans ses composantes de vidéosurveillance, traçabilité des échanges physiques, détection de comportements, etc. facilite la détection des trafics et manœuvres frauduleuses et la détermination des coupables.
Le casse du siècle ?
Ainsi, si l’avènement des objets connectés est synonyme de risque, il n’en reste pas moins que les banques peuvent réaliser le casse du siècle. Au vu de ces bénéfices et risques, elles ont en effet beaucoup plus à gagner qu’à perdre au large déploiement d’objets connectés de tous types. Charge à nous, informaticiens, électroniciens et autres ingénieurs experts, de développer des solutions optimisant les données collectées et leur exploitation, l’expérience utilisateur et la sécurité des objets connectés.