Sécuriser l’environnement bancaire: un défi quotidien
Que ce soit par téléphone, SMS ou par email, la pratique du phishing, consistant à prendre contact de manière frauduleuse avec des clients en se faisant passer pour leur banque, est malheureusement monnaie courante. Antoine Meyers, responsable de la sécurité des systèmes d’information chez BGL BNP Paribas, nous parle de manière plus générale des sujets de sécurité informatique.
Pouvez-vous vous présenter et nous expliquer votre rôle au sein de BGL BNP Paribas?
Avec une expérience de quinze ans dans le Groupe BNP Paribas, assumant divers rôles au sein du département des Technologies de l’Information, j’ai rejoint BGL BNP Paribas en 2019 et suis aujourd’hui responsable de la sécurité des systèmes d’information.
Quels sont les types d’attaque auxquels les systèmes informatiques d’entreprises comme la vôtre sont soumis?
Les sites externes d’entreprises comme la nôtre sont régulièrement la cible d’attaques qui ont pour but de détecter les éventuelles faiblesses des systèmes. Dans notre entreprise, ces tentatives – détectées – génèrent des alertes qui sont analysées par les spécialistes de l’équipe de réaction à incident (Computer Security Incident Response Team) pour comprendre l’objectif de ces attaques. Nous bénéficions également dans ce contexte de l’expertise des équipes centrales spécialisées de notre Groupe. Les membres de ces équipes suivent régulièrement des formations pour se tenir informés des nouvelles techniques utilisées par les fraudeurs.
Vous soumettez régulièrement vos systèmes à des tests. Comment se déroulent ces exercices?
Nous testons nos applications, comme par exemple le Web Banking, avant la mise en service d’une nouvelle version. Pour ce faire, nous travaillons avec des sociétés qui effectuent ce genre de tests et qui maintiennent un inventaire le plus exhaustif possible des attaques récentes qui ont eu lieu sur Internet et des méthodes utilisées par les attaquants. Ces tests sont effectués en continu tout au long de l’année et permettent d’évaluer si nos applications sont vulnérables à de telles attaques et, le cas échéant, de remédier aux faiblesses avant leur mise en service.
Parlez-nous de la pratique du phishing…
Par «phishing», on entend des emails ou SMS au ton convaincant et à l’orthographe impeccable (même en luxembourgeois) qui ont pour but de vous induire en erreur. Ces emails ou SMS contiennent en effet des liens qui vous amènent sur des sites qui sont des copies parfaites du site officiel de l’entreprise concernée. La pratique du phishing a pris de l’ampleur dans le contexte de la crise sanitaire que nous vivons, avec une hausse du nombre d’attaques de phishing en tout genre.
Il est très simple de se protéger: ne vous laissez pas influencer par ces communications, parfois menaçantes. Lors de l’exécution de vos opérations bancaires, soyez toujours à l’initiative de vos connexions à votre banque. Si vous accédez au Web Banking, faites-le via le favori que vous avez stocké sur votre navigateur, ou bien connectez-vous via l’application mobile sur votre portable. Equipez-vous dès que possible de l’application «LuxTrust Mobile» qui rendra votre connexion encore plus facile et sécurisée. En cas de doute sur une transaction, les clients de notre banque peuvent contacter le service client de BGL BNP Paribas au (+352) 42 42-2000.
Quels sont les moyens qu’a BGL BNP Paribas de contrer le phishing que subissent ses clients?
BGL BNP Paribas dispose d’outils qui parcourent Internet en permanence pour détecter d’éventuels faux sites cherchant à ressembler à celui de la banque; si de tels sites sont détectés, nous demandons à ce qu’ils soient retirés d’Internet.
Par ailleurs, en cas de transactions douteuses, nous contactons le client pour demander sa confirmation avant l’exécution. Enfin, nous partageons en temps réel avec les autres banques luxembourgeoises des informations sur les attaques de phishing que nous détectons, ce qui améliore notre réactivité commune.