Banque : les données clients, un bac à sable pour les développements
Une étude commanditée par Informatica explique que les données clients des banques anglaises servent à développer et à tester les plates-formes et les systèmes financiers dans leurs phases de pré-production, et ce sans véritable protection. La faute à une dilution des responsabilités.
Les fuites de données ont beau être fortement préjudiciables, tant en terme d’image que de coûts, les banques ne semblent pas mettre en place des politiques de sécurité suffisamment draconiennes pour sécuriser les informations de leurs clients. C’est ce qu’a révélé une étude commanditée par la société Informatica, un spécialiste du data management et de l’analytique, auprès de 437 responsables informatiques d’institutions du secteur financier britannique.
Selon les premiers résultats, 85 % des personnes interrogées avouent utiliser directement les données de leurs clients pour réaliser leurs développements et effectuer les tests de fonctionnement. Et 43 % d'entre elles confirment ne pas appliquer de procédures de sécurité particulières durant ces phases. Or, durant ces étapes, les données de clients sont considérées comme étant encore plus vulnérables et exposées à des risques critiques, car non soumises aux politiques de sécurité généralement appliquées en production. 41% des responsables interrogés avouent en effet que leur entreprise a recours à de mesures moins strictes pendant les développements et les tests de leur portail web ou de leur application en ligne que pendant la production. Multipliant ainsi les risques de vols ou de fuites de donnés confidentielles, tranche Informatica dans son étude.
Lors de ces phases, quelque 38 % des responsables déclarent avoir recours à des infrastructures de Cloud Computing publiques, sans véritablement savoir si oui ou non les données sont sécurisées, pour 46 % d’entre eux.
La gestion du risque, une responsabilité trop diluée
Autre donnée préoccupante mise en avant dans l’étude, cette désinvolture en matière de sécurité des données clients serait, selon Informatica, le résultat d’un manque concret d’engagement et de responsabilité face à la protection des données. 27 % des répondants affirment qu’aucun département de leur entreprise n’est responsable de cette tâche, alors que 16 % soulignent que cette responsabilité est entre les mains de leurs départements métiers. “La sécurité, la conformité et le juridique ainsi que leurs équipes étant mis de côté, les décisions liées à la protection des données sont prises par ceux dont la mission est de mener à bien une stratégie d’entreprise, plus que d’adresser les risques potentiels liés à la sécurité des données, commente Informatica. Cela conduit à un manque de gouvernance et de gestion du risque qui, par extension, débouche sur le risque d’une éventuelle fuite de données.”
Ce risque est d’autant plus important, rapporte l’étude, que les banques externalisent leurs développements et leurs tests auprès d’entreprises tierces. C’est le cas pour une grande majorité des personnes interrogées (85 %). Et plus de la moitié d'entre elles (51 %) confirment que des données clients sont utilisées et transitent sans protection entre la banque et la société distante en charge des développements.
En complément :