Conformité au cadre de cybersécurité DE SAMA : offrez une expérience bancaire numérique transparente et sécurisée

Selon Gartner, la cybersécurité est l'un des principaux risques auxquels sont confrontées les entreprises et les institutions financières du Moyen-Orient et d'Afrique du Nord (MENA) en 2019. Comme c'est le cas dans le monde entier, les banques sont à la recherche de moyens novateurs pour lutter contre les cybermenaces telles que les logiciels malveillants, l'hameçonnage et la fraude à la prise de contrôle de compte, tout en optimisant l'expérience client et en renforçant la conformité.

Je suis récemment revenu du Congrès des banques et des finances de l'IDC à Riyad, où la cybersécurité et le respect de la réglementation telle que le Cadre de cybersécurité SAMA faisaient autant partie des discussions que l'expérience client numérique. La nécessité de protéger les données, les transactions, les appareils et les utilisateurs grâce à la prévention de la fraude, à la sécurité des applications mobileset à une forte authentification des clients est de plus en plus profondément ancrée dans les stratégies de croissance des banques. Dans tout le Moyen-Orient, nous nous concentrons beaucoup sur l'exploitation des technologies émergentes pour innover dans ce domaine, en particulier à mesure que les services bancaires mobiles gagnent du terrain dans notre région. Pour soutenir cela, les dépenses d'InfoSec dans la le menel devraient augmenter de près de 10 % par rapport à l'an dernier, pour atteindre 1,9 milliard de dollars US en 2019.

Conformité au cadre de cybersécurité DE SAMA

Afin d'améliorer la résilience face aux cybermenaces, l'Autorité monétaire saoudienne (SAMA) a introduit le Cadre de cybersécurité SAMA en mai 2017. Cela s'inscrit dans une tendance mondiale où les organismes de réglementation du gouvernement et du secteur bancaire du monde entier introduisent des normes et des orientations en matière de cybersécurité. Un bon exemple est la directive européenne révisée sur les services de paiement (PSD2) avec ses exigences d'authentificationclient forte , qui est depuis devenu un catalyseur pour la sécurité Open Banking dans le monde entier, y compris à Bahreïn.

L'Autorité monétaire saoudienne a élaboré le règlement sur la base de cadres standard de l'industrie tels que :

• Cadre du National Institute of Standards and Technology (NIST) pour l'amélioration de la cybersécurité des infrastructures essentielles (NIST CSF)
• Carte de paiement Industrie Data Security Standard (PCI DSS)
• ISO 27001/27002 Normes de gestion de la sécurité de l'information
• Norme de bonnes pratiques du Forum de la sécurité de l'information
• Bâle II Convergence internationale des normes de mesure du capital et de la mesure du capital (note : de nouveaux ajustements viennent d'être approuvés le 14 janvier 2019 dans le cadre de Bâle III)

Il est obligatoire pour toutes les banques, compagnies d'assurance et sociétés financières opérant en Arabie saoudite d'adopter le Cadre de cybersécurité SAMA.

Les 4 principaux domaines d'intérêt pour la conformité à la SAMA

Lors de ma présentation à la conférence, j'ai expliqué les stratégies et les technologies de cybersécurité que les banques du Royaume devraient adopter, non seulement pour assurer le plein respect de la SAMA, mais aussi pour renforcer la confiance numérique avec leurs clients, car c'est la clé du déblocage. croissance future.

Voici quatre aspects clés du Cadre :

1. Identité et gestion de l'accès : À la section 3.3, Opérations et technologie de cybersécurité,SAMA fournit des directives sur la gestion de l'identité et de l'accès (IAM). Le Cadre spécifie l'authentification multifacteur (MFA) pour la gestion privilégiée et à distance de l'accès. Les banques exigent l'AMF à deux fins :

• Protéger les données et les actifs financiers des clients en utilisant une authentification forte pour sécuriser la connexion du client aux services bancaires en ligne et mobiles.
• Pour sécuriser l'accès à distance des employés au réseau d'entreprise et VPN, et protéger contre les mauvais acteurs qui tentent d'accéder et de voler des données.

En plus des connexions, le Cadre exige également l'AMF pour ces cas d'utilisation :

• Ajout ou modification des bénéficiaires
• Ajout de services publics et de services de paiement gouvernementaux
• Transactions à haut risque (lorsqu'elles dépassent les limites prédéfinies)
• Réinitialisation du mot de passe

Il existe de nombreuses options d'authentification multifacteur sur le marché. Les banques saoudiennes devraient rechercher un fournisseur qui prend en charge un large éventail de méthodes d'authentification à travers différents canaux, y compris les jetons matériels et l'authentification logicielle pour les utilisateurs mobiles. Les dernières solutions d'authentification multifacteur basées sur le cloud tirent parti de l'authentification, également connue sous le nom d'authentification adaptative intelligente, activée par le biais d'applications mobiles avec biométrie native, FIDO U2F ou UAF, biométrie comportementale, et plus encore.

2. Chaîne sécurisée : Dans la section 3.3.13, Electronic Banking Services, SAMA exige « l'utilisation de techniques de communication pour éviter les attaques de l'homme dans le milieu (applicables pour les services bancaires en ligne et mobiles) ». Dans ce type d'attaque, les fraudeurs se positionneront entre la banque et le client afin d'intercepter la communication. Une telle attaque pourrait changer un véritable transfert de 5 000 SAR à un ami dans un transfert voyou de 50 000 SAR à un imposteur, sans que le client en soit conscient.  L'une des façons les plus courantes que cela se produit est par le biais d'un réseau Wi-Fi malveillant ou hotspot public (connu sous le nom d'un point d'accès voyous). Les consommateurs apprécient la commodité des points d'accès publics, ignorant qu'ils peuvent transférer leurs données de paiement par l'intermédiaire d'un réseau contrôlé par un mauvais acteur. Pour protéger les clients contre les attaques de l'homme au milieu, les banques peuvent implémenter des cryptogrammes visuels sécurisés^® Cronto. Pour voir cela en action, lisez ce blog ou regardez une vidéo.

3. Bouclier des applications mobiles : Dans la section 3.3.13, Electronic Banking Services, SAMA décrit les exigences en matière de sécurité des applications mobiles. Cela couvre des exigences telles que la prévention et la détection des tentatives de modification du code d'application mobile, les techniques de sandboxing et l'atténuation des divers risques de compromis de l'application mobile. Une des considérations importantes quand il s'agit de mobile est le fait que les utilisateurs ne sont pas suffisamment conscients du paysage des menaces et ne prennent pas toujours les mesures de protection nécessaires - en particulier sur Android. Selon GlobalStats, Android est en tête du marché mobile dans le Royaume avec 65% à 34% pour iOS.

Dans le même temps, de nombreuses banques n'ont pas encore développé d'applications mobiles, ne surveillent pas le canal mobile, ou n'ont pas assez d'expérience avec la fraude mobile. Pourtant, les logiciels malveillants mobiles sont en augmentation. Selon Kaspersky Lab, le nombre de chevaux de Troie bancaires attaquant les utilisateurs d'appareils mobiles a doublé en 2018. C'est pourquoi l'application de mesures de sécurité proactives du côté des clients, telles que le blindage d'applications mobiles, est devenue une nécessité. Avec les bonnes mesures de sécurité et les mécanismes de l'AMF en place, les banques et autres institutions financières peuvent non seulement défendre l'application contre les attaques, mais aussi simplifier l'expérience utilisateur. Il est essentiel que les banques fournissent les méthodes d'authentification les plus pratiques, y compris la biométrie mobile,et de garder la sécurité avancée des applications mobiles en cours d'exécution en arrière-plan, invisible pour l'utilisateur.

4. Détection et prévention des fraudes : À la section 3.3.16, Gestiondes menaces , le Cadre précise l'utilisation de la fraude et de la gestiondes risques . Comme plus de produits financiers sont offerts via les canaux numériques, la surface d'attaque d'une banque se développe de façon exponentielle. Pour suivre le rythme, le marché mondial se tourne vers l'apprentissage automatique et l'exploration et la modélisation de données sophistiquées pour obtenir les prédictions les plus précises du risque et de la fraude. Les plates-formes modernes de détection et de prévention des fraudes analysent de grandes quantités de données provenant de sources multiples sur tous les canaux numériques afin d'assurer le score de risque le plus précis. Ces scores conduisent des flux de travail intelligents qui permettent une action immédiate basée sur des politiques et des règles de sécurité prédéfinies et/ou définies par les banques.

Selon les prévisions de solutions de gestion de la fraude de Forrester, 2017 à 2023 (Global), les dépenses mondiales en solutions de gestion de la fraude devraient doubler sur une période de cinq ans, pour atteindre 10 milliards de dollars d'ici 2023. La clé pour extraire le plein retour sur investissement des dépenses de gestion de fraude est de travailler avec un fournisseur qui vous fera réussir à atteindre les deux objectifs d'une sécurité forte et une expérience utilisateur optimale.

Poursuivons la discussion

Pour les clients de la banque numérique d'aujourd'hui, les transactions avec leur fournisseur financier doivent être aussi faciles que sécurisées. Il devrait être si facile et sans friction que les clients ne pensent même pas à la sécurité. La sécurité doit être bien faite afin de créer les meilleures expériences client possibles, car cela stimulera la croissance grâce à l'amélioration de la fidélité des clients, la fidélisation et l'utilisation des services bancaires numériques et mobiles.

Tout cela exige que les banques innovent avec les nouvelles technologies. Pour parler de l'innovation dans l'expérience client numérique et de la construction de la confiance dans vos offres numériques, contactez-moi à [email protected]