La fraude entraîne une vague de nouvelles réglementations financières - Ce que les responsables de la sécurité doivent savoir

Au printemps dernier, lorsque la pandémie de COVID-19 s'est répandue dans tout le pays et que les communautés se sont enfermées, les entreprises de tous les secteurs se sont empressées de se transformer numériquement afin de continuer à servir leurs clients par le biais de canaux numériques et de prendre en charge les travailleurs à distance. Même les secteurs fortement réglementés, tels que les services financiers, ont agi rapidement. Les banques se sont empressées d'adopter de nouvelles technologies telles que la biométrie, la vérification d'identité numérique, la notarisation à distance en ligne et bien d'autres pour moderniser leurs processus et s'assurer que les Américains puissent continuer à accéder à leur argent pendant cette période critique.
Cependant, cette ruée vers la numérisation des processus et des services a exposé les vulnérabilités de notre système financier et de son infrastructure technologique sous-jacente. Les cybercriminels et les fraudeurs ont vu comme une aubaine les billions de dollars de relance économique, l'augmentation des allocations de chômage et les fonds de secours en cas de pandémie déversés dans le système financier. Ils se sont précipités pour obtenir leur part du gâteau et, par conséquent, la fraude a augmenté. Les attaques de cybersécurité visant le secteur financier ont augmenté de 238 % pendant la pandémie, la fraude par prise de contrôle de comptes a augmenté de 72 % et les banques ont signalé une multiplication par sept des activités suspectes en matière de prêts aux entreprises. En septembre 2020, lors d'une présentation au Fed ID Forum, le Financial Crimes Enforcement Network (FinCen) du département du Trésor américain a souligné comment les criminels exploitent les faiblesses de l'identité pour commettre plus d'un milliard de dollars de cybercrimes chaque mois. Les gouvernements de nombreux États ont été frappés par des demandes de chômage frauduleuses massives à hauteur de 36 milliards de dollars en 2020, selon USA Today.
Cette recrudescence de la fraude a, à juste titre, attiré l'attention des législateurs et des régulateurs fédéraux qui ont fait passer un tsunami de nouvelles réglementations visant à mieux protéger les données des consommateurs en ligne et à rendre le commerce numérique plus sûr. Les professionnels de la sécurité et de l'informatique travaillant dans le secteur financier - et même ceux d'autres secteurs - doivent être conscients des réglementations et des politiques qui pourraient entrer en vigueur l'année prochaine. Voici quelques-unes des réglementations les plus importantes susceptibles d'avoir un impact sur votre cybersécurité et vos stratégies informatiques, et ce que vous devez faire dès maintenant pour vous préparer.
Exigences strictes pour la vérification de l'identité numérique
La fraude généralisée qui a résulté de la loi d'urgence a mis en lumière le fait que les États-Unis ne disposent pas d'un cadre fédéral pour les identités numériques. Une stratégie globale et nationale concernant les identités numériques et la manière de les vérifier contribuerait à protéger les Américains contre le vol d'identité et la fraude en ligne. Au lieu de cela, des années de violations de données à grande échelle ont fait que la plupart des Américains voient déjà leurs informations personnelles identifiables (PII) vendues ou échangées sur le Dark Web. Cela signifie que les méthodes traditionnelles utilisées par les banques et autres institutions, connues sous le nom de vérification basée sur la connaissance (KBV), pour vérifier l'identité d'une personne lors de l'ouverture d'un nouveau compte sont inutiles. L'usurpation d'identité synthétique - qui consiste à rassembler des informations personnelles volées, comme un numéro de sécurité sociale, et des données fictives pour créer une nouvelle identité - est devenue le type de délit financier qui connaît la plus forte croissance aux États-Unis. Le problème n'a jamais été aussi urgent que pendant la pandémie. Alors que le gouvernement fédéral injectait de l'argent dans le système financier, les banques et les gouvernements des États ont été contraints de geler les comptes et l'accès aux fonds pendant des semaines, alors qu'ils s'efforçaient de vérifier l'identité des consommateurs sur les canaux numériques et de distinguer les demandes légitimes des demandes frauduleuses.
À l'avenir, les institutions financières et les agences gouvernementales devront renforcer leurs processus de vérification de l'identité numérique grâce à de nouvelles technologies et techniques. Sous la nouvelle administration Biden, je m'attends à voir la réincarnation de certaines initiatives de l'ère Obama, à commencer par un plan visant à améliorer la vérification de l'identité numérique. L'administration Obama avait travaillé à l'élaboration d'une stratégie nationale pour les identités de confiance dans le cyberespace (NSTIC), mais celle-ci n'a jamais obtenu l'impulsion envisagée. Aujourd'hui, après les effets de la pandémie, nous assistons à un intérêt beaucoup plus bipartisan pour ce sujet. L'année dernière, le Congrès a introduit la loi bipartisane Improving Digital Identity Act. Bien que le projet de loi soit mort à la fin de la dernière session du Congrès, ses co-sponsors, les députés Bill Foster (D-IL) et John Katko (R-NY), ont annoncé au début du mois qu'il serait réintroduit au premier trimestre de cette année. S'il est adopté, le projet de loi créera un groupe de travail au sein du bureau exécutif du président. La mission de ce groupe de travail est de créer une stratégie unifiée couvrant les niveaux fédéral, étatique et local pour des méthodes sécurisées et interopérables qui peuvent être utilisées par les secteurs public et privé pour la vérification de l'identité numérique.
Le projet de loi s'appuie sur le rapport 2018 de The Better Identity Coalition, Better Identity in America : A Blueprint for Policymakers, qui recommande notamment que les agences gouvernementales soient les mieux placées, tant au niveau des États via les départements des véhicules à moteur qu'au niveau fédéral via l'Administration de la sécurité sociale (SSA), pour offrir de nouveaux services d'identité aux consommateurs.
Certains progrès ont déjà été réalisés dans ce domaine. Le SSA a récemment lancé son service de vérification électronique du numéro de sécurité sociale basé sur le consentement (eCBSV) afin d'aider les institutions financières à réduire le risque de fraude par identité synthétique lors de la procédure d'ouverture d'un nouveau compte.
Les professionnels de la sécurité et de l'informatique des institutions financières devraient commencer dès maintenant à renforcer leurs processus de vérification de l'identité numérique. Commencez par intégrer le service eCBSV dans votre processus de demande de nouveau compte. Il convient également de se référer aux dernières directives sur l'identité numérique publiées par le Groupe d'action financière (GAFI), qui détaillent les meilleures pratiques que les banques doivent suivre et décrivent comment les institutions financières peuvent s'appuyer sur des tiers pour répondre aux exigences de vérification de l'identité dans les canaux numériques.
Nouvelles protections pour les identificateurs biométriques
Alors que les villes étaient verrouillées et que les consommateurs restaient chez eux, la popularité des services bancaires mobiles est montée en flèche pendant la pandémie. Pour offrir une expérience mobile plus pratique, de nombreuses banques ont commencé à utiliser des éléments biométriques tels que les empreintes digitales et la reconnaissance faciale pour l'authentification des utilisateurs lorsqu'ils se connectent à leurs applications bancaires mobiles. L'augmentation spectaculaire de l'utilisation des données biométriques a attiré l'attention sur la nécessité d'une loi nationale qui régirait la manière dont les entreprises collectent, stockent et protègent les données biométriques des consommateurs.
À la fin de l'année dernière, le Sénat américain a présenté plusieurs projets de loi relatifs à la confidentialité des données, dont la loi sur la confidentialité des informations biométriques nationales, qui, si elle est adoptée, créera de nouvelles obligations pour les entreprises utilisant les identifiants biométriques des consommateurs. Elle interdirait notamment aux entreprises de collecter des données biométriques telles que les empreintes faciales, les empreintes digitales, les scans de la rétine et les empreintes vocales, sans avoir obtenu au préalable un consentement explicite. Les entreprises seraient également tenues de protéger les identifiants biométriques de la même manière qu'elles protègent les autres informations sensibles relatives aux personnes, telles que les numéros de sécurité sociale. Elle introduit également des sanctions pécuniaires en cas de manquement à la conformité.
Les équipes de sécurité travaillant pour toute entreprise qui utilise la biométrie pour l'authentification des utilisateurs doivent s'assurer qu'elles suivent les meilleures pratiques pour protéger et stocker ces données. Regardez les cadres développés par l'Alliance FIDO et le National Institute of Standards and Technology (NIST). Celles-ci pourraient bientôt être adoptées au niveau national. En vous assurant que vous suivez leurs recommandations dès maintenant, vous aurez une longueur d'avance lorsque les réglementations seront introduites. Surveillez également la mise à jour des directives sur l'authentification des services bancaires par Internet du Federal Financial Institutions Examination Council (FFIEC), qui sera publiée plus tard cette année et qui comprendra probablement de nouvelles directives sur l'authentification biométrique
Les professionnels de la sécurité du secteur financier, en particulier, doivent prévoir de moderniser leur approche de l'authentification multifactorielle afin de lutter contre la recrudescence de la fraude. En intégrant des technologies avancées telles que l'analyse des risques en temps réel alimentée par l'intelligence artificielle (IA) et l'apprentissage automatique, les banques peuvent identifier la fraude au moment où elle se produit, grâce à une surveillance continue. Ils peuvent créer une approche multicouche de l'authentification multifactorielle qui déclenche des étapes d'authentification supplémentaires lorsqu'un risque est détecté.
Une loi fédérale pour la protection des données des consommateurs
Tout comme les États-Unis n'ont pas de cadre national pour les identités numériques, nous n'avons pas non plus de loi globale au niveau fédéral pour la protection des données des consommateurs. Alors que l'Union européenne dispose du Règlement général sur la protection des données (RGPD) depuis 2016, et que plusieurs autres pays dans le monde ont adopté des lois similaires ces dernières années, les États-Unis continuent de s'appuyer sur un patchwork de lois étatiques et de normes spécifiques à l'industrie. L'incohérence des normes relatives à la confidentialité et à la protection des données des consommateurs entraîne des failles et de mauvaises pratiques de sécurité qui rendent les consommateurs vulnérables aux violations de données et aux vols d'identité. Cela pourrait enfin changer en 2021. L'année dernière, le Sénat américain a présenté plusieurs projets de loi sur la confidentialité des données, dont la loi sur la protection des données de 2020, qui créerait une agence fédérale de protection des données et imposerait des amendes aux entreprises qui ne protègent pas suffisamment les données de leurs clients. Le projet de loi a langui sous l'administration précédente, mais je m'attends à ce qu'il soit réexaminé cette année, ainsi que d'autres projets de loi relatifs à la protection de la vie privée et des données, et qu'il soit emballé et adopté.
Certains professionnels de la sécurité peuvent travailler dans des organisations qui se conforment déjà au GDPR et ou à la loi californienne sur la protection de la vie privée des consommateurs (CCPA). Si c'est le cas, vous serez probablement bien placé pour faire face aux nouvelles lois sur la protection des données et de la vie privée des consommateurs qui pourraient voir le jour, car elles seront probablement structurées de manière similaire. Cependant, ceux qui ne doivent pas actuellement se conformer au GDPR ou au CCPA devraient commencer à chercher à établir les mêmes processus et cadres dans leurs organisations. Vous pouvez également vous inspirer de la récente loi californienne sur les droits à la vie privée (CPRA) et de la loi new-yorkaise Stop HACKS and Improve Electronic Data Security (SHIELD) comme exemples de ce qui vous attend lorsque vous planifiez vos stratégies de protection des données
Ce ne sont là que quelques-unes des nombreuses réglementations, normes et propositions de loi, nouvelles ou actualisées, qui vont balayer le secteur des services financiers et d'autres secteurs. Plutôt que d'être pris au dépourvu et de devoir rattraper le temps perdu, les professionnels de la sécurité et de l'informatique doivent commencer à planifier dès maintenant. Évaluer et mettre en œuvre de nouvelles technologies qui renforcent la sécurité entourant les identités numériques, les données des consommateurs, l'authentification des utilisateurs et la détection des fraudes. Tenez compte des meilleures pratiques et des cadres établis lorsque vous développez de nouveaux processus ou que vous numérisez des services pour la première fois. Enfin, investissez dans la formation des employés en matière de sécurité des données, de risques et de conformité. En prenant ces mesures dès maintenant, vous aurez non seulement une longueur d'avance en matière de conformité avec les réglementations à venir, mais vous pourrez également mieux protéger votre organisation, vos clients et vos informations sensibles dans cette nouvelle économie numérique.
Cet article, écrit par Michael Magrath, directeur des réglementations et normes mondiales chez OneSpan, a été publié pour la première fois dans le Security Magazine le 30 mars 2021.