Rémy Wenger, Union Bancaire Privée: «Nous avons créé récemment la fonction de Human Risk Manager»

Au vu des événements 2013, comment jugez-vous l’évolution des menaces informatiques?

Je ne vois pas de menaces fondamentalement nouvelles, certaines sont simplement devenues plus visibles. L’affaire de la NSA n’est pas vraiment une surprise si ce n’est peut-être son ampleur et l’institutionnalisation de la pratique. Pour le reste, je pense que nous aurons toujours une réponse contre les menaces techniques, même si parfois avec un temps de retard. Le vrai problème concerne le risque humain, c’est-à-dire la maîtrise du comportement de l’utilisateur, qu’il soit malveillant (parfois), ou peu conscient des dangers (souvent). Et ceci concerne autant les collaborateurs que les clients, sur lesquels nous avons peu d’emprise. Par exemple, si l’un d’eux se fait hacker sa boîte mail et que le pirate en profite pour communiquer avec la banque et demander des transferts. Indirectement, en sensibilisant les collaborateurs en contact avec la clientèle, on espère que cela aura un effet sur cette dernière. Il est en revanche très difficile d’imposer des outils aux clients, en particulier dans la banque privée.

J’imagine que les gestionnaires communiquent avec leur smartphone et par e-mail avec leurs clients. Comment encadrez-vous ces pratiques?

Nous avons des directives à la fois très strictes et très claires qui interdisent ou contraignent certaines pratiques et outils et fixent les règles du jeu. C’est la responsabilité du gestionnaire de les respecter et de faire preuve de prudence lorsqu’il communique avec le client. En ce qui concerne plus précisément le mobile, nous ne proposons actuellement pas de smartphones à nos gestionnaires, même si nous sommes conscients du risque que cela peut entraîner. Notre effort se porte surtout sur la sensibilisation des collaborateurs avec des séances où l’on aborde des cas concrets survenus sur la place, tels que des tentatives de phishing par e-mail. Nous leur montrons les éléments auxquels il faut prendre garde pour qu’ils développent certains réflexes de sécurité. Cette année, pour mieux les sensibiliser, nous allons les former sur les risques qu’ils courent dans leur utilisation privée, pour faire preuve de la même prudence au niveau professionnel. 

Qu’en est-il du risque interne et des collaborateurs malveillants? 

Les conditions du marché sont devenues plus dures et c’est un risque auquel sont confrontées toutes les banques. C’est ce qui a d’ailleurs poussé l’automne dernier la FINMA à mettre en place des mesures contre la fuite de données.Nous examinons actuellement nos pratiques par rapport aux demandes de l’autorité, notamment au niveau du screening des employés. Ce contrôle se faisait traditionnellement à l’engagement; l’objectif est de l’institutionnaliser et d’augmenter sa fréquence et son étendue. Après, c’est aussi la responsabilité du manager d’y veiller au quotidien, quand bien même l’humain n’est pas une science… Pour donner un signal fort, la banque a aussi créé récemment un nouveau poste de Human Risk Manager rattaché aux ressources humaines et avec lequel nous travaillons étroitement, notamment en termes de sensibilisation. Les banques ont traditionnellement été bien protégées de l’extérieur et, une fois à l’intérieur, on était dans un environnement et un climat de confiance implicite. Celle-ci reposait en grande partie sur le bien-être de l’employé, ce qui n’est pas une mauvaise idée.