Des étapes irréversibles

La lutte contre la fraude et la contrefaçon ne fera que s'intensifier à l'avenir. Chaque fois qu'un attaquant franchit un niveau de protection, nous sommes contraints d'utiliser une nouvelle arme pour l'arrêter. Et cette fois, nous devons faire appel à l'arsenal « biométrique ».

L'essence même de la lutte contre la fraude et la contrefaçon réside dans le fait que, lorsque l'on dégaine une arme magique, l'attaquant ne doit pas pouvoir la neutraliser. L'effet immédiat est assurément efficace, mais son maintien à long terme exige une stratégie rigoureuse.

La fraude en ligne devient de plus en plus sophistiquée. L'ajout de la biométrie à la protection laisse présager une lutte acharnée. L'arsenal biométrique comportera de nombreux niveaux, et chaque fois, le recours à un niveau supérieur constituera une étape « irréversible ». Et si le niveau continue d'augmenter progressivement, jusqu'à l'utilisation des données génétiques, ce sera l'étape finale, et en cas de défaite, il ne restera plus d'autres armes.

Nous devons désormais utiliser des images réelles et en temps réel pour confirmer les transactions. Bien sûr, d'importants entrepôts de données seront nécessaires pour stocker les images et les données biométriques nécessaires à la correspondance et à l'authentification. Bien sûr, les images réelles seront transmises via des canaux d'information. Que se passera-t-il en cas d'attaque de ces entrepôts de données, d'accès aux lignes de transmission ou aux terminaux ? Les pirates récupéreront toutes les données des utilisateurs. Et avec des outils d'IA de plus en plus puissants, comment garantiront-ils qu'ils ne pourront pas franchir le nouveau mur d'authentification ?

Nous collectons de plus en plus de données personnelles. Si nous ne pouvons pas protéger les anciennes données, comment garantir la protection des nouvelles données massives qui ont été et seront collectées ? Plus dangereux encore, si des individus malveillants accèdent à nos images et données biométriques, ils peuvent usurper notre identité non seulement pour l'authentification bancaire, mais aussi à de nombreuses autres fins non liées aux services bancaires. Ils peuvent créer un monde imaginaire de notre identité, que nous ne pouvons contrôler et dont nous ne pouvons prouver l'usurpation.

La première chose est que les gens doivent être conscients qu’ils doivent exiger une protection pour eux-mêmes et que l’agence de gestion est responsable de la protection des données biométriques afin qu’elles ne tombent pas entre de mauvaises mains.

Lorsque les banques prennent une mesure irréversible, elles doivent se responsabiliser et légiférer pour protéger les personnes. Cette situation est due à l'inefficacité des mesures techniques de protection des données personnelles et à des politiques superficielles d'attribution des responsabilités en matière de divulgation des données. Par conséquent, les personnes malveillantes peuvent facilement contourner les mesures de protection et progressivement neutraliser le contrôle du système.

Pour véritablement protéger, avant de collecter des données personnelles, l’État et les banques doivent s’engager et clarifier :

En cas de fuite de données biométriques, quelle est la responsabilité de la banque ? Qui ou quelle unité spécifique sera responsable, et quelles sont les sanctions ?

Quelles mesures de sécurité le système met-il en place pour garantir que les liens individuels ne puissent accéder aux données confidentielles ? Le système technique doit garantir que, même si les employés de banque (y compris les cadres) sont manipulés, ils ne peuvent accéder ni vendre de données personnelles.

La sécurité des données est un enjeu majeur et complexe. Même les informaticiens les plus talentueux ne peuvent anticiper toutes les vulnérabilités. Imposer une date butoir au 1er juillet pourrait contraindre les banques à utiliser des systèmes faibles et non testés, facilement piratables par des individus malveillants, et les conséquences seraient imprévisibles. Nous devons être très prudents et tester l'utilisation de mesures limitées afin que ce ne soit qu'une fois la sécurité maximale atteinte que nous puissions déployer largement de nouvelles méthodes.

Nous devons également nous inspirer du monde entier. En matière de sécurité des données, nous pouvons nous inspirer de l'expérience chinoise. Après une période de collecte massive de données, le pays a compris la gravité de la divulgation de données personnelles et dispose de lois claires pour traiter avec une extrême rigueur toute unité divulguant des données. Plus les données sont importantes, plus la responsabilité est élevée. Lorsque cette responsabilité est portée à un niveau très élevé, personne ne peut l'ignorer.

Toutes les unités détenant des données personnelles devront implémenter des solutions de protection technique de haut niveau. Face à ce besoin, les entreprises spécialisées dans l'évaluation et la mise en œuvre de mesures de sécurité se sont fortement développées. De nombreuses entreprises « licornes » ont vu le jour, promouvant une économie de la sécurité numérique dynamique, de très haute qualité, conforme aux normes de sécurité rigoureusement définies par l'État.

Un système qui fonctionne bien est un système qui maximise la protection des données personnelles des personnes, tout en ne collectant qu’un minimum de données personnelles auprès des personnes.