Des étapes irréversibles

La lutte contre la fraude et la contrefaçon ne fera que s'intensifier à l'avenir. Chaque fois qu'un attaquant franchit un niveau de protection, nous sommes contraints d'utiliser une nouvelle arme pour l'arrêter. Et cette fois, nous devons puiser dans l'arsenal « biométrique ».

L'essence même de la lutte contre la fraude et la contrefaçon réside dans le fait que, lorsque l'on dégaine une arme magique, l'attaquant ne doit pas pouvoir la neutraliser. L'effet immédiat sera certainement efficace, mais son maintien à long terme nécessite une stratégie rigoureuse.

La fraude en ligne devient de plus en plus sophistiquée. L'ajout de la biométrie à la protection laisse présager une bataille acharnée. La base de données biométrique comportera de nombreux niveaux, et chaque utilisation d'un niveau supérieur sera une étape « irréversible ». Si le niveau augmente progressivement, l'utilisation des données génétiques constituera l'étape finale, et en cas d'échec, vous n'aurez plus d'autre choix.

Nous devons désormais utiliser des images en temps réel pour confirmer les transactions. Bien sûr, une base de données colossale sera nécessaire pour stocker les images et les données biométriques à des fins de comparaison et d'authentification. Bien sûr, les images réelles seront transmises via des canaux d'information. Que se passera-t-il en cas d'attaque de ces bases de données, d'accès aux lignes de transmission ou aux terminaux ? Les pirates récupéreront toutes les données des utilisateurs. Et avec des outils d'IA de plus en plus puissants, comment garantiront-ils qu'ils ne pourront pas franchir le nouveau mur d'authentification ?

Nous collectons de plus en plus de données personnelles. Si nous ne pouvons pas protéger nos anciennes données, comment pouvons-nous garantir la protection des nouvelles et massives données collectées ? Plus dangereux encore, si des individus malveillants accèdent à notre image et à nos données biométriques, ils peuvent usurper notre identité non seulement pour l'authentification bancaire, mais aussi à de nombreuses autres fins non liées aux services bancaires. Ils peuvent créer un monde imaginaire sur lequel nous ne pouvons rien contrôler et dont nous ne pouvons pas prouver l'usurpation.

La première chose est que les gens doivent être conscients qu’ils doivent exiger une protection pour eux-mêmes et que les agences de gestion sont responsables de la protection des données biométriques afin qu’elles ne tombent pas entre de mauvaises mains.

Lorsque les banques prennent une mesure irréversible, il est nécessaire de rendre des comptes et de légiférer pour protéger les personnes. Cette situation est due à l'inefficacité des mesures techniques de protection des données personnelles et à la superficialité des politiques d'attribution des responsabilités en matière de divulgation des données. Par conséquent, les personnes malintentionnées peuvent facilement contourner les mesures de protection et progressivement désactiver le contrôle du système.

Pour véritablement protéger, avant de collecter des données personnelles, l’État et les banques doivent s’engager et clarifier :

- En cas de fuite de données biométriques, quelle est la responsabilité de la banque ? Qui ou quelle unité spécifique sera responsable, et quelles sont les sanctions ?

- Quelles mesures de sécurité le système met-il en place pour garantir que les liens individuels ne puissent pas accéder aux données confidentielles ? Le système technique doit garantir que, même si les employés de banque (y compris les cadres) sont manipulés, ils ne peuvent pas accéder aux données personnelles ni les vendre.

La sécurité des données est un enjeu majeur et complexe, et même les informaticiens les plus talentueux ne peuvent anticiper toutes les vulnérabilités. Imposer une date butoir au 1er juillet pourrait contraindre les banques à utiliser des systèmes faibles et non testés, facilement piratables par des individus malveillants, avec des conséquences potentiellement désastreuses. Nous devons être extrêmement prudents et tester l'utilisation de mesures limitées afin que ce ne soit qu'une fois la sécurité maximale atteinte que les nouvelles méthodes pourront être généralisées.

Nous devons également nous inspirer de l'expérience internationale en matière de sécurité des données. Prenons l'exemple de la Chine. Après une période de collecte massive de données, le pays a compris la gravité de la divulgation de données personnelles et dispose de lois claires pour traiter avec une extrême rigueur toute unité divulguant des données. Plus les données sont importantes, plus la responsabilité est élevée. Lorsque cette responsabilité est portée à un niveau très élevé, personne ne peut l'ignorer.

Toutes les entités détenant des données personnelles devront impérativement mettre en œuvre des mesures de protection technique de haut niveau. Face à ce besoin, les entreprises spécialisées dans l'évaluation et la mise en œuvre de mesures de sécurité se sont fortement développées. De nombreuses entreprises « licornes » ont vu le jour, promouvant une économie de la sécurité numérique dynamique, de très haute qualité, conforme aux normes de sécurité rigoureusement définies par l'État.

Un système qui fonctionne bien est un système qui maximise la protection des données personnelles des personnes, tout en ne collectant qu’un minimum de données personnelles.