La dépendance d'une banque en ligne à l'égard des données impliquait une approche de la cybersécurité et de la gestion des risques basée sur l'IA. C'était indispensable pour réussir, explique Dominic Grunden, CISO de UnionDigital Bank. Pour lui et son équipe, cela a pris une plus grande importance étant donné la vitesse à laquelle UnionDigital Bank a été créée pour renforcer l'économie numérique des Philippines. La banque permet au peuple philippin, aux communautés, aux entreprises ou encore aux régulateurs de tirer parti des technologies bancaires digitales, fintech, blockchain et open banking. Elle a été créée en cinq mois seulement, un délai inédit dans le secteur bancaire, selon ce RSSI.
Dès le départ, Dominic Grunden a reconnu la nécessité d'adopter une politique de sécurité axée sur l'IA pour suivre à la fois la croissance sans précédent de l'entreprise et les complexités de l'écosystème des banques en ligne. La clé pour y parvenir a été une relation transparente avec le chief data officer (CDO) de la firme, David R. Hardoon. En travaillant ensemble, les deux ont utilisé la technologie autonome pour instiller une stratégie de sécurité et de gestion des risques « véritablement holistique » renforcée par l'IA.
La cybersécurité et l'IA pour répondre aux besoins bancaires
La prolifération des banques en ligne est importante aux Philippines, tout comme la demande croissante de crypto-monnaies et d'autres méthodes de paiement et la dépendance à leur égard, explique Dominic Grunden. « Cela présente la banque en ligne comme une opportunité sans précédent, mais en même temps, cela annonce une nouvelle ère de cybercriminalité. Je dis cela parce que c'est une ère caractérisée par une interconnectivité complexe et des géographies indéfinies. Ce n'est pas comme une banque traditionnelle en physique ; techniquement, nous n'avons pas de frontières ». Le plus grand défi dans l'espace bancaire numérique est que le paysage des menaces change rapidement, et que les criminels évoluent constamment, utilisent plus d'outils informatiques et deviennent plus sophistiqués, ajoute Dominic Grunden. « Ils sont impersonnels, complexes, interdépendants, et ils exploitent des données et des techniques avancées que les humains ne peuvent pas suivre ».
C'est ce qui motive l'orientation de la sécurité d'UnionDigital Bank vers l'IA, précise ce responsable de la sécurité des systèmes d’information. « Nous devons être en mesure de suivre le rythme - être à la fois défensif et offensif en innovant pour protéger nos clients et leurs données. L'IA nous a donné ce mécanisme pour suivre le rythme du secteur, où nous pouvons également comprendre les comportements et les motivations des individus, des consommateurs, détecter plus rapidement les activités criminelles et faire progresser notre capacité collective à combattre et repousser la criminalité financière, parce qu'en fin de compte, c'est à cela que cela se résume dans l'espace bancaire numérique. Je suis fermement convaincu que la banque en ligne ne se limitera pas à la finance ; nous serons les gardiens des données des clients. Il faudra prendre des décisions plus rapides en matière de risques, par exemple bloquer les paiements et détecter les fraudes en temps réel, et nous devrons détecter les violations plus rapidement ». Le tout en répondant à des attentes plus élevées en matière d'expérience des consommateurs à mesure que la banque en ligne devient plus omniprésente.
Le potentiel de l'IA pleinement exploité
La transparence des données est essentielle pour y parvenir, et la capacité de l'IA à fournir des analyses vastes et précises des modèles de données est son principal avantage en matière de sécurité pour UnionDigital Bank, selon M. Hardoon. « L'IA consiste fondamentalement à identifier des schémas et/ou des irrégularités dans les modèles, et à travers cela, la capacité d'offrir un service hyper-personnalisé qui peut reconnaître les anomalies. Pour moi, le principe de la sécurité, de la gouvernance, de la conformité et de la prévention du crime fait partie intégrante du service au client. C'est l'objectif et l'intégration de tout et n'importe quoi du point de vue de la ligne défensive qui nécessite des implants de données une compréhension dynamique du comportement qui aide à mieux gérer le risque », dit-il.
M. Grunden abonde dans le même sens, ajoutant que cette transparence des données offre également divers points de vue sur les modèles de menace qui peuvent être compris et utilisés pour identifier des risques potentiels basés sur les tendances dans la perspective de la banque numérique, réduisant ainsi le coût et le temps de détection et de réponse. David R. Hardoon cite l'exemple d'une situation où on lui a demandé d'utiliser des analyses de données alimentées par l'IA pour aider à prédire la non-conformité avant qu'elle ne se produise. « Encore une fois, il s'agissait d'établir s'il y avait un modèle et de demander si nous pouvions en tirer des enseignements. Parfois, la réponse est non, mais dans ce cas, nous avons pu prédire la probabilité de non-conformité quelque deux ou trois mois à l'avance ».
Mettre en place des mesures préventives
Il admet que le terme « probabilité » est important ici car il n'y a aucun moyen de garantir le risque à 100%, mais si vous pouvez dire qu'il y a 85% de chances de non-conformité, cela vous permet de passer de la seule capacité de réagir une fois qu'elle se produit à la prise de mesures préventives à l'avance. « D'une certaine manière, cela crée une capacité dont vous voulez qu'elle soit éventuellement jugée fausse et vous mettrez alors en place tous les contrôles et toutes les mesures pour rendre cette chose moins susceptible de se produire. C'est un véritable changement dans le fonctionnement du risque - utiliser les données et s'appuyer sur l'IA pour trouver quelque chose qui pourrait se produire, afin que vous puissiez mettre en place des mesures préventives pour vous assurer que cela ne se produise pas ».
Cela permet à UnionDigital Bank d'améliorer ses capacités de prévention des attaques et des menaces, en passant de la simple « capture des idiots » qui tombent dans des pièges simples à la mise en œuvre d'une méthode plus sophistiquée pour arrêter les attaquants qui utilisent leur propre technologie autonome pour mener des campagnes malveillantes. « Les attaquants deviennent beaucoup plus sophistiqués que nous ne voulons peut-être le reconnaître », déclare ce CDO. « Les systèmes que nous mettons en place vont au-delà, et nous pensons en termes de meilleur service pour les clients et de défense plus pertinente et renforcée. En fin de compte, je pense que cela doit être une approche à l'échelle du secteur ». M. Grunden réfléchit pour sa part aux projets visant à aller plus loin. « Nous repoussons définitivement les limites, et cela tient en grande partie à la maturité de la fonction de sécurité, malgré le fait que nous soyons une nouvelle banque ».
L'enthousiasme et la collaboration, partie intégrante de la réussite de la sécurité de l'IA
Dominic Grunden indique que lui et son équipe sont motivés par le potentiel que révèle l'IA pour améliorer leur stratégie de cybersécurité, ce qui joue un rôle clé dans leur collaboration avec le département de David R. Hardoon. « Nous regardons quelles solutions d'IA son équipe a actuellement en place ou ce qui peut être construit pour améliorer les choses, parce que nous pourrions acheter un produit qui est prêt à l'emploi mais pas assez bon pour nous. Nous voulons aller plus loin, c'est pourquoi nous tirons parti de l'IA pour créer des capacités améliorées et repousser les limites des produits, services et plateformes que nous achetons ».
« Je n'ai jamais eu ce même niveau d'émulation et d'engagement dans les autres entreprises pour lesquelles j'ai travaillé », ajoute Dominic Grunden. « Il s'agit aussi de maintenir cet enthousiasme pour une politique d'IA d'abord, afin que nous puissions utiliser la technologie pour nous approprier la sécurité, et mon équipe y adhère pleinement ». Les deux hommes sont tous deux convaincus qu'une véritable cybersécurité axée sur l'IA doit être holistique, un concept qu'ils s'attachent à mettre en place chez UnionDigital Bank. Cela signifie qu'il faut rendre opérationnelle de bout en bout l'application de l'IA en matière de cybersécurité et de gestion des risques.
L'IA évolue encore, avec des défis à relever
Cette stratégie ne va pas sans défis - ou du moins sans facteurs importants à prendre en compte - Dominic Grunden et David R. Hardoon en conviennent. « L'un d'entre eux est un appel plus important aux talents en ce qui concerne l'IA et la cybersécurité », explique Dominic Grunden. « Actuellement, cette technologie n'en est qu'à ses débuts, et le coût de la création d'un vivier de talents très bons à la fois en IA et en cybersécurité est donc élevé ». Il y a aussi le fait que l'IA peut profiter aux attaquants de certaines façons si elle n'est pas bien comprise, mise en œuvre et utilisée, ajoute-t-il. « Ensuite, il y a le vieux cliché selon lequel plus de données créent plus de problèmes, et bien que je n'en souffre pas à UnionDigital Bank en raison de la façon dont notre CDO a structuré les données, c'est généralement un problème dans la mesure où vous devez confier des données à des tiers. Ce serait un plus grand défi si nous étions basés en Europe avec le RGPD à prendre en compte, par exemple. Enfin, s'il y a de la place pour l'erreur humaine dans la façon dont l'IA est déployée, vous pouvez toujours être vulnérable aux erreurs ».
Du point de vue du CDO, le principal point à considérer dans l'application de l'IA à la sécurité et à la gestion des risques se centre sur l'établissement d'une définition de ce qu'est un « bon risque ». « Bien sûr, il y a toujours un risque, mais l'IA rend les questions beaucoup plus aiguës - c'est-à-dire, quel niveau de risque est acceptable ? Elle peut vous indiquer d'emblée vos niveaux de risque, ce qui est très différent d'une perspective opérationnelle où, a posteriori, vous vous rendez compte que vous avez manqué quelque chose, parce que x, y ou z se sont produits en aval. Donc, si vous décidez de ne pas accepter le niveau de risque qui vous est présenté, cela peut avoir un impact sur les activités opérationnelles à venir, et il faut donc réfléchir soigneusement à la meilleure façon d'exploiter les résultats ». En fin de compte, les avantages de l'IA en matière de cybersécurité l'emportent largement sur les inconvénients ou les défis pour UnionDigital Bank, affirme M. Grunden.
L'IA, élément essentiel à la cybersécurité à l'avenir
Pour l'avenir, ce RSSI pense que la nécessité d'une approche de la cybersécurité basée sur l'IA ne fera qu'augmenter pour le secteur de la banque en ligne et au-delà. « Cela va être plus critique que ce que beaucoup d'experts pensent », dit-il. « À mon avis, l'IA sera intégrée à un type de norme de sécurité dans les cinq à dix prochaines années, que ce soit une norme ISO ou autre. Pour les services bancaires numériques en particulier, je pense également qu'il y a de fortes chances pour que le fait de ne pas utiliser l'IA dans le cadre de la cybersécurité devienne illégal ou constitue une forme de non-conformité réglementaire. Je pense que l'IA sera un catalyseur qui déterminera si le secteur de la banque numérique peut suivre le rythme de la communauté des acteurs de la menace, et j'entrevois un moment où nous aurons de « bons bots de chasse à la menace IA » travaillant contre de « mauvais bots » changeant à la volée en fonction du paysage des menaces ».
Un avis partagé par le CDO : « L'IA doit tout simplement devenir un élément essentiel de la défense de la cybersécurité. Si ce n'est pas le cas, vous allez tout simplement vous faire démolir - peut-être pas maintenant, mais un jour ».