VIDÉOSURVEILLANCE ET PROTECTION DES RÉSEAUX BANCAIRES

Une histoire complexe

Le 27 octobre 2014 Imprimer

Outil essentiel de protection pour les réseaux bancaires depuis près de quarante ans, la vidéosurveillance a connu plusieurs bouleversements techniques et évolutions fonctionnelles. Oscillant entre militantisme pionnier pour l’innovation à certaines périodes et scepticisme prudent à d’autres, l’utilisation de la vidéosurveillance dans le secteur bancaire français doit être appréhendée à l’aune de l’évolution singulière de ce dernier, tant en termes structurels que conjoncturels.

PAR SÉBASTIEN MAUQUÉ, DIRECTEUR STRATÉGIE ET DÉVELOPPEMENT, GROUPE PARTENAIRE SÉCURITÉ

Les années soixante-dix et quatre-vingt constituent deux décennies dorées pour les établissements bancaires français sur le plan de la croissance du produit net bancaire. Néanmoins, cette croissance a un revers plus sombre en termes de vols à main armée et de cambriolages. La perte de vitesse du proxénétisme fait, en effet, des banques les cibles privilégiées des voyous en tous genres, Gang du Lyonnais, Mesrine et consorts, Spaggiari, Gang des Postiches, mais également des groupes anarcho-terroristes, tels Action Directe, et des mercenaires politiques en mal de financement. Cette recrudescence de criminalité donne d’ailleurs lieu à la création de la Brigade de Répression du Banditisme (BRB) en 1975.
C’est dans ce contexte trouble, marqué à la fois par une croissance du volume des réseaux bancaires, la libéralisation de la création de guichets en 1966 ayant engendré une course concurrentielle (le nombre de guichets permanents passe de 6 500 en 1970 à près de 10 000 en 1985), et une criminalité galopante, que les banques vont faire partie des pionniers français, tout comme la grande distribution, dans l’utilisation d’applications civiles en matière de sécurité des personnes et des biens des systèmes de vidéosurveillance.

Changement de cap

C’est également à cette période que la vidéosurveillance va être envisagée sous une forme plus complexe, c’est-à-dire non seulement comme un moyen de surveillance humaine déportée, mais plus encore pour constituer un outil d’enquête a posteriori. Ces deux fonctions vont d’ailleurs constituer les raisons d’être de la vidéosurveillance pour la protection des succursales des réseaux bancaires.
Les systèmes vidéo offrent en effet, dans un premier temps, la possibilité de surveiller les sas d’entrée avant d’actionner une commande d’ouverture, d’enregistrer des situations d’agressions à main armée ou de conflit verbal violent (sur commande manuelle par bouton agression ou pédale d’alarme).
Dans un second temps, l’automatisation des agences, due à la baisse de profitabilité des réseaux dans les années 90 du fait, entre autres, de coûts opératoires en croissance plus rapide que les résultats, couplée aux avancées dans les domaines de l’électronique et de la transmission, ont engendré de nouvelles applications de surveillance et de vérification : lutte contre la fraude, notamment sur les dépôts de fonds, les DABs/GABs et les automates de dépôt, la gestion d’ouvrants, les escortes et les rondes virtuelles ou encore les levées de doute par une station de télésurveillance, lutte contre les incivilités (montrer à l’agresseur sa propre image via un écran d’accueil). L’arrivée de la vidéo en télésurveillance a constitué un progrès décisif et un outil d’aide à la décision bien plus discriminant que la simple levée de doute audio.
Notons également que le secteur bancaire est fidèle en termes technique, au point d’avoir des fabricants et prestataires dédiés, parfois présents depuis plus de trente ans. Plusieurs fabricants de hardware et software, français de surcroît, ont ainsi été moteurs dans ces nouvelles applications. Toutefois, il convient d’apporter une nuance sur le volontarisme de la banque en matière d’innovation car le passage au numérique, par exemple, ne s’est majoritairement fait qu’en réponse à la réglementation. Même si la loi a forcé le destin, notamment concernant la facilité d’opérer des réquisitions judiciaires sur des séquences et images de qualité, les réseaux bancaires ont attendu l’avalanche réglementaire pour se laisser emporter. Outre l’inertie liée à la problématique du changement, constatée dans toute organisation, le coût de ces migrations techniques est la principale la raison de cette entrave à l’évolution et nous y reviendrons.

A l’arrivée de l’IP et de la vidéo en réseau, un second coup de frein a été constaté
Bien informées techniquement, les Directions de sécurité et Responsables Sécurité des Personnes et des Biens (RSPB) ont plutôt été longtemps dubitatives quant à la vidéo en IP, et ce pour plusieurs raisons tout à fait légitimes.
La première – et non des moindres – est que la sécurité au niveau bancaire a mis plusieurs décennies à se constituer un champ de compétences bien délimité et à gagner, de haute lutte, certaines prérogatives malgré les impératifs d’exploitation et les politiques internes, notamment sur la cohabitation avec les pôles informatiques et immobiliers. Il est donc logique que l’arrivée de la vidéo IP, bien plus que la « simple » transmission d’alarme ou de vidéo en IP, ait généré une levée de bouclier informelle plutôt qu’une bronca. Cette avancée technique a longtemps été perçue comme un cheval de Troie et il serait hypocrite que de vouloir prouver le contraire. Force est de constater que les DSI ont volontairement tenté ou ressenti l’obligation de phagocyter les problématiques de sécurité à partir du moment où « leur » réseau est devenu le vecteur central de circulation de données liées à la sécurité : référencement des produits, contrôle de la bande passante avec les arbitrages nécessaires à l’exploitation du réseau commercial, les opérations financières étant forcément prioritaires, introduction de prestataires non spécialistes de la sécurité mais familiers des réseaux. Les exemples en ce domaine sont légion. Par contre, la question de savoir si ce mouvement est positif ou pas pour la sécurité des réseaux bancaires est une question qui n’a pas sa place ici. Rappelons juste, en aparté, que les DSI ont fait beaucoup, notamment dans le monde anglo-saxon, pour la promotion et la normalisation de la sécurité physique notamment au travers du Code des bonnes pratiques de sécurité de l’information créé en 1993 et devenu en 2000 l’ISO 17799.
La deuxième raison qui a prévalu au scepticisme des RSPB vis-à-vis de la vidéo IP tient au fait que les premiers systèmes IP déployés étaient extrêmement voraces en termes de bande passante, denrée rare dans les agences bancaires et plus encore dans les grands réseaux, et donc de qualité bien inférieure par rapport aux derniers systèmes analogiques (caméra/DVR) de l’époque présentant, sur des systèmes de faible envergure, une fluidité et une résolution d’images difficilement comparable. Si le retard qualitatif a été amplement rattrapé aujourd’hui, il est important de noter que cela n’était pas le cas aux prémices de l’IP. De plus, les « alarmistes » traditionnels, prestataires en courants faibles de sécurité électronique, n’étaient que peu férus d’informatique, voire pas du tout, comme leurs clients. Cette barrière a également été franchie par un processus concurrentiel de survie, l’adaptation, et ce sont souvent les bureaux d’études, internes ou non, qui ont permis à de nombreuses sociétés de passer le cap.
La dernière raison, et non des moindres, est celle qui prédomine toujours : le coût. La migration des systèmes vidéo de l’enregistrement analogique au numérique (DVR) a entraîné des investissements très importants pour les réseaux bancaires, dont l’amortissement réel s’estime en regard de la durée de vie moyenne de tout système électronique, soit cinq ans. Il est important de ne pas oublier que les investissements pour les grands réseaux bancaires sont à multiplier par le nombre d’agences, soit plus de deux mille en moyenne. Par ailleurs, les progrès techniques réalisés dans le domaine hardware et software, notamment la compression des données et l’analyse d’image, pour l’IP, ont également permis une diffusion plus large de ces systèmes et, par voie de conséquence, une réduction importante des coûts.
Bien que d’autres facteurs entrent en ligne de compte, notamment la séparation des réseaux, telle que la prône à juste titre l’ANSSI, ou encore les progrès en termes de fluidité et de transfert, c’est en réalité ce facteur pécuniaire qui préside majoritairement au mouvement récent de migration des succursales des réseaux bancaires vers la vidéo IP. Une migration prudente, tant sur le plan financier que technique, puisqu’elle s’effectue souvent par « hybridation » analogique/IP pour marier caméras existantes et futures caméras IP.

Stratégies divergentes

En outre, en ces temps de vaches maigres et dans un environnement commercial très concurrentiel, de nouvelles applications chimériques ont vu le jour, mariant sécurité et marketing, du fait des progrès technologiques en termes d’analyse d’image, que cela concerne les caméras ou les organes de stockage : systèmes de comptage d’entrées par vidéo, diffusion de messages à caractère publicitaire ou informationnel via les systèmes vidéo et détection de client(s). Ces évolutions sont majoritairement impulsées par les fabricants « historiques » de solutions de stockage et de logiciels, bien implantés sur les réseaux bancaires, pour ne pas perdre de terrain face à l’arrivée de nouveaux acteurs, parfois très agressifs en termes de prix au détriment de la stabilité et des performances de leurs produits, principalement venus d’Asie.
Cette tendance très cartésienne de la sécurité des réseaux tranche effectivement en comparaison des projets novateurs portant parfois sur des systèmes à plusieurs centaines de caméras et intégrés, supervisés voire hypervisés, mis en œuvre sur les data centers et certains sites tertiaires stratégiques, notamment les Sièges sociaux, projets souvent pilotés complètement ou en concertation avec les DSI. Il existe plusieurs raisons à ces différences de stratégies.
La première est relativement banale et tient à une question de temporalité : les data centers sont relativement récents et ont souvent, dès leur création, bénéficié de systèmes de pointe.
La deuxième tient à la politique de Risk Assesment des Banques imposée par la réglementation, dont Bâle III, et qui influence la protection des actifs sous toutes leurs formes. Le risque physique caractérisant les agences bancaires est désormais la partie émergée de l’iceberg et se réduit presque en réalité à un risque commercial : perdre des clients. Le risque véritable porte lui sur les transactions immatérielles et les risques liés aux salles des marchés et surtout aux data centers qui concentrent, stockent et font transiter les opérations. La valeur ajoutée se créé désormais en salles blanches et plus derrière un guichet. Ceci explique pourquoi les lignes budgétaires se débloquent plus aisément pour certain projets que pour d’autres.
Cependant, il convient également de rappeler que les projets de migration vidéo ou de démarrage en full IP sur les sites stratégiques voient le jour avec des budgets inférieurs en comparaison des sommes investies sur les grands réseaux pour le déploiement en multi-sites de petits systèmes stand alone. Une fois encore, les mathématiques parlent : multipliez une somme raisonnable par deux mille et elle le sera tout de suite moins. Songez également aux coûts d’exploitation générés par une multitude de sites.

Un environnement contraint

Nous l’avons vu, la propension à l’innovation en fonction du segment à protéger est variable et souvent corrélée à des impératifs budgétaires et à l’évolution réglementaire. Si l’on met à part les querelles technologiques et de chapelles, la vidéosurveillance reste pour le secteur bancaire un outil privilégié de protection et ce depuis plusieurs décennies. Ses fonctions de surveillance à distance se sont élargies avec l’arrivée et la prise d’ampleur de la télésurveillance, qui tend encore à s’accroître par les gains de parts de marchés qui vont avoir lieu à moyen terme au détriment de la surveillance humaine. Ses fonctions de traçabilité ont également vu leur ampleur prendre une importance considérable du fait de l’extension des compétences du contrôle interne à tous niveaux. Enfin, de nouvelles applications mixtes naissent parfois sans répondre de prime abord à un objectif sécuritaire mais pour permettre à la sécurité d’apporter de l’eau au moulin qui fait, encore, vivre les réseaux bancaires car elle est l’image de la banque : l’exploitation commerciale des réseaux d’agences.