La RBI demande aux banques de désactiver Windows XP sur les DAB

La RBI ordonne à toutes les banques de mettre à niveau les DAB qui fonctionnent encore sous Windows XP d’ici juin 2019

La Reserve Bank of India (RBI) a émis un avis aux banques du pays pour désinstaller le système d’exploitation Microsoft XP de tous les DAB et les mettre à niveau d’ici juin 2019.

Pour ceux qui ne le savent pas, en avril 2014, Microsoft avait annoncé qu’il mettait fin aux versions de la version Windows XP. Depuis lors, la société n’a pas déployé de correctifs de sécurité ni annoncé de nouvelles fonctionnalités pour Windows XP.

En avril 2017, la RBI, par le biais d’un “circular confidentiel” aux banques, avait souligné les préoccupations concernant les DAB fonctionnant sous Windows XP et d’autres systèmes d’exploitation vulnérables.

“Une référence est également invitée à notre Avis confidentiel n° 3/2017 daté du 6 mars 2017 et n° 13/2017 daté du 1er novembre 2017 dans lequel les banques étaient conseillées de mettre en place, avec effet immédiat, des contrôles appropriés énumérés dans la liste illustrative des contrôles,” a déclaré la RBI dans un circular confidentiel aux banques concernant les DAB fonctionnant sous Windows XP et d’autres systèmes d’exploitation non pris en charge.

Malgré l’envoi d’avis aux banques dans le passé leur demandant de mettre en place des plans de migration, les choses n’ont pas avancé assez rapidement pour la RBI.

“Le progrès lent de la part des banques pour résoudre ces problèmes a été pris très au sérieux par la RBI,” a déclaré l’avis.

Le circular émis par la banque centrale souligne également que “la vulnérabilité résultant des DAB des banques fonctionnant sur une version non prise en charge du système d’exploitation et la non-implémentation d’autres mesures de sécurité pourraient potentiellement affecter les intérêts des clients des banques de manière défavorable, en plus de telles occurrences, le cas échéant, portant atteinte à l’image de la banque.”

La banque centrale a averti qu’elle prendrait des mesures réglementaires contre les banques qui ne se conformeraient pas à l’ordre.

“Il convient de noter que toute carence dans le respect en temps utile et efficace des instructions contenues dans ce Circular pourrait entraîner des mesures d’exécution appropriées en vertu des dispositions applicables de la Banking Regulation Act, 1949 et/ou du Payment and Settlement Systems Act, 2007,” a déclaré la RBI.

La RBI a donné aux banques et aux “opérateurs de DAB en marque blanche” un délai pour résoudre tous les problèmes et effectuer des mises à niveau de manière progressive. Elle souhaite qu’au moins 25 % des DAB soient mis à niveau d’ici septembre 2018, tandis que 50 % des systèmes doivent être mis à jour d’ici décembre 2018. Tous les DAB avec une version prise en charge du système d’exploitation doivent être mis à niveau vers la version la plus récente d’ici juin 2019.

En plus d’ordonner aux banques de mettre à niveau leurs DAB, la RBI leur a également demandé de mettre en œuvre d’autres mesures de sécurité telles que le mot de passe BIOS, la désactivation des ports USB, la désactivation de la fonction d’exécution automatique, l’application des derniers correctifs du système d’exploitation et d’autres logiciels, la solution de sécurité des terminaux, l’accès administrateur basé sur le temps, etc. d’ici août.

De plus, la RBI a ordonné aux banques de mettre en œuvre des solutions anti-skimming et de liste blanche sur les DAB afin que seuls les logiciels approuvés puissent y fonctionner. La date limite pour mettre en œuvre ces mesures est mars 2019.

La RBI a instruit les banques de soumettre leurs plans de conformité d’ici la fin juillet 2018. “Les progrès réalisés dans la mise en œuvre de ces mesures doivent être étroitement surveillés pour garantir le respect des délais prescrits,” a ajouté le circular.