Par Gerald Beuchelt, CISO, LogMeIn
Lacybersécurité est une préoccupation cruciale dans n’importe quel secteur, mais surtout dans le secteur financier, qui a longtemps été une cible attrayante. L’attrait des gains financiers et un large accès à des renseignements très personnels et précieux sur les clients ont fait en sorte que les entreprises de services financiers sont plus ciblées que tout autre secteur. En fait, les clients bancaires britanniques ont perdu 358 millions de livres sterling en raison de fraudes non autorisées au cours du premier semestre 2018 et au second semestre, le secteur financier a enregistré une augmentation de 37 % des attaques de prise de contrôle et une augmentation de 107 % des tentatives de contrôle des comptes d’utilisateurs lors de transactions mobiles. À cette menace directe sur le secteur financier s’ajoute la nouvelle apparemment sans fin des violations commises par des marques de confiance, dont British Airways et Ticketmaster, et nous avons une culture de peur.
Gerald Beuchelt, CISO, LogMeIn
Alors que la sophistication des attaquants et les types de menaces évoluent sans cesse, certaines bases de la cybersécurité restent inchangées. Principalement, les mots de passe sont un point d’entrée facile pour les attaquants avec 81 % des violations de données impliquant des informations d’identification faibles, réutilisées ou volées. On pourrait penser qu’étant donné la menace qui pèse sur les institutions financières, elles seraient à l’avant-garde de toutes les pratiques de sécurité, y compris les mots de passe intelligents. Cependant, une étude récente qui a coté les entreprises en ce qui concerne les pratiques de mot de passe et l’adoption de l’authentification multifacteur (MFA) a révélé que l’industrie a un rendement inférieur à la moyenne.
Alors que les pratiques de sécurité continuent d’affliger les organisations, quelles mesures les banques et les institutions financières peuvent-elles prendre pour renforcer les défenses ?
Maintien des évaluations du système
À une définition la plus simple, les violations se produisent lorsque les vulnérabilités d’une organisation sont détectées et exploitées par des attaquants. Les banques et autres institutions financières doivent constamment évaluer leurs systèmes pour déceler d’éventuelles faiblesses, d’autant plus que les techniques des attaquants changent constamment. La complaisance est le plus grand ennemi d’une organisation. Le simple fait qu’un système était sécurisé l’an dernier, le mois dernier ou même la semaine dernière, ne signifie pas qu’il suffira contre les menaces futures.
Bien que les évaluations des risques des systèmes critiques soient régulières au sein des institutions financières, les organisations devraient également veiller à ce qu’elles évaluent les systèmes secondaires contenant des actifs non critiques. Les activités et les comptes privés des employés, tels que les courriels personnels ou Facebook, sont encore des passerelles potentielles vers un réseau interne, de sorte que les politiques d’authentification devraient être au centre de ces évaluations. Dans le cadre de ces évaluations, il est important de tenir compte de l’information à qui les employés ont accès. Ils ne devraient disposer que des données nécessaires à l’accomplissement de leur travail et pas plus. Limiter l’accès dans la mesure du possible permet de réduire les vulnérabilités potentielles.
Les institutions financières peuvent également tirent parti de la sécurité offensive avancée, comme des tests de pénétration et des exercices « Red Team » pour améliorer la visibilité et la sensibilisation à la sécurité dans l’ensemble de l’organisation. Les tests d’équipe Red exposent de manière exhaustive les vulnérabilités physiques, matérielles, logicielles et humaines avant qu’elles ne deviennent des points d’entrée pour les pirates ou offrent aux mauvais acteurs et aux initiés malveillants la possibilité de compromettre les systèmes.
Mettre l’accent sur les mots de passe
Pour revenir au point ci-dessus sur la compréhension des vulnérabilités, alors qu’il existe de nouvelles technologies sans fin pour lutter contre les risques liés à la cybersécurité, y compris l’IA avancée et la biométrie, la solution simple est parfois la plus précieuse. Une technologie révolutionnaire ne peut pas aider une culture de mot de passe faible. Les bases des stratégies de mot de passe et de l’authentification sont essentielles à la sécurité de l’entreprise.
Par conséquent, la gestion des mots de passe devrait être une priorité absolue. Cela devrait comprendre une formation à l’intention de tout le personnel sur les pratiques sécuritaires en matière de mot de passe, sur la façon de créer un mot de passe solide et sur l’importance d’utiliser des identifiants uniques pour tous les comptes. Pour encourager l’adoption, les organisations peuvent mettre en œuvre des outils de gestion des mots de passe ou, à tout le moins, orienter les employés vers les solutions. Ces outils aideront à éliminer la réticence à garder la trace de plusieurs mots de passe complexes.
Pour aller plus loin dans la sécurité des mots de passe, l’authentification multifacteur (MFA) est l’un des moyens les plus efficaces d’ajouter une autre couche de sécurité aux comptes protégés par mot de passe. Avec MFA, le pirate doit fournir un facteur supplémentaire (un code unique généré par un jeton matériel, une empreinte digitale, etc.), même s’il obtient le mot de passe. La récente violation de Timehop, qui a touché la quasi-totalité de sa clientèle de 21 millions d’utilisateurs, s’est produite parce que l’entreprise n’avait pas protégé l’accès à son réseau cloud avec MFA. Encore une fois, on pourrait s’attendre à ce que le secteur financier ait déjà adopté cette pratique, mais un rapport récent a révélé que seulement 16 % des institutions bancaires et financières avaient adopté l’AMF, comparativement à 31 % des entreprises technologiques.
Intégrer la culture de la sécurité par la formation
Les organisations peuvent investir dans toutes les technologies de sécurité appropriées et élaborer toutes les politiques nécessaires, mais elles seront inutiles si les employés n’y sont pas formés ou ne comprennent pas l’importance d’y adhérer.
Tout d’abord, les employés doivent comprendre la gravité des menaces et les prouesses des agresseurs. Deuxièmement, des directives devraient être diffusées avec des politiques de sécurité bien illustrées et une éducation sur la façon de suivre ces politiques. Enfin, des séances de formation régulières devraient être organisées afin de tenir le personnel au courant des nouvelles menaces et de veiller à ce que les pratiques de sécurité adéquates soient intégrées à la culture de l’entreprise.
Compte tenu de ce qui est à risque, les banques et les organisations financières ne peuvent tout simplement pas permettre que la sécurité soit une réflexion après coup. Le secteur bancaire traverse une période d’énormes changements, avec l’Open Banking , certaines des plus grandes secousses de l’industrie depuis des années, ce qui crée de nouvelles opportunités d’innovation et de menaces. Les organisations ne peuvent prendre pour acquis leur sécurité et mal interpréter l’importance des pratiques de base en matière de sécurité et de l’adoption des employés.
