Pourquoi la cyberrésilience durable compte dans le secteur financier

Auteur : Dirk Schrader, CISSP, CISM et CMO chez Greenbone Networks

Les banques, aux côtés du marché boursier et d’autres sociétés financières, sont des éléments essentiels de l’infrastructure du Royaume-Uni. Sans eux, l’économie du pays ne pourrait tout simplement pas fonctionner. En tant que tels, ils représentent des cibles particulièrement attrayantes pour les pirates.

Pour assurer une sécurité appropriée, il ne suffit plus à ces entreprises de prendre des mesures réactives contre les cybercriminels. Ils doivent plutôt s’efforcer d’atteindre un état de « résilience durable » — un concept global plus stratégique que technologique, allant plus loin que les déploiements traditionnels de sécurité informatique.

Les institutions financières sont essentielles à la sécurité nationale

Le gouvernement britannique divise les infrastructures essentielles du pays en 13 secteurs distincts. L’un d’eux est le secteur financier et de l’assurance. Il s’agit notamment des banques, des marchés boursiers, des compagnies d’assurance et d’autres prestataires de services financiers, notamment le grand nombre de spécialistes des technologies financières qui se font jour, notamment à Londres.

Toutes ces institutions jouent un rôle important dans la société moderne. Sans un système de paiement fonctionnel, le commerce serait paralysé. Les exigences de base comme l’achat de nourriture ou le paiement des salaires seraient impossibles. Les répercussions sur les individus, les organisations et le gouvernement sont peut-être trop énormes pour être même envisagées.

Pour les cybercriminels, les entreprises de ce secteur sont des cibles attrayantes car les pirates peuvent obtenir de l’argent directement sans avoir à clôturer les biens volés. Il n’est pas surprenant que cette industrie, du moins selon les recherches de Dimension Data, subit plus d’attaques que n’importe quel autre secteur.

Il existe de nombreux exemples d’attaques dirigées contre les infrastructures essentielles du secteur financier.

En 2014, les pirates ont ciblé JP Morgan, volant des données concernant plus de 76 millions de clients privés et sept millions d’entreprises.

Pendant ce temps, en février 2016, des criminels ont volé 81 millions de dollars américains dans un vol audacieux lorsqu’ils ont piraté avec succès le système SWIFT de la banque centrale du Bangladesh. Deux ans plus tard, l’Indian City Union Bank a constaté que ses systèmes avaient été piratés et que 1,5 million d’euros avaient été transférés à des banques internationales sans autorisation.

Plus connu encore, les pirates ont pénétré dans les systèmes du plus grand bureau de crédit américain, Equifax, en 2017, en volant les données — y compris les numéros de carte de crédit et de sécurité sociale — de 143 millions de citoyens américains. Pour cette attaque, les pirates ont profité d’une vulnérabilité de sécurité dans le framework open source Apache Struts, qui faisait partie de l’infrastructure informatique d’Equifax. Il s’agissait d’une vulnérabilité connue, qui avait été découverte deux mois auparavant.

Malheureusement, Equifax n’avait pas installé le correctif qui avait été émis pour fermer cette vulnérabilité. enate rapport a identifié plusieurs lacunes dans l’architecture de sécurité d’Equifax, soulignant l’entreprise comme un exemple de la façon dont la négligence et l’ignorance réduisent la posture de cybersécurité d’une entreprise, sans parler de compromettre toute approche de la résilience (si une telle approche existait même).

Les défis du secteur financier

L’ utilisation de processus numériques et de flux de travail automatisés est une place courante dans les institutions financières modernes. Bien qu’efficaces, ces procédures rendent les entreprises vulnérables sur le plan numérique.

Les pirates ont plusieurs itinéraires dans leurs réseaux. Il s’agit notamment des systèmes de bureau et de messagerie, des réseaux et des bases de données d’entreprise, des systèmes comptables et de leurs applications en amont, des applications de contrôle, des systèmes de gestion des risques, des systèmes de paiement et des systèmes de négociation. Les interfaces clients, telles que les portails utilisateur, les applications et les distributeurs automatiques de billets, sont également à l’écoute.

Pour atteindre un état de cyberrésilience durable, les entreprises du secteur financier doivent tenir compte de la gamme complète de systèmes, d’équipements et d’applications en réseau.

La pression pour passer au numérique — provoquée à la fois par les attentes croissantes des clients et par la concurrence des fintechs — oblige les banques et les compagnies d’assurance à se rendre sur un territoire inconnu et à un rythme qui pourrait être plus rapide qu’elles ne le sont à l’aise avec. Par le passé, ils n’avaient qu’à sécuriser l’informatique au sein de leurs propres entreprises ; à présent, ils sont confrontés à de nouveaux risques liés aux appareils mobiles, aux applications et aux applications Web vulnérables de différentes manières.

En outre, les banques et les compagnies d’assurance sous-traitent souvent des services informatiques tels que le développement de logiciels à des fournisseurs externes. Cette réserve de tiers diminue en taille, mais si les mêmes développeurs travaillent pour de nombreuses banques, les erreurs de programmation ou les lacunes de sécurité peuvent se répandre plus rapidement dans l’ensemble du secteur bancaire.

Ces défis deviennent encore plus difficiles parce que le secteur financier doit également respecter de nombreuses réglementations nationales et internationales. Ces règles définissent les exigences en matière de sécurité informatique et de gestion des risques. Cela rend encore plus difficile le développement d’une sécurité et d’une résilience complètes.

Gestion des vulnérabilités : un élément clé de la résilience durable

La résilience est un processus continu. Il renforce la capacité d’une entreprise à résister aux attaques et lui permet de continuer à fonctionner si — ou plus précisément, quand — un incident a lieu. Pour ce faire, il est important de réduire la taille de la cible. Cela signifie qu’il faut identifier et éradiquer les vulnérabilités dont les pirates pourraient tirer parti — et très probablement – de tirer parti. En fin de compte, cela signifie avoir une longueur d’avance sur les criminels.

La gestion efficace des vulnérabilités comprend un certain nombre d’étapes, dont la plupart sont automatisées. Ceux-ci comprennent

Étape 1 : préparation

La première étape consiste à créer le contexte des politiques de sécurité informatique, de l’évaluation des risques, des processus de l’entreprise et des systèmes critiques de l’entreprise. Ce qui a besoin avec quelle intensité ? Quelle est la quantité de risque acceptable ? Ces informations aideront les équipes informatiques à décider comment configurer leurs solutions afin de renforcer la résilience et d’assurer la conformité réglementaire.

Étape 2 : identification

L’ étape suivante consiste à analyser la situation actuelle. Une analyse des vulnérabilités détermine les points faibles de l’infrastructure et les endroits où ils diffèrent des nouvelles spécifications de configuration. L’accès à une base de données de vulnérabilités à jour est une exigence fondamentale. Toute information obsolète rendra les systèmes vulnérables aux dernières attaques.

Étape 3 : classification

Une fois la situation actuelle évaluée, l’information recueillie doit être divisée en fonction de critères différents, que l’entreprise peut définir individuellement — par exemple, l’emplacement physique d’un système, le service auquel il appartient, le segment de réseau dans lequel il se trouve et la fonction dans laquelle il s’agit remplit dans l’entreprise.

Étape 4 :établissement des priorités

Une fois classées, il est temps de déterminer par ordre de priorité les vulnérabilités les plus importantes et celles qui doivent être abordées en premier.

Étape 5 : correction

C’ est le processus d’élimination de la vulnérabilité. La procédure doit préciser qui est notifié une fois qu’une vulnérabilité est découverte, à quelle vitesse elle doit être notifiée, qui est responsable des étapes suivantes et quelles devraient être ces étapes.

Étape 6 : stocker et apprendre

Enfin, il est important de stocker des informations clés, telles que le moment où une vulnérabilité a été détectée pour la première fois, le moment où elle a été signalée et le temps nécessaire à la correction. Cela aide à l’analyse des incidents de sécurité et prouve que le processus est conforme aux processus de l’entreprise, aux réglementations sectorielles ainsi qu’aux lois britanniques et européennes. Cette piste d’audit peut être interrogée pour déterminer comment les stratégies peuvent être affinées ou renforcées. Après tout, la gestion des vulnérabilités devrait être un processus dynamique plutôt que statique.

Rôle de la gestion des vulnérabilités dans un plan de résilience plus large

La gestion de la vulnérabilité est un moyen important de parvenir à une cyberrésilience durable. Cependant, ce n’est qu’un élément d’une architecture globale complète. Pour assurer une cybersécurité et une résilience durables, il faut tenir compte de nombreux autres facteurs, qui doivent tous être maillés.

En plus de protéger les systèmes contre les pirates informatiques, les institutions financières ne doivent pas oublier la sécurité physique. Les mesures organisationnelles jouent également un rôle important. Les entreprises doivent définir et documenter exactement à quoi devraient ressembler les processus de sécurité, ainsi que la responsabilité de l’exécution des tâches nécessaires. Les organisations ne doivent pas non plus oublier le facteur humain. La formation et la sensibilisation aux risques demeurent des mesures de prévention importantes.

Cela dit, un processus solide pour identifier, gérer et éradiquer les vulnérabilités dans les systèmes informatiques des institutions financières franchit un pas important dans la quête d’une infrastructure durable et résiliente capable de soutenir l’économie du pays.

Gaston Alexandre

En tant que travailleur indépendant, j’ai décidé de me lancer dans la rédaction d’articles basée sur le buzz international. Je traite ainsi différents sujets, et particulièrement ceux qui ont suscité un énorme engouement dans la société mondiale. J’écris ainsi des articles concernant les thématiques à fort caractère, c’est-à-dire qui créent un véritable impact émotionnel chez le lecteur. Le nombre d’articles que j’écris est variable au quotidien. L’objectif étant de fournir le maximum d’informations pertinentes du jour, vous pouvez alors découvrir de nombreuses publications d’une douzaine de lignes par article.
Bouton retour en haut de la page