Quotidien Corporate Finance News
              


Mercredi 16 Juin 2021

Institutions financières et hackers éthiques : une collaboration essentielle pour protéger nos données ?


Par Laurie Mercer, Ingénieur Sécurité, HackerOne



Depuis mars 2020, le monde a basculé en ligne. De nombreux employés ont commencé à goûter aux vertus du télétravail, incitant les responsables informatiques à se pencher sur les enjeux de sécurité de cette pratique, pour certains nouvelle, et particulièrement dans le secteur de la finance. Imaginez la scène.

Vous êtes le RSSI d'une grande banque et on vient de vous demander de fermer toutes vos agences et de renvoyer vos employés chez eux pour qu'ils installent des postes de travail à distance. Alors que certains ont des bureaux à domicile, d'autres travaillent sur la table de la cuisine ou passent leurs appels dans leur voiture. Du jour au lendemain, le périmètre de votre entreprise s'est étendu à des milliers de réseaux domestiques. À cela s'ajoute une explosion des besoins bancaires en ligne et sans contact, motivée par la peur de l'argent liquide contaminé, qui pousse les développeurs à travailler d'arrache-pied pour fournir des solutions et coder dans des délais inédits. C'est la recette d'un désastre en matière de sécurité.

Les institutions financières ont quelques défis à relever en matière de cybersécurité, notamment parce que c’est un secteur qui s’est rendu compte assez tardivement que les solutions traditionnelles de sécurité jusqu’à présent mises en place n’étaient plus adaptées à l’ère de l’hyper-digitalisation. Alors comment faire en sorte de protéger des données ultra sensibles face à des cybercriminels opportunistes qui ne cherchent qu’à exploiter les faiblesses de n’importe quel système ? Dans un contexte où tout est interconnecté, la transparence et la confiance sont devenues des facteurs essentiels, et c'est en partageant les informations sur leurs vulnérabilités que les banques peuvent espérer mieux lutter contre les cybermenaces. L’enjeu majeur étant de réussir à conjuguer collaboration et protection.

Sécuriser les données les plus sensibles

Les conséquences d’une cyberattaque pouvant être dramatiques en termes de réputation de marque, de pertes financières et d’atteinte à l’intégrité des données clients, de nombreux acteurs de la finance à travers le monde ont commencé à se tourner vers l’expertise des hackers éthiques pour aiguiser leurs stratégies de cybersécurité (Goldman Sachs, Paypal, Coinbase, Starling Bank…).

Dotés de compétences spécialisées et surtout d'un regard extérieur, les hackers éthiques se mobilisent pour chercher des vulnérabilités dans les systèmes financiers et les signaler avant qu’elles ne puissent être exploitées. Mettre ainsi le doigt sur ses points faibles permet d’adopter des mesures de sécurité beaucoup plus efficaces pour prévenir de futures attaques.

Selon le Hacker Report 2021 la banque/finance est le deuxième secteur à recourir à la sécurité collaborative, après celui du E-commerce et des services en ligne. Le taux d’adoption d’acteurs de la finance pour des programmes de bug bounty affiche une croissance annuelle de plus de 75 %. De plus en plus d'institutions financières à travers le monde sont convaincus par les bénéfices du hacking éthique, notamment pour surveiller en continu des surfaces d'attaque en constante évolution.

Quand la migration vers le cloud ouvre une brèche

Le cloud présente une multitude d'avantages pour les entreprises, que ce soit pour stocker des métadonnées ou pour pouvoir bénéficier d’une gamme de produits as-a-service.. Accenture annonçait en 2016 qu’un tiers des banques "historiques" risqueraient de disparaître au détriment de banques digitales à horizon 2020. Selon une étude d'IDC parue en 2015, un quart des institutions financières européennes ont mis en place un cloud privé et près de 15% utilisent des services de cloud public. Si les banques qui s’aventurent sur le cloud sont peu nombreuses aujourd’hui, c’est en grande partie parce que cette solution comporte encore des risques. La perte de données demeure une perspective qui inquiète bon nombre d’établissements, sans oublier la confidentialité des informations personnelles des clients qui reste difficile à garantir.

En effet, une migration vers le cloud se fait rarement sans risque de sécurité, et certains projets peuvent accidentellement causer une fuite de données en raison de l'insuffisance de contrôles d'authentification ou d'autorisation. Si rien n'est fait, les organisations deviennent automatiquement une cible de choix pour les acteurs de la menace à la recherche de vulnérabilités à exploiter. Gartner prédit que d'ici 2022, 95 % des problèmes de sécurité du cloud seront la conséquence directe d'une mauvaise configuration des services. Une tendance dont les hackers éthiques se sont déjà emparés puisque selon le Hacker Report 2021, ils ont détecté davantage de vulnérabilités liées à une mauvaise configuration en 2020 (+310%).

Concevoir la sécurité au-delà des équipements en périphérie du réseau

Avec la généralisation du télétravail, les cybercriminels profitent clairement de l’atténuation des frontières entre les réseaux professionnels et domestiques pour piéger leurs victimes. Des milliers de réseaux domestiques se retrouvant connectés au réseau d'entreprise, les institutions financières doivent revoir leur approche en matière de sécurité. Envisager de collaborer avec des hackers éthiques est un atout essentiel pour non seulement comprendre comment les cybercriminels pensent, mais aussi et surtout anticiper et corriger les problèmes à la source. Adopter un modèle Zero trust est également efficace pour augmenter la sécurité. Ce concept part du principe qu’il ne faut jamais accorder par défaut la confiance aux utilisateurs internes. Ils doivent impérativement être authentifiés avant de pouvoir accéder à des fichiers sensibles.

Ne pas se laisser déborder par le rythme du changement

Autre défi pour les institutions financières : la rapidité du changement. Beaucoup de banques (sinon toutes) ont dû élargir leur offre de services bancaires en ligne pour répondre aux nouveaux besoins des usagers qui ne pouvaient plus se rendre en agence pour leurs opérations. Du point de vue du consommateur, les modifications et les mises à jour apportées aux applications bancaires mobiles peuvent sembler mineures, mais en réalité, faire en sorte que les données restent protégées est tout sauf mineur.

Face à la rapidité des cycles de développement des logiciels, il est devenu essentiel pour les organisations financières, qu'il s'agisse de banques traditionnelles ou de la nouvelle génération d’acteurs, d’adopter des modèles de test continus. Un programme de bug bounty permet de tester et renvoyer les données sur les vulnérabilités dans le cycle de développement pour s'assurer que les mêmes vulnérabilités ne réapparaissent pas, garantissant un niveau de protection optimal des systèmes contre de futures attaques.

In fine, il devient de plus en plus compliqué de s’affranchir de la sécurité collaborative pour protéger efficacement nos données. Ce n’est pas pour rien que de plus en plus d’acteurs du secteur de la finance envisagent cette approche, en France aussi. La clé de cette approche réside, comme son nom l’indique, dans la collaboration, et notamment dans la capacité à bien communiquer avec les hackers éthiques, pour classer les niveaux de gravité, discuter des processus de résolution et négocier les montants des primes. Grâce à cette approche, les institutions financières vont pouvoir gagner en agilité,tout en maintenant la confiance avec les utilisateurs finaux.




Finyear: latest news, derniers articles


Finyear Coffee: Your Morning Newsletter

Flux RSS