Depuis le début de la pandémie, les entreprises de la finance ont, pour la plupart, changé leur rapport au numérique et aux modèles de travail « traditionnels » en accélérant leur digitalisation. Aujourd’hui, 82 % des collaborateurs éligibles souhaitent ainsi adopter un mode de travail hybride, d’après le Baromètre Télétravail et Organisations hybrides 2022 de Malakoff Humanis. Pour analyser les éventuelles cyber-vulnérabilités liées à cette évolution, CyberArk a récemment publié un rapport sur la sécurité des identités numériques, qui revient sur les grandes tendances en matière de transformation digitale et de cybersécurité sur l’année passée. Entretien avec Thomas Hélary, Country Manager France chez CyberArk sur les résultats du secteur financier.

Votre étude fait référence aux identités numériques. Pouvez-vous nous expliquer de quoi il s’agit ?

Les identités numériques font référence aux employés et leurs accès sur le réseau, mais aussi à des logiciels (appelés bots) qui effectuent des actions répétitives et chronophages, pour lesquelles ils ont également besoin d’accès. Aujourd’hui, les identités machines seraient, selon notre étude, 45 fois plus nombreuses que les humaines au sein des entreprises dans le monde entier.

Toutefois, les activités de ces identités numériques ne sont pas toujours surveillées de manière optimale, ce qui est source de vulnérabilité et donc attise la convoitise des cybercriminels. D’après nos recherches, chaque employé français moyen possède ainsi plus de 30 identités numériques et 59 % des agents non-humains ou des bots accèdent à des données et actifs sensibles en France.

Et quelles sont justement les grandes tendances de l’identité numérique qui ont été soulevées par votre rapport ?

Cette année, l’Identity Security Threat Landscape Report a, comme discuté, rapporté une augmentation des identités numériques dans les entreprises du fait de la transformation digitale à cause du COVID et du travail hybride. Ainsi, alors que le secteur financier était traditionnellement réticent à la digitalisation, notamment pour des raisons de sécurité, la pandémie a changé la donne. En effet, les confinements ont favorisé les échanges avec les conseillers à distance et les clients ont été davantage demandeurs de services numériques pour payer ou gérer leurs comptes bancaires.

Ces nouveaux comportements ont poussé les établissements bancaires à plus de digitalisation pour satisfaire leurs clients. D’après notre étude, 58 % des organisations du secteur financier ont accéléré leur adoption de modes de travail à distance ou hybride, et 51 % la migration de leurs services vers le cloud.

Cette hausse des identités pose donc des problèmes de cybersécurité ?

Avec des effectifs distribués, parfois sur l’ensemble de la planète, les équipes de sécurité doivent désormais surveiller de nombreux appareils et accès situés hors du réseau de l’entreprise, ce qui peut se révéler compliqué. En outre, les employés ont tendance à utiliser leurs appareils personnels pour accéder au réseau et aux données de leur entreprise, et inversement. Or, ces comportements représentent un risque pour l’entreprise car il s’agit d’une porte d’entrée pour les cybercriminels. C’est pourquoi, sans surprise, pour 58 % des personnes de ce secteur interrogées, le passage au travail à distance ou hybride a augmenté les menaces de cybersécurité qui pèsent sur leur entreprise.

En fait, les entreprises ont pour beaucoup eu comme priorité de maintenir leurs activités lors de la mise en place des règles sanitaires, parfois sans songer à la protection de leurs données et de leurs infrastructures informatiques. 77 % répondants de la finance reconnaissent ainsi que leur organisation a donné la priorité au maintien des opérations commerciales plutôt qu’au renforcement de la cybersécurité, au cours des 12 derniers mois.

Dans votre rapport, vous évoquez également le principe de dette de cybersécurité, pouvez-vous nous expliquer ce que c’est, et ce qu’elle représente pour les organisations ?

La dette de cybersécurité est une dette technique, elle se réfère donc aux coûts futurs de la mise à jour d’une solution qui n’aurait pas été correctement conçue dès le départ. Elle se forme à mesure que les entreprises implémentent de nouvelles innovations, sans régler les vulnérabilités induites qui s’accumulent dans l’infrastructure informatique.

Lorsque les entreprises ont privilégié le maintien des activités, elles ont introduit de nouvelles technologies sans penser en amont leur sécurisation. Ce choix a donc accentué la dette de cybersécurité. Ainsi, selon notre dernier rapport, 76 % des répondants évoluant dans le secteur financier pensent que les décisions de cybersécurité prises par leur entreprise sur l’année précédente ont provoqué de nouvelles vulnérabilités dans les systèmes informatiques. En effet, les moyens de défense ne sont plus adaptés aux technologies mises en place pour maintenir les activités à distance. Cette cybermenace est particulièrement risquée pour le secteur financier qui regorge de données sensibles, des cibles de choix pour les cybercriminels.

Mais ces conséquences vont plus loin que le simple cyber-risque et peuvent toucher l’ensemble de l’activité par une limitation de l’investissement. Les dirigeants peuvent prendre peur des risques et stopper l’innovation plutôt que de l’accompagner d’une stratégie de cybersécurité décidée en amont. Aussi, plus l’organisation attend pour sécuriser ses solutions, plus la protection sera coûteuse, en capital humain et/ou financier.

Par ailleurs, avec des solutions qui ne sont pas sécurisées, les équipes IT patchent les vulnérabilités une fois qu’elles sont découvertes, plutôt que de mettre en place des stratégies de sécurité proactives. Ainsi, les collaborateurs peuvent être plus enclins à quitter l’organisation pour une autre qui lui proposera des activités à plus forte valeur ajoutée.

Les entreprises ont-elles des solutions pour régler ce problème ?

Trois approches sont à mettre en place, le plus rapidement possible afin de limiter les conséquences de la dette de cybersécurité : la transparence, le moindre privilège et les principes de Zero Trust.

- Transparence : la dette de cybersécurité est plus facilement contrôlable lorsque l’on sait où et dans quelle mesure elle existe. Il n’est en effet pas possible de mesurer quelque chose que l’on ne voit pas. A partir du moment où l’organisation a conscience des manquements de son infrastructure informatique, elle est déjà sur le bon chemin pour rembourser sa dette.

- Moindre privilège : il est important de ne laisser aucune possibilité de mouvement latéral aux hackers lorsqu’ils sont dans le réseau. En appliquant une politique du moindre privilège, chaque identité n’a strictement accès qu’aux applications et aux données qui lui sont nécessaires pour accomplir ses missions. Ainsi, même si des informations de connexion sont dérobées par un acteur malveillant, ce dernier ne pourra pas accéder aux données sensibles qu’il convoite réellement.

- Zero Trust : il ne faut faire confiance à personne et toujours vérifier l’identité de l’utilisateur qui cherche à se connecter, afin de limiter au maximum les conséquences d’une faille. C’est le principe, comme son nom l’indique, du Zero Trust. Lorsque ce principe est en place, chaque utilisateur doit assurer son identité, par un contrôle d’authentification fort, à chaque demande d’accès. Ici aussi, le but est de limiter les déplacements latéraux des cybercriminels s’ils ont corrompu des identifiants.

Comment CyberArk permet-il de mettre en place une stratégie Zero Trust ?

CyberArk est spécialisé dans la sécurité des identités. Grâce à sa solution, les entreprises protègent leurs actifs critiques sans négliger la productivité. Les employés ont accès aux ressources dont ils ont besoin pour effectuer leurs tâches, sans laisser de portes ouvertes aux cybercriminels. Les accès sont sécurisés avec l’authentification multi-facteurs, qui limite également les risques. Toutefois, la plateforme demeure facile d’accès et ne fait pas perdre de temps aux utilisateurs pour se reconnecter. En outre, elle envoie des alertes aux équipes en charge de la sécurité lorsqu’une activité anormale est détectée et que la plateforme estime qu’il y a un risque d’accès malveillant. Ainsi, les équipes IT peuvent agir en temps réel et bloquer l’accès aux données sensibles.