Quotidien Fintech, Blocktech, DeFi, Blockchain
              


Vendredi 4 Juin 2021

Résilience et cybersécurité : Pourquoi le secteur financier doit-il miser sur une culture de la résilience pour lutter contre les cybermenaces ?


Par Florent Embarek, Regional Sales Director Cyber Security, Southern & Eastern Europe, BlackBerry



Le commun des mortels se représente souvent le secteur financier comme une machine à sous où les traders et des algorithmes cherchent à maximiser les profits en achetant et en vendant. Cependant, étant un secteur de services, la vérité s’avère beaucoup plus compliquée que cela.

De manière générale, le secteur des services est plus difficile à sécuriser que les secteurs misant essentiellement sur des machines (ou des ordinateurs) pour fonctionner. Et pour cause, ces mêmes machines n’ont généralement pas de besoins, de désirs ou d’émotions qu’il faut apaiser ou combler. Les humains, quant à eux, ont des émotions et s’intègrent dans une société qui requière de la coopération, de la transparence et de la confiance pour avancer.

Les entreprises de services ne peuvent pas protéger leurs actifs comme elles le feraient pour des entrepôts : en les verrouillant et en contrôlant leur accès. En effet, elles traitent généralement avec des personnes qui ont des questions et des besoins de garanties. Ceci, d’autant plus que ces mêmes personnes, leurs collaborateurs et leurs clients, sont également leurs actifs. Tout cela rend le secteur des services intrinsèquement plus difficile à protéger. C’est pourquoi, l’ensemble du secteur financier doit se concentrer sur la résilience pour sécuriser ses actifs et ne plus appliquer une approche obsolète qui consiste à tout bloquer.

Les données clients permettent aux acteurs malveillants de s’étendre en élargissant l’accès aux listes de contacts et aux données financières telles que données bancaires ou de paiement. Car, en effet, le principal objectif des hackers est ensuite de vendre ces données. Cette méthode est leur moyen principal de générer du revenu, et c’est d’ailleurs pour cette raison que le secteur financier est une cible privilégiée.

Les services financiers étant l’épicentre des transactions financières mondiales, les données volées aux clients peuvent être utilisées pour créer de faux comptes et transférer des fonds à destination, ou même être échangées entre criminels. Elles sont si utiles et précieuses que les hackers utiliseront tous les moyens possibles pour obtenir ces données : logiciels malveillants, attaques de phishing, DDoS, ransomwares ou attaques dites de l’intercepteur (HDM).

La résilience, composante indispensable pour une cybersécurité efficace

Alors, comment sécuriser les données des clients - cet actif qui ne peut rester inerte - stockées dans un coffre-fort à l’abri des regards ? En fait, tout est question de résilience. Le secteur financier doit adopter une culture de la résilience pour prévenir et résister aux conséquences d’une violation. Cela va au-delà de l’adoption des bonnes solutions technologiques car l’humain a indéniablement un rôle à jouer. Il est nécessaire de miser sur la prévention.

D’après les directives établies par les méthodes OSSTMM, « La résilience consiste en un contrôle systématique de toutes les interactions afin de maintenir la protection des actifs en cas de corruption ou de défaillance. Pour échouer en toute sécurité. » Pour qu’une culture de la résilience s’avère efficace, il faut s’assurer que tous les processus sont créés avec l’exigence qu’ils puissent échouer en toute sécurité. Concrètement, cela implique de les anticiper en appliquant une méthodologie de prévention et en intégrant dans les systèmes ou les processus résultats « par défaut » en cas d’échec d’un contrôle de sécurité.

La résilience est un moyen de répondre aux besoins des collaborateurs tout en s’assurant qu’ils soient considérés, au-delà des questions même de sécurité. Pour que cela reste pertinent, les entreprises doivent intégrer ces aspects au sein de leur stratégie de sécurité mais aussi leur accorder de l’espace dans leur culture de manière plus générale. Voici quelques exemples d’actions pouvant être mises en place dans un premier temps :

- Former les collaborateurs à avoir un sens critique de la sécurité et de leur implication pour aider à la résilience de leur entreprise.
- Mettre en place les bonnes solutions technologiques et logicielles afin que la cyber-résilience puisse être intégrée comme base commune à l’ensemble des processus.
- Surveiller, être prêt à réagir et savoir exactement où et quand le faire. Cela revient à prévenir les attaques en comprenant la surface d’attaque et surveiller les points faibles où des violations peuvent survenir. Être résilient c’est être prévoyant.
- Étudier l’impact des exigences réglementaires sur l’activité, les mettre en correspondance avec les capacités techniques et les surpasser là où l’entreprise a le plus à y gagner. La conformité réglementaire est attendue en matière de sécurité informatique dans le secteur financier et, souvent, le fait de satisfaire aux exigences d’un pays prépare l’entreprise à en satisfaire d’autres, même dans d’autres pays.

Si la sécurité des bâtiments peut être complexe et coûteuse dans le secteur des services, la résilience semble préférable à la tentative de tout verrouiller. En outre, la résilience améliore le relationnel client et permet aux entreprises de les aider à mener leur business comme ils l’entendent tout en protégeant leurs données et finalement leurs sources de revenus. Il n’existe pas de solutions miracle. Toute entreprise doit d’abord faire des recherches, bien se connaître ainsi que ses clients avant d’établir quelconque stratégie.

Cependant, bien que cette tâche initiale semble titanesque, il s’agit en fait de réaliser le même travail que celui nécessaire à la mise en œuvre des modèles de sécurité traditionnels. Mais le véritable avantage est qu’une stratégie de résilience réduira considérablement les coûts ainsi que les efforts globaux de maintenance et de surveillance avec des programmes coûteux de gestion des vulnérabilités et des correctifs. Après tout, un système résilient est conçu pour résister aux défaillances, même si les hackers ont de l’avance.



Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Finyear: latest news, derniers articles


Inscription à la newsletter

Flux RSS