Les défis de la cybersécurité dans la fintech et l’essor de la néobanque

Les années 2020 devraient voir une croissance rapide des offres fintech et néobancaires en Australie. Incontestablement, il y a beaucoup de points positifs à cette tendance, mais il y aura aussi une augmentation des défis de cybersécurité pour l’accompagner.

Alors que la collaboration accélérée et le sandboxing entre les entreprises traditionnelles et les fintechs stimuleront l’innovation et l’avantage concurrentiel, la culture de démarrage qui sous-tend ces progrès donnera la priorité à la croissance et à l’amélioration des capacités par rapport à la cybersécurité. Malheureusement, cela met leurs clients, leurs entreprises et leurs partenaires en danger.

Des cadres supérieurs de la technologie se sont réunis récemment pour une table ronde sur la croissance des fintechs et des néobanques dans ce pays, les opportunités qu’elle présente et les tendances critiques dont les entreprises doivent être conscientes en 2022 lorsqu’il s’agit de tracer une voie pour progresser dans ce secteur dans un manière forte mais sûre. La conversation a été soutenue par Palo Alto Networks et NTT.

Riccardo Galbiati, cyberconseiller, Bureau du CSO chez Palo Alto Networks, affirme que le plus grand avantage des fintechs et des noebanks par rapport aux grandes entreprises de services financiers traditionnelles du secteur est leur agilité.

Mais cela se fait souvent au détriment de la cybersécurité, qui a tendance à être laissée de côté et à être incluse trop tard, explique Galbiati.

« La seule solution à ce dilemme est de s’assurer que le cycle de développement des applications devient « sécurisé dès la conception ». Cette approche nécessite un mécanisme transparent pour intégrer les vérifications de vulnérabilité et de conformité en même temps que les applications sont créées. Cela crée effectivement des « garde-fous » numériques pour que les développeurs continuent de fonctionner rapidement, mais évitent les accidents majeurs ou les faiblesses du processus », dit-il.

Galbiati ajoute que les grandes organisations de services financiers ont plus d’expérience et des budgets plus importants pour investir dans la cybersécurité.

« Ils ont également des environnements plus grands et plus complexes à sécuriser et sont plus souvent ciblés. Cela signifie qu’un plus grand effort est nécessaire pour coordonner une approche stratégique de la cybersécurité qui ne laisse aucune lacune et mène à un résultat cohérent.

« D’un côté, les grands rivaux ont un avantage, mais de l’autre, ils doivent faire attention à ne pas tomber dans le piège de la construction de solutions tactiques qui fragmentent leurs cyber-outils et affaiblissent leur posture globale », dit-il.

John Karabin, directeur de la cybersécurité chez NTT, explique que son organisation utilise également le refrain « sécurisé dès la conception », ce qui signifie incorporer les meilleures pratiques en matière de conception de la cybersécurité à partir de zéro.

Mais c’est un peu comme une campagne « glisser, slop, slap » car sa signification et son approche exactes ont été effacées par l’utilisation potentielle indéfinie du concept, dit-il.

« Dans la pratique, la sécurité dès la conception implique d’intégrer la sécurité et la conformité dès les premières étapes de la conception avec des révisions régulières jusqu’à la version finale. Cela devrait intégrer des concepts de personnes, de processus et de technologie axés sur de meilleurs résultats commerciaux et de sécurité », a-t-il déclaré.

Du point de vue des personnes, explique Karabin, cela signifie avoir un professionnel de la sécurité qualifié faisant partie intégrante de l’équipe DevOps, avec une bonne compréhension de la façon dont les applications fonctionneront dans un environnement réglementaire.

« Le processus devient partie intégrante d’une méthodologie DevOps dans laquelle les meilleures pratiques de sécurité des applications sont un élément défini du cycle de vie du développement logiciel. Lorsqu’il est efficace, cela s’enracine dans la culture de l’organisation avec un dividende amélioré en matière de sécurité ainsi qu’une réduction du coût global de développement et une accélération de la sortie du produit final », dit-il.

Karabin convient que les grandes organisations de services financiers ont le luxe d’avoir des équipes dédiées pour s’occuper de la tâche de sécurité et de conformité. Ils peuvent également attirer les talents limités pour rejoindre leurs équipes avec un salaire plus élevé et d’autres incitations.

« Cela dit, leur tâche est souvent beaucoup plus vaste et complexe, couvrant un large éventail de technologies et de zones géographiques. Il convient de noter que la plupart des brèches rendues publiques sont le fait de grandes organisations dotées d’équipes de sécurité dédiées », déclare Karabin.

« Ainsi, bien qu’une bonne gouvernance de la sécurité soit d’une importance cruciale, c’est la mise en œuvre pratique de la politique de sécurité et le degré de dévouement et de diligence de chaque membre de l’entreprise qui compte vraiment. Les actions parlent plus que les mots, même dans le secteur de la cybersécurité.

« Il est important de noter qu’avec le nombre croissant de menaces ciblant les organisations, c’est pourquoi nous disons souvent qu’une bonne culture de sécurité est le fondement d’une approche de sécurité proactive.

Répondre à la problématique des cyber talents

Les fintechs, les néobanques et autres petites entreprises de services financiers – ainsi que les grandes – ont souvent du mal à trouver les bons spécialistes en cybersécurité dont ils ont besoin. Des recherches récentes ont suggéré qu’il n’y a qu’un bassin de 17 240 cyberspécialistes disponibles pour travailler en Australie.

Galbiati de Palo Alto affirme que les cyberspécialistes vont être en forte demande et en pénurie pendant longtemps. Avec l’adoption de la technologie et la transformation numérique qui se développent à un rythme rapide, permettant la formation de la main-d’œuvre à la traîne, dit-il.

« En fait, dans une étude récente réalisée par Palo Alto Networks, 20 % des entreprises australiennes qui opèrent depuis moins de 10 ans déclarent avoir eu du mal à trouver du personnel ou des sous-traitants possédant les compétences en cybersécurité dont elles ont besoin pour leur entreprise. .

« Dans la plupart des situations, les organisations financières plus petites et agiles peuvent rechercher une aide immédiate auprès de la communauté de partenaires, qui peut offrir une pléthore de conseillers qualifiés pour offrir une couverture et un soutien », dit-il.

Dans certains cas, dit Galbiati, un CSO virtuel proposé par un partenaire peut grandement contribuer à définir la bonne direction et aider à former une équipe de cybersécurité en pleine croissance.

« Dans un autre ordre d’idées, lorsqu’on se rend compte qu’une partie importante des tâches quotidiennes effectuées par les spécialistes de la sécurité peut être complètement automatisée, on peut aussi se consacrer à recentrer le personnel pour résoudre des problèmes que les machines ne peuvent résoudre.

« En règle générale, les problèmes nécessitant le traitement de grandes quantités de données sont mieux attribués aux machines, tandis que la prise de décision critique est mieux adaptée aux humains. En mettant en œuvre un bon équilibre entre l’automatisation des processus et l’intervention humaine, nous pouvons obtenir de meilleurs résultats en matière de sécurité avec moins de personnel, tout en améliorant simultanément leur satisfaction globale et leur rétention », déclare-t-il.

Pendant ce temps, Karabin de NTT, ajoute que les pénuries de compétences dans le cyber varient en fonction de la discipline ou du domaine spécifique.

« Il y a quelques approches que nous suggérons. Tout d’abord, il est important de former et de développer vos propres talents au sein de l’organisation, ce qui peut se traduire par une grande polyvalence tout en s’attaquant au problème très important de rétention », dit-il.

Deuxièmement, Karabin convient avec Galbiati que le partenariat avec des entreprises spécialisées ou l’externalisation des composants de l’exigence de sécurité est souvent une stratégie essentielle qui complète les domaines de sécurité nécessaires, mais non disponibles en interne.

Troisièmement, l’automatisation et les outils peuvent aider une équipe de sécurité à tirer parti de ses compétences et à maximiser ses efforts, dit-il.

« Le terme « Orchestration de la sécurité et réponse automatisée » (SOAR) est devenu populaire et décrit des outils qui aident à gérer la complexité de l’environnement, ainsi qu’à automatiser les réponses de sécurité lorsque cela est possible », dit-il.