Les machines arrivent : les services financiers peuvent réduire la surface de l'explosion sans confiance

Par Tarun Khandelwal, conseiller exécutif en sécurité pour le secteur des services financiers et ancien chef de l'architecture de sécurité chez CIBC, et client de Palo Alto Networks

Nous avons tous vu des films et des émissions de télévision où des équipes SWAT ou des forces militaires prennent des mesures héroïques pour protéger des vies et des biens en cas d'alerte à la bombe. Au premier rang des efforts défensifs qu'ils ont mis en place figurent les moyens de réduire l'impact d'une explosion potentielle, en réduisant la surface de souffle. Souvent, ils utilisent des machines telles que des robots télécommandés pour protéger les membres humains de leur équipe. De toute évidence, ils veulent empêcher l'explosion de se produire en premier lieu, mais à tout le moins, ils veulent s'assurer qu'ils peuvent atténuer son impact autant que possible.

La même approche s'applique pour contrecarrer les attaques de cybersécurité, en particulier dans le secteur des services financiers « riche en cibles ». Bien que les entreprises de services financiers aient souvent été à l'avant-garde de l'adoption d'outils, de technologies et de processus de cybersécurité en raison de la nature de leur secteur (après tout, c'est là que se trouve l'argent), il reste encore beaucoup à faire. Les méchants sont implacables, tout en étant de plus en plus sophistiqués dans leurs attaques.

Cela a exercé une pression accrue sur le secteur financier pour qu'il ne se contente pas d'adopter uneModèle Zero Trustde la protection de la cybersécurité, mais pour adopter de manière agressive les idéaux de Zero Trust : ne faire confiance à rien ni à personne, tout enregistrer et investir massivement pour valider les utilisateurs et les machines.

Une cible mûre

Cela peut sembler évident pour ceux d'entre nous sur ce marché vertical, mais il convient de le répéter : le secteur des services financiers est peut-être le secteur le plus ciblé par les cyberattaques. Un titre récent deun rapport IDCl'a déclaré sans ambages :Le secteur financier est plus sensible aux failles de sécurité de l'infrastructure des SI que les autres secteurs.

Les données d'IDC sont claires : 96 % des professionnels de l'informatique et de la sécurité ont déclaré que leur organisation avait été attaquée par des virus, et le secteur financier est 50 % plus susceptible d'être la cible d'attaques non autorisées que les organisations de tous les autres secteurs. L'analyste d'IDC auteur du rapport l'a bien dit : « Pour ces entreprises (de services financiers), la sécurité n'est pas une fonctionnalité à valeur ajoutée. C'est une exigence fondamentale pour faire des affaires.

Alors que le secteur des services financiers a toujours été une cible attrayante pour les pirates, l'impact de la façon dont le travail a changé pendant le COVID-19 a fait monter les enjeux encore plus haut.Rechercheréalisé avec des professionnels de l'informatique et de la sécurité basés au Royaume-Uni souligne que la plupart pensent que les pratiques de travail à domicile et le travail à distance induits par le COVID accélèrent les risques d'attaque dans le secteur des services financiers.

Je suis sûr que personne n'a été surpris par ces révélations, compte tenu de l'attractivité des données des services financiers, telles que les dossiers des clients et les informations personnellement identifiables… sans parler de la capacité de voler de l'argent et d'autres actifs financiers. Beaucoup d'entre nous savent également que les cyber-voleurs utilisent des « machines » pour faire leur sale boulot, comme des outils d'attaque automatisés, ainsi que des algorithmes d'intelligence artificielle et d'apprentissage automatique.

Un autre défi est que notre industrie utilise de plus en plus ce que j'appelle «l'informatique éphémère», comme les services en nuage et les services technologiques à la demande. Bien que le cloud soit sans doute plus sécurisé que le centre de données de n'importe quelle organisation, les erreurs de configuration et la surveillance peuvent laisser les données du joyau de la couronne d'une organisation exposées au public, comme nous l'avons vu avec un nombre croissant d'histoires très publiques. De nombreuses organisations appliquent encore des procédures manuelles à une technologie éphémère hautement automatisée.

Utiliser Zero Trust pour réduire votre surface de dynamitage

Il ne fait aucun doute que tous les RSSI lisant cet article, ainsi que presque tous les chefs d'entreprise et les membres du conseil d'administration, sont bien conscients de l'importance du Zero Trust. En partant du principe que nous devons considérer toute tentative d'accès à des informations avec suspicion et dont les informations d'identification doivent être validées, nous faisons le premier pas vers la réduction de la surface de souffle.

Mais pour exploiter pleinement les avantages d'unCadre Zero Trust , les organisations de services financiers doivent garder à l'esprit que Zero Trust n'est pas un événement, c'est un voyage. Vous devez commencer par une première étape et procéder avec une discipline minutieuse et une volonté de respecter les principes clés de Zero Trust.

Plus précisément, les sociétés de services financiers doivent :

• Ne faites confiance à rien ni à personne. Même quelque chose d'aussi simple que de se connecter au réseau doit être traité avec méfiance et un œil prudent. C'est pourquoi l'authentification multifactorielle doit être le point de départ d'une philosophie Zero Trust et doit devenir de plus en plus sophistiquée grâce à l'utilisation de techniques telles que l'authentification biométrique et les changements fréquents de mot de passe.

• Enregistrez tout. Si vous acceptez l'hypothèse selon laquelle les pirates réussiront occasionnellement à passer à travers vos défenses initiales, vous devez disposer d'un enregistrement opportun, précis et complet de toutes les attaques de connexion, du comportement des utilisateurs et des mouvements de données.

• Investissez de manière agressive dans des outils, des technologies et des pratiques qui valident à la fois les utilisateurs et les machines. Non seulement les pirates deviennent plus intelligents en cachant leur propre identité en simulant celles des utilisateurs autorisés, mais ils cachent également la vraie nature de leurs machines. Comme je l'ai mentionné plus tôt, ils deviennent les principaux utilisateurs d'outils et d'algorithmes automatisés pour étendre leur capacité à compromettre les systèmes et à exfiltrer les données.

La sécurité est l'affaire de tous, mais quelqu'un doit prendre les devants

L'un des éléments clés de Zero Trust est que la mise en œuvre, la gestion et la révision ne relèvent pas uniquement des équipes de sécurité de l'information et des équipes informatiques. L'ensemble de l'organisation doit avoir un engagement Zero Trust, en particulier dans le secteur des services financiers où nous avons tant de points de contact, et les risques réglementaires, juridiques, opérationnels et de marque d'une erreur peuvent être dévastateurs.

En fait, Zero Trust est si essentiel pour une défense réussie de la cybersécurité dans les services financiers que les PDG, directeurs financiers et autres cadres non techniques de la suite C doivent donner le bon exemple. L'équipe de gestion des risques seule ne peut pas le faire car elle est souvent considérée comme le « bureau du non », souvent considérée avec mépris par de nombreux employés de base. La direction doit accepter la propriété de Zero Trust et doit approuver un investissement complet dans les outils, technologies, services et processus Zero Trust. Les dirigeants d'entreprise qui parrainent de nouvelles initiatives peuvent protéger leurs grandes organisations en inspectant et en insistant pour allouer des fonds suffisants pour aller vers la sécurité de l'information dans le cadre de l'initiative.

Il est également important que les dirigeants soient prêts à s'engager dans des investissements dans l'automatisation de la sécurité (nos propres machines) pour lutter contre les outils intelligents utilisés par les pirates. C'est parce que, en tant qu'industrie, nous nous appuyons encore trop sur des processus manuels, actionnés par l'homme. Même si nos organisations bénéficient toutes d'avoir des professionnels intelligents, travailleurs et dévoués qui surveillent notre cybersécurité, cela ne correspond pas à l'approche centrée sur la machine que les cybervoleurs adoptent.

Nous devonsutiliser des machines pour faire plus travail en temps réel, tel que l'analyse et la correction d'événements ou l'étude d'un réseau anormal et du comportement des utilisateurs. Essentiellement, nous devons utiliser des machines pour combattre les machines des autres gars, ou nous risquons de tomber dans une très mauvaise position – jouer au rattrapage quand chaque seconde compte. Plus votre approche de la cybersécurité est manuelle, plus vous êtes à risque. Il s'agit également d'un précepte important de Zero Trust : automatiser autant que possible pour limiter l'impact en cas de violation.

Je ne veux tromper personne. Zero Trust, à lui seul, n'empêchera pas les organisations de services financiers d'être violées. Vous devez investir non seulement dans des outils technologiques puissants, des services d'abonnement et une expertise humaine, mais également dans des processus intelligents. Adopter un état d'esprit Zero Trust, ainsi que la discipline et l'hygiène qui l'accompagnent, protégeront mieux votre organisation en réduisant considérablement la surface de dynamitage.

Pour en savoir plus, rendez-nous visiteici.