La sécurité au cœur des préoccupations des services financiers

Selon une enquête du Ponemon Institute, 74 % des personnes interrogées affirment qu’une nouvelle architecture de sécurité informatique est nécessaire pour renforcer la sécurité.

Avec la multiplication et la diversification des équipements, applications, données, réseaux et autres services cloud, les environnements informatiques dans la finance deviennent de plus en plus complexes, créant un périmètre à sécuriser plus vaste, fragmenté et perméable. A mesure que les technologies évoluent, il en va de même pour les menaces et les attaques. Au cours de l’été 2016, des pirates ont utilisé un malware pour contourner les systèmes de sécurité de trois banques internationales afin d’accéder au réseau d’échange de messages SWIFT. Ils ont ainsi pu effectuer des transferts de fonds illicites d’une banque à une autre, vraisemblablement pour retirer l’argent sans se faire repérer. Face à la multitude de types d’attaques dont les établissements financiers peuvent être la cible (malwares, ransomwares, chevaux de Troie, intercepteurs de frappes clavier, déni de service, phishing, etc.), il n’est guère surprenant que leurs départements informatiques soient à cran.

L’objectif de l’informatique dans la finance est de répondre à cinq défis en matière de sécurité : la sécurité des accès, la sécurité mobile, la protection des données et de la propriété intellectuelle, la conformité et la gouvernance, et la continuité de l’activité. La méthode traditionnelle de déploiement des applications et des données ne permet pas d’atteindre efficacement cet objectif, ce qui conduit à une prolifération de celles-ci mais aussi des réseaux et des environnements cloud, créant un patchwork de plateformes applicatives hétérogènes dont il est difficile d’assurer la gestion et la maintenance. Cela ne fonctionne pas pour plusieurs raisons, notamment la complexité accrue, la difficulté de monter en capacité ou encore les failles de sécurité entre des solutions monofonctionnelles. Le cœur du problème est le poste de travail, l’équipement le plus vulnérable et le plus exposé car il se déplace de réseau en réseau. A fortiori, lorsque les postes sont laissés sans contrôle avec des droits d’administrateur local.

Examinons les deux principaux points d’entrée des attaques de malware et de ransomware : le navigateur web et le logiciel client de messagerie. L’une des plus importantes attaques de ransomware – sinon la plus importante – de l’histoire s’est déroulée dernièrement. L’attaque Wannacry, qui a paralysé un grand nombre d’entreprises à travers le monde, aurait pu être prévenue. Le problème du malware est si vaste que certains pays, comme Singapour, imposent des obligations d'isolement d'Internet. L’une des mesures de contrôle consiste à sécuriser le navigateur web grâce à la navigation à distance, comme l’exprime Neil McDonald, analyste chez Gartner : "Il est temps d’isoler les utilisateurs du cloaque d’Internet avec la navigation à distance."

L’idée est de créer un vide sanitaire entre les menaces croissantes d’Internet et l’utilisateur. Il s’agit de découpler le navigateur web, le client de messagerie et les applications critiques du poste de travail en les virtualisant et en les hébergeant dans un datacenter ou dans le cloud. Une protection supplémentaire est assurée par une analyse destinée à rechercher des malwares, la création de listes blanches d’URL et des configurations de sécurité cohérentes, comprenant par exemple la désactivation des macros.

Ce concept n’est pas entièrement nouveau. Les clients publient le navigateur web afin de répondre aux exigences de version des applications classiques et personnalisées. Certains des établissements les plus portés sur la sécurité publient pour cette raison des instances totalement isolées, pouvant intégrer un navigateur fiable pour l’intranet confidentiel et une instance plus permissive pour la navigation web générale. Les navigateurs sont isolés entre eux, sur deux groupes de serveurs et segments de réseau différents.

Sécurisation des systèmes SWIFT

La centralisation et la distribution des applications critiques concernent notamment celles, spécialisées, servant par exemple à accéder au réseau SWIFT. En septembre 2016, SWIFT a instauré des obligations de sécurité ainsi qu’un cadre de vérification associé. Au sein de son programme de sécurité clients, "SWIFT Customer Security Control Framework 1.0" comprend vingt-sept contrôles dont seize sont obligatoires et onze recommandés, afin d’aider les établissements financiers à préserver à la fois leur conformité et leur sécurité. Ces contrôles visent à réduire les risques financiers, légaux, réglementaires et réputationnels en s’appuyant sur trois objectifs primordiaux : sécurisation de l’environnement, connaissance et limitation des accès, détection et réponse. Au 1er janvier 2018, tous les utilisateurs de SWIFT devront avoir remis une auto-attestation et faire de même chaque année par la suite.

Les établissements de services financiers utilisent des applications et des données qui sont constamment la cible de pirates et de voleurs. Nous avons beaucoup à apprendre des contrôles de sécurité dans le secteur de la finance, qui est l’un des plus réglementés. Il faut certes se concentrer sur la prévention mais aussi circonscrire le rayon d’action des attaques par un plan d’isolement, de segmentation et de mise en conteneurs. Néanmoins, aucun contrôle de sécurité n’est infaillible, nous devons en permanence adapter et rehausser nos défenses à mesure que le paysage des menaces devient plus complexe et innovant.