Banques et sécurité informatique: un modèle à revoir

Les institutions financières revoient leurs stratégies dans le but d’améliorer le contrôle et la visibilité de leur position de sécurité informatique, de réduire les coûts et d’être en meilleur adéquation avec leurs besoins en performance.

Malgré les prises de risques pour lesquelles les banques d'investissement font souvent la une, le secteur financier est plutôt connu pour être conservateur dans le domaine de l’IT. Il en va de même en matière de stratégie de sécurité informatique.
Aujourd’hui cependant, de nombreux facteurs poussent les institutions financières à repenser leurs pratiques de sécurité réseau traditionnelles et, par la même, leur fidélité envers certains fournisseurs historiques. Plus que jamais, elles ont besoin de trouver de nouvelles solutions pour améliorer leur couverture de sécurité, la performance et la visibilité, tout en répondant aux exigences réglementaires et de réduction des coûts.
On ne peut nier que les modèles de sécurité IT traditionnels appliqués dans le secteur bancaire ont atteint leurs limites dans la garantie de la confidentialité et de la protection des données sensibles de leurs clients. En effet, essayant de parer à une mobilité croissante, aux nouvelles menaces associées à l’adoption des applications Web et cloud, et à la demande toujours plus pressante en bande passante, les banques ont juxtaposé au fil du temps de nombreuses solutions de sécurité visant à corriger de nouvelles failles de sécurité. Cette approche a abouti à un modèle de déploiement archaïque, devenu complexe et coûteux en termes de gestion et de maintenance.  En outre, l’absence d’une stratégie de sécurité IT intégrée a réduit la visibilité des banques sur leur position globale de sécurité, ce qui rend leur protection moins efficaces face aux menaces internes et externes.
Fraude, vol d’identité, spam, phishing et de nombreuses autres menaces Internet malveillantes se multiplient et deviennent de jour en jour plus sophistiquées. Et avec davantage d’activités en ligne, il est devenu urgent pour les banques de moderniser leur outil de sécurité informatique.

S’adapter à la demande de performance des centres de données
Les entreprises financières dépendent de plus en plus d’une communication des données en temps réel et l’environnement actuel des transactions haut débit ne peut pas être compromis par une défaillance des performances du réseau ou une latence significative. Ce problème a entrainé d’importants investissements pour renouveler les réseaux des centres de données avec des ports haut débit de 10G, 40G, et même 100G, créant souvent un ‘fossé performance’ avec le reste de l’équipement réseau.

En matière de sécurité IT, de nombreuses banques remplacent désormais leurs pare-feux traditionnels
, tant pour répondre aux exigences de débit élevé résultant de l’utilisation des applications Web et nouvelles technologies, que pour répondre à l’augmentation et à la complexité des menaces. Ce faisant, elles doivent adopter des technologies ayant un impact minimal sur la latence du réseau en permettant une inspection des paquets ainsi qu’une analyse du contenu rapides, et en évitant une approche de produits point multiples qui ajoute de la latence.

Les technologies basées sur le même code source permettent d’optimiser les performances de sécurité en minimisant le traitement des paquets, en éliminant les traitements redondants, tout en étant capable de scanner les données des menaces multi-vectorielles pour une protection complète du contenu. En parallèle, l’accélération matérielle du traitement d’inspection délivre la puissance nécessaire pour détecter le contenu malveillant à des vitesses de plusieurs Gigabit. La combinaison de processeurs et de modules d’interface accélérée permet le traitement rapide des sous-programmes de sécurité réseau et l’accélération des fonctions de sécurité, telles que le traitement du contenu, l’IPS, le contrôle des applications et l’anti-virus.
Les solutions de sécurité basées sur un seul code source et une accélération matérielle peuvent ainsi permettre aux banques d’atteindre les niveaux de sécurité, de performance et de faible latence requis par les environnements financiers actuels.

Être conforme sans complexifier
Selon l'Etude 2010 Financial Services Global Security Study de Deloitte, la conformité réglementaire et législative est classée par les institutions financières comme étant une de leurs cinq priorités de sécurité. Celles-ci doivent cependant limiter le coût global de leur mise en conformité, qui a été extrêmement élevé jusqu'ici.

La mise en conformité est assez complexe.
Prenons l'exemple du PCI-DSS:
visant à protéger les données des titulaires de cartes bancaires, la norme s'étend à la plupart des disciplines et compétences IT, à savoir le réseau, les bases de données, les applications web, les systèmes de fichiers et l'encryption. Il suffit de multiplier le nombre d’exigences posées aux infrastructures IT des banques par le nombre de régulations et de règles de conformité (telles que le PCI-DSS, SOX, Basel II/III et GLBA) du marché, et il est clair que, pour une mise en conformité efficace, les banques n'ont pas d'autres choix que d'automatiser et de consolider.
L’adoption de solutions qui simplifient et unifient l’architecture de sécurité à travers l’ensemble des points du réseau - y compris les succursales, les distributeurs et les terminaux mobiles - est le seul moyen pour les banques de réduire considérablement les risques tout en limitant la complexité et les coûts.
Contrôler le réseau pour une meilleure visibilité

En plus
des menaces Internet externes, les entreprises financières se sentent plus  vulnérables face à l’utilisation inappropriée des ressources du réseau, qui, en plus d’engorger la bande passante avec des données non-productives, les exposent à des risques de litiges et poursuites judiciaires, de fraudes et vols.
Selon l’étude Deloitte, seulement 34% des organisations financières sont “très confiantes” dans leur capacité à contrer les attaques provenant de l’interne.

En parallèle d’investissements consacrés à l’éducation des employés sur les meilleures pratiques de l’utilisation des applications Web, la prévention de la perte des données, les vulnérabilités des appareils mobiles et autres, la définition et l’application de politiques de sécurité granulaires, allant jusqu’au niveau de l’utilisateur, sont un must. Les banques ont donc besoin d’adopter des solutions de sécurité IT qui permettent le contrôle des applications – en reconnaissant le trafic par la source de l’application et l’utilisateur, et pas seulement par le port – et celui des différents terminaux connectés au réseau.
Les banques doivent également garder à l’esprit que la question de la sécurité ne s’arrête pas au périmètre du réseau de leur siège social.
 Leur défi est d’implémenter et de gérer une infrastructure de sécurité pouvant s’étendre à des centaines de succursales dispersées géographiquement. La consolidation des appliances de sécurité réseau - grâce à l’intégration de fonctions de sécurité clés - la virtualisation et la gestion centralisée jouent ensemble un rôle important pour une flexibilité améliorée ainsi qu’une visibilité et un contrôle complet du réseau. Cela permet également aux banques de remplir leurs obligations de conformité et d’audits réguliers des infrastructures.

Lors de la définition de leur stratégie de sécurité IT, les entreprises financières devraient par conséquent examiner de près la gestion et l’édition de rapports pour un contrôle efficace de leur déploiement de sécurité, qu’il s’agisse de quelques-unes ou de milliers d’appliances et de logiciels de sécurité. La gestion, la configuration et la mise à jour centralisées, du périmètre jusqu’au terminal, devraient faire partie de leur liste d’exigences.
Également, les solutions centralisée de journalisation, d’analyse et d’édition de rapports,
permettant d’offrir aux banques une vue unique et en temps réel sur l’état de la sécurité du réseau, devraient être adoptées pour une visibilité complète de leur sécurité.

La fin de l’approche solution point

L’héritage d’une stratégie de sécurité IT basée sur des solutions certes de pointe mais co-existantes représente d’énormes coûts en matériels, ressources et temps de gestion, pour les institutions financières et s’avère de moins en moins capable d’offrir une sécurité efficace. En fait, les appareils de sécurité et les systèmes d’exploitation disparates s’accompagnent de multiples contrats de maintenance et de support, de différentes échéances de mises à jour et de remplacements, de diverses obligations de licences, de nombreux programmes de formation et d’importantes ressources en gestion.
Tout ces éléments s’ajoutent au coût et à la complexité de l’infrastructure de sécurité des banques et peuvent impacter sérieusement le temps de service, la disponibilité et la performance.

De nombreuses entreprises financières ont désormais réalisé qu’elles avaient besoin de se tourner vers un nouveau modèle stratégique de sécurité IT basé sur la convergence et une meilleure adéquation aux besoins fonctionnels. C’est seulement en passant de son objectif traditionnel de simple sécurisation des actifs IT à la protection et au support des fonctions commerciales, à l’adaptation face à un environnement utilisateur dynamique, et au maintien d’une gestion globale, que les départements informatiques du secteur financier pourront optimiser leurs déploiements de sécurité tout en contribuant à améliorer les opérations et le ROI de leurs organisations.

Test connexion