Cibles des cyberattaques, les établissements financiers doivent prendre le contrôle de leur cybersécurité

Les cyberattaques ciblées qui touchent le secteur financier ne montrent aucun signe de ralentissement. Le secteur de la finance est une cible de choix pour la cybercriminalité. D’après les estimations, il subit 300% plus d’incidents de sécurité que les autres secteurs.

Face à la montée en puissance des attaques informatiques, il est de plus en plus difficile pour le secteur financier de gérer les cybermenaces émanant de groupes criminels bien organisés et plein de ressources, dont les activités peuvent avoir un effet dévastateur. En début d’année, par exemple, des cybercriminels se sont servis du système de messagerie SWIFT pour dérober pas moins de 10 millions de dollars à une banque ukrainienne, et 81 millions de dollars à la banque centrale du Bangladesh.

Sachant que la criminalité numérique fait de plus en plus d’adeptes, ce type d’attaques est appelé à se généraliser. Face à des défis d’une telle complexité, il n’existe malheureusement pas de solution miracle. Le secteur peut toutefois prendre des mesures pour améliorer les procédures d’audit, de suivi et de contrôle des données sensibles. Alliée à des stratégies de détection et de réponse aux incidents adaptées, une bonne connaissance des données permet de réduire la surface de risque et de limiter les préjudices résultant d’une atteinte à la sécurité.

Connaître ses données 

Aucune solution de détection ou de prévention des menaces, aussi efficace soit-elle, ne peut sécuriser un système à 100 %. Les équipes chargées d’assurer la protection des données clients sont confrontées à un véritable déferlement de menaces toujours plus sophistiquées, comme les ransomware, les exploits zero-day, les tentatives d’escroquerie par phishing, les bots, etc. Les banques investissent à juste titre des millions dans des outils de cybersécurité afin de détecter et de prévenir les attaques. Pas de quoi, cependant, empêcher les attaquants d’exploiter les vulnérabilités (technologiques ou humaines) présentes dans n’importe quel système.

La protection des ressources numériques est une tâche complexe. Une attaque réussie peut causer de graves préjudices. L’impact ne se limite pas à la perte de données ou aux coûts financiers directs découlant du vol, mais s’étend à la perte d’activité, ainsi qu’aux coûts réglementaires, juridiques et réputationnels. Toutes ces conséquences cumulées représentent des risques importants pour les entreprises, en particulier celles du secteur financier. Le meilleur moyen de les atténuer et de renforcer la résilience de l’entreprise est d’effectuer un audit approfondi des ressources numériques les plus précieuses : les données. La tâche est colossale. Non seulement les données n’ont jamais été aussi volumineuses, mais elles sont en outre réparties sur un plus grand nombre de sites et de terminaux qu’auparavant. Le suivi des informations numériques est d’autant plus complexe qu’elles peuvent être partagées dans le Cloud, via la messagerie électronique et même sur les réseaux sociaux.

Lors d’un audit, il est tout d’abord important de vérifier que la cartographie des données est à jour, que des stratégies de contrôle adéquates sont appliquées à tous les référentiels de données et, surtout, que l’on sait exactement où les données les plus critiques sont stockées. Il convient ensuite de localiser les éventuelles informations « non sécurisées » et de procéder à des analyses régulières du réseau pour obtenir une vue d’ensemble de tous les emplacements de données. Et enfin de s’assurer que des stratégies appropriées ont été mises et œuvre et appliquées pour l’accès aux données, leur gouvernance et leur protection.

Alertes proactives

Les établissements financiers doivent surveiller l’activité, et définir le profil type des activités « normales » sur les terminaux et les serveurs. En établissant une base de référence des activités dites « normales », une entreprise peut détecter plus rapidement les indicateurs de compromission (IoC) et ainsi identifier tout comportement anormal des systèmes ou des employés susceptible de présenter un risque. Les solutions d’analyse de la sécurité des terminaux exploitent les données présentes sur l’ensemble des serveurs et des terminaux utilisateur afin d’offrir une vue complète de l’activité des terminaux sur le réseau. Elles permettent de repérer les comportements anormaux, les zones à risque et les menaces pour la sécurité avant qu’elles n’aient de graves conséquences.

Mise à l’épreuve des plans de réponse aux incidents    

Même si des mesures de réponse aux incidents ont été mises en place, la chaîne décisionnelle, les processus de communication et les procédures d’identification des systèmes à mettre à l’arrêt n’ont, la plupart du temps, pas été rigoureusement éprouvés.  De nombreuses entreprises pensent disposer de stratégies de sécurité robustes. Mais comment être certain qu’elles géreront efficacement les incidents de sécurité le jour J ? Il faut bien souvent attendre qu’un incident se produise pour s’apercevoir qu’elles présentent des lacunes.

Pour bien évaluer l’ampleur d’une attaque, il convient tout d’abord d’identifier le type de données ciblé, d’où la nécessité d’une cartographie précise de l’emplacement des données sensibles, et de privilégier ces profils de données sensibles lors des interventions. Cela peut représenter un gain de temps précieux au moment de l’état des lieux des données qui doit être réalisé immédiatement après une cyberattaque.

Limiter les risques d’atteinte à la sécurité et leur impact requiert la mise en place d’une stratégie de sécurité coordonnée, parfaitement planifiée et bien rodée. Face à la recrudescence des attaques, attendre qu’elles frappent avant d’agir n’est pas une bonne solution. Il est plus important que jamais d’adopter une approche proactive et de prendre toutes les mesures nécessaires pour identifier et sécuriser les données, guetter les signes avant-coureurs des attaques et instaurer des stratégies appropriées de réponse aux incidents.

Serveurs / Réseaux