Institutions financières : Protection dans le cloud et déchiffrement HTTPS

Dans le monde des services financiers en ligne, chaque interruption de service a un impact fort, par exemple au niveau de l’image de marque ou de la satisfaction des clients.

L’exploitation des failles de sécurité peut aussi avoir des conséquences désastreuses, vu la criticité des informations et des services concernés. Il va de soi que les institutions financières (banques, compagnies d'assurance, sociétés de gestion de patrimoine, de courtage, de paiement et d'échanges financiers) se doivent fournir des services en ligne fiables et sécurisés. Face à des cyberattaques de plus en plus nombreuses, quelle politique de gestion des risques choisir pour protéger les services web ? 

Un secteur en proie à des attaques de plus en plus sophistiquées
D’après le dernier rapport d’Akamai sur la sécurité, le secteur de la banque et de la finance est, avec le retail, devenu une cible de choix pour les hackers. Ce secteur est régulièrement victime d’attaques volumétriques (DDoS) et applicatives, mais également d’accès frauduleux aux services. Par exemple, entre le début du mois de novembre 2017 et la fin du mois de juin 2018, Akamai a détecté plus de 30 milliards de tentatives de connexion malveillantes. Celles-ci résultent du "credential stuffing", une méthode de piratage qui exploite systématiquement les botnets pour tenter de s’authentifier de façon illégitime auprès des services web. Les pirates ciblent les pages de connexion des banques en partant du principe que de nombreux clients utilisent les mêmes informations d’identification pour plusieurs services et comptes. Selon le rapport, le coût du "credential stuffing" de l’Institut Ponemon, mené aux USA et dans les régions EMEA et Asie-Pacifique, cette technique peut coûter des millions voire des dizaines de millions de dollars en pertes liées à la fraude chaque année.

On constate que les moyens de défense traditionnellement employés sur les sites web des services financiers semblent avoir aujourd'hui atteint leurs limites face au volume et au degré de sophistication des attaques réseau et applicatives. Par exemple, les dispositifs de sécurité limités exclusivement aux data centers (solutions "on premise") peuvent se révéler insuffisants. Les raisons de cela sont multiples : l’échelle limitée (une attaque peut saturer les liens entrants d’un data center), la performance (les actions défensives sont consommatrices de ressources) et les techniques de protection (risque de non exhaustivité, notamment par rapport aux attaques les plus sophistiquées). Pour ces raisons, il devient intéressant de considérer des solutions de bouclier dans le cloud, qui filtrent le trafic malveillant avant même qu’il n’atteigne le data center.
Vers une stratégie globale de la gestion du risque

À l'heure où les sociétés financières tendent à migrer vers des infrastructures de cloud hybrides et privées, on constate néanmoins une certaine frilosité de leur part à l’idée de confier à un acteur du cloud le déchiffrement du trafic HTTPS, voyant un risque dans cela…

Certes, donner à un acteur du cloud la possibilité de déchiffrer le trafic HTTPS nécessite un haut niveau de confiance envers cet acteur. Si cela est vu comme un risque, il y a plusieurs façons de le réduire : le choix d’un acteur reconnu, les garanties données par ses certifications de sécurité (PCI DSS, HIPAA, etc.) et la vérification qu’il utilise une infrastructure et des politiques fortes par rapport à la sécurité des données. Ces éléments peuvent aussi faire l’objet d’un audit afin d’être encore plus rassuré. En contrepartie, un expert de la sécurité dans le cloud peut réduire fortement un grand nombre d’autres risques. Ce type de protection permet de bénéficier d’une infrastructure de protection avec une très forte capacité, qui bloque le trafic malveillant en amont sans être limitée par les ressources réseau ou informatiques du data center. Un bouclier dans le cloud peut couvrir un large spectre de technologies de protection : anti-DDoS (contre les attaques volumétriques), Web Application Firewall (contre les attaques applicatives), gestion de bots (contre les attaques "credential abuse" et "credential stuffing"), contrôle d’accès, protection DNS, etc. Un bouclier dans le cloud est plus efficace aussi parce qu’il a directement à disposition une masse d’informations très significative sur les attaques et les attaquants sur Internet, non limitée à ceux d’un client ou d’un data center. En conclusion, si le déchiffrement HTTPS par un acteur du cloud est un risque, il faut considérer le tableau global : ce risque peut être réduit avec des contrôles appropriés, et il peut être moins important que tous les autres risques que ce déchiffrement peut neutraliser. Faire confiance à un acteur du cloud permet de bénéficier d’un service évolutif : non seulement le fournisseur met à jour les règles et stratégies de protection dans le temps, mais il peut aussi implémenter de nouvelles technologies en fonction de l’apparition de nouvelles menaces.

Le bilan devient d’autant plus positif que les menaces deviennent complexes, fréquentes ou massives, ce qui est souvent le cas dans le secteur des services financiers.