Dans le secteur financier, les responsables IT doivent adopter une nouvelle approche de la sécurité des applications face à des entreprises toujours plus vulnérables aux cyberattaques

Cette tribune traite de l'importance de la sécurité des applications face aux cyberattaques en hausse dans le secteur financier, mais aussi des solutions existantes.

Dans le secteur financier, la sécurité des applications est devenue un défi de plus en plus difficile à relever. L’accélération de plus en plus rapide des initiatives de transformation numérique ces dernières années – et notamment le passage à des technologies cloud natives pour les stacks applicatifs – a entraîné une  augmentation exponentielle du champ possible des cyberattaques. En parallèle, l’augmentation du nombre d’objets connectés et les nouveaux modèles de travail hybrides contribuent également à l’accroissement du nombre de cyberattaques de plus en plus sophistiquées. Ce qui suscite des inquiétudes au sein des services informatiques. 

Selon une récente étude Cisco AppDynamics mondiale (12 pays dont la France) menée en 2022 sur le sujet de la sécurité des applications, 75% des responsables informatiques français craignent que leur entreprise soit vulnérable à une cyberattaque en plusieurs étapes qui toucherait l'ensemble des applications au cours des 12 prochains mois. Les conséquences d'une attaque pourraient être désastreuses pour une entreprise : perturbations et interruptions de service entraînant une perte de clients, de réputation et de chiffre d’affaires.
 

Du côté des banques et institutions financières, le problème majeur vient du fait que les équipes informatiques n'ont pas la visibilité ni la compréhension suffisantes pour analyser d'où viennent les nouvelles menaces, dans un paysage applicatif toujours plus tentaculaire ! Les responsables IT admettent qu'ils se retrouvent souvent perdus dans les limbes de la sécurité, incapables d’agir efficacement parce qu'ils ne savent tout simplement pas quoi et comment prioriser leurs actions.
 

Une approche de sécurité robuste pour l'ensemble du stack applicatif  s’impose d’elle-même afin que les équipes informatiques puissent protéger les applications cloud-native tout au long de leur cycle de vie. Avec une surveillance combinée des applications et de la sécurité, les responsables IT sont en mesure de voir comment les vulnérabilités impacteraient l'entreprise et peuvent ainsi prioriser leurs actions, en minimisant les risques à chaque étape du cycle de vie applicatif.

Des équipes informatiques submergées par des volumes élevés d'alertes de sécurité
 

La sécurité applicative  n'a tout simplement pas suivi le même rythme que la mise sur le marché des nouvelles applications ces dernières années. Pour la grande majorité des responsables IT du secteur des services financiers, la course à l'innovation qui permettait de répondre aux besoins changeants des utilisateurs et de rendre possible le travail hybride pendant la pandémie s'est faite au détriment d'une sécurité applicative robuste. 
 

En réalité, même si la pandémie est heureusement derrière nous, le rythme de l'innovation au sein des services financiers va continuer de s'accélérer au cours des prochaines années. Qu'il s'agisse de l'émergence du Web 3.0, ou du déploiement de systèmes autonomes de robot-conseillers, la transformation numérique continuera de dominer les salles de conseil d’administration des banques et de conditionner leur succès commercial.
 

Par conséquent, les équipes informatiques continueront de faire face à plusieurs défis majeurs autour de la sécurité des applications, qu'il s'agisse de suivre l’évolution des risques ou de pallier un manque de compétences en matière de sécurité au sein des environnements cloud-natifs. Les responsables IT soulignent également que l'absence de vision commune entre les équipes de développement et les équipes de sécurité devient un problème de plus en plus prégnant. 
 

En effet, l'étude met en évidence une fracture nette entre les équipes de développeurs et celles de la sécurité, avec très peu de collaboration et des sentiments de suspicion et de scepticisme ressentis de part et d’autre. Plus de la moitié des responsables IT du secteur des services financiers admettent qu'ils considèrent la sécurité comme un frein à l'innovation plutôt que comme un catalyseur. 

Cependant, et sans aucun doute, le plus grand défi qu’ils doivent relever reste le manque de visibilité sur l'évolution des champs possibles d'attaques et l'incapacité à identifier les nouvelles vulnérabilités. De nombreuses solutions de sécurité fonctionnent correctement en silos, mais pas ensemble et de façon synchronisée. Cela se traduit par l’incapacité pour les responsables IT d'obtenir une vue unifiée de la posture de sécurité de leur entreprise face à une menace critique. Ils sont confrontés à des lacunes de visibilité dans les environnements multi-cloud, où les composants applicatifs sont exécutés sur plusieurs plateformes et bases de données sur site. 
 

En conséquence, les équipes informatiques sont bombardées d'alertes de sécurité provenant de tous les niveaux de leurs stacks informatiques, mais ne sont pas en mesure de comprendre la gravité et l'impact potentiel des problèmes pour parvenir à prioriser leurs actions. Plus que leurs homologues de tout autre secteur, les responsables IT des services financiers  semblent dépassés, ne sachant pas quel feu éteindre en premier.
 

La nécessité d'une approche de sécurité robuste pour l'ensemble du stack applicatif
 

En réponse, les responsables IT reconnaissent la nécessité de passer à une approche de sécurité solide pour l'ensemble de leur stack applicatif, afin de sécuriser complètement leurs applications, depuis la phase de développement jusqu’à la production, en passant par le code, les conteneurs et leur orchestration avec Kubernetes. En fait, 77 % des responsables IT du secteur déclarent que ce changement est désormais une priorité pour leur entreprise. 
 

Les responsables IT savent qu'ils doivent intégrer la surveillance des performances et de la sécurité pour comprendre comment les vulnérabilités et les incidents pourraient avoir un impact sur les utilisateurs finaux et le métier de l'entreprise. En obtenant des informations sur les transactions liées au business, les équipes informatiques peuvent mesurer l'importance des menaces en fonction de leur degré de gravité, tout en tenant compte du contexte de la menace. Cela signifie qu'elles peuvent prioriser les menaces qui pourraient endommager une zone critique de l'environnement technologique ou applicatif.  Ainsi, les responsables IT peuvent mettre de côté le « bruit » des données causé par les volumes élevés d'alertes de sécurité et se concentrer sur les problèmes qui représentent la plus grande menace.

Cependant, la complexité et la nature dynamique des technologies cloud-natives et l'expansion rapide des champs d'attaque sont telles que les équipes informatiques adoptent de plus en plus le machine learning (ML) et l'intelligence artificielle (IA) pour identifier les failles, prédire les vulnérabilités et automatiser les actions de remédiation. Alors que les pirates informatiques intensifient leur utilisation de l’IA et du ML, il est devenu vital pour les équipes de sécurité des entreprises de ne pas prendre de retard. Une approche AIOps augmente les capacités humaines pour effectuer de multiples tâches de cybersécurité, notamment la surveillance, l'évaluation et la résolution des problèmes , libérant ainsi les équipes de sécurité pour qu'elles se concentrent sur des problèmes à plus forte valeur ajoutée et puissent collaborer plus efficacement et stratégiquement tout au long du cycle de vie  applicatif. 
 

Pour trois quarts des responsables IT, l'IA jouera un rôle de plus en plus important pour relever les défis de vitesse, de passage à l'échelle et de mise à niveau des compétences en matière de sécurité des applications.

Le passage à une approche de la sécurité pour l'ensemble du stack applicatif nécessite également une collaboration beaucoup plus étroite entre les équipes informatiques. L’approche DevSecOps introduit les tests de sécurité plus tôt dans le processus de développement, les équipes chargées de la sécurité analysent et évaluent les risques et les priorités en matière de sécurité pendant les phases de planification afin d'établir une base solide pour le développement. Les départements informatiques peuvent ainsi éviter la situation où les vulnérabilités de sécurité ne sont traitées qu'à la dernière minute avant le lancement ou identifiées après la publication de l'application.

Avec une approche globale de la sécurité des applications, combinant AIOps, surveillance intégrée des performances et de la sécurité, et méthodologies DevSecOps, les équipes informatiques peuvent être beaucoup plus proactives et stratégiques dans leur manière de gérer les risques. Une approche de la sécurité pour l'ensemble du stack applicatif permettra aux responsables IT des services financiers de construire des produits plus sûrs, d'éviter des temps d'arrêt coûteux et de gérer un paysage de risques de plus en plus complexe et dynamique.