Banques et sécurité informatique: un modèle à revoir
Les institutions financières revoient leurs stratégies dans le but d’améliorer le contrôle et la visibilité de leur position de sécurité informatique, de réduire les coûts et d’être en meilleur adéquation avec leurs besoins en performance.
Malgré les prises de risques pour lesquelles les banques d'investissement
font souvent la une, le secteur
financier est plutôt connu pour être conservateur dans le
domaine de l’IT. Il en va de même en matière de stratégie de
sécurité informatique.
Aujourd’hui cependant, de nombreux facteurs poussent
les institutions financières à repenser leurs pratiques de
sécurité réseau traditionnelles et, par la même, leur fidélité
envers certains fournisseurs historiques. Plus que jamais, elles
ont besoin de trouver de nouvelles solutions pour améliorer leur
couverture de sécurité, la performance et la visibilité, tout en
répondant aux exigences réglementaires et de réduction des
coûts.
On ne peut nier que les modèles de sécurité IT
traditionnels appliqués dans le secteur bancaire ont atteint
leurs limites dans la garantie de la confidentialité et de la
protection des données sensibles de leurs clients. En effet,
essayant de parer à une mobilité croissante, aux nouvelles
menaces associées à l’adoption des applications Web et cloud, et
à la demande toujours plus pressante en bande passante, les
banques ont juxtaposé au fil du temps de nombreuses solutions de
sécurité visant à corriger de nouvelles failles de sécurité.
Cette approche a abouti à un modèle de déploiement archaïque,
devenu complexe et coûteux en termes de gestion et de
maintenance. En outre,
l’absence d’une stratégie de sécurité IT intégrée a réduit la
visibilité des banques sur leur position globale de sécurité, ce
qui rend leur protection moins efficaces face aux menaces
internes et externes.
Fraude, vol d’identité, spam,
phishing et de nombreuses autres menaces Internet malveillantes
se multiplient et deviennent de jour en jour plus sophistiquées.
Et avec davantage d’activités en ligne, il est devenu urgent
pour les banques de moderniser leur outil de sécurité
informatique.
S’adapter
à la demande de performance des centres de données
Les entreprises financières dépendent de plus en plus
d’une communication des données en temps réel et l’environnement
actuel des transactions haut débit ne peut pas être compromis
par une défaillance des performances du réseau ou une latence
significative. Ce problème a entrainé d’importants
investissements pour renouveler les réseaux
des centres de données avec des ports
haut débit de 10G, 40G, et même 100G, créant souvent un ‘fossé
performance’ avec le reste de l’équipement réseau.
En matière de sécurité IT, de nombreuses banques
remplacent désormais leurs pare-feux traditionnels, tant pour
répondre aux exigences de débit élevé résultant de l’utilisation
des applications Web et nouvelles technologies, que pour
répondre à l’augmentation et à la complexité des menaces. Ce
faisant, elles doivent adopter des technologies ayant un impact
minimal sur la latence du réseau en permettant une inspection
des paquets ainsi qu’une analyse du contenu rapides, et en
évitant une approche de produits point multiples qui ajoute de
la latence.
Les technologies basées sur le même code source
permettent d’optimiser les performances de sécurité en minimisant le
traitement des paquets, en éliminant les traitements redondants,
tout en étant capable de scanner les données des menaces
multi-vectorielles pour une protection complète du contenu. En
parallèle, l’accélération matérielle du traitement d’inspection
délivre la puissance nécessaire pour détecter le contenu
malveillant à des vitesses de plusieurs Gigabit. La combinaison
de processeurs et de modules d’interface accélérée permet le
traitement rapide des sous-programmes de sécurité réseau et
l’accélération des fonctions de sécurité, telles que le
traitement du contenu, l’IPS, le contrôle des applications et
l’anti-virus.
Les solutions de sécurité basées sur un seul code
source et une accélération matérielle peuvent ainsi permettre
aux banques d’atteindre les niveaux de sécurité, de performance
et de faible latence requis par les environnements financiers
actuels.
Être conforme sans complexifier
Selon
l'Etude 2010 Financial
Services Global Security Study de Deloitte, la conformité
réglementaire et législative est classée par les institutions
financières comme étant une de leurs cinq priorités de sécurité.
Celles-ci doivent cependant limiter le coût global de leur mise
en conformité, qui a été extrêmement élevé jusqu'ici.
La mise en conformité est assez complexe.
Prenons l'exemple du
PCI-DSS: visant à protéger les données des titulaires de cartes
bancaires, la norme s'étend à la plupart des disciplines et
compétences IT, à savoir le réseau, les bases de données, les
applications web, les systèmes de fichiers et l'encryption. Il
suffit de multiplier le nombre d’exigences posées aux
infrastructures IT des banques par le nombre de régulations et de règles de conformité (telles que le PCI-DSS, SOX,
Basel II/III et GLBA) du marché, et il est clair que, pour une mise
en conformité efficace, les banques n'ont pas d'autres choix que
d'automatiser et de consolider. L’adoption de solutions qui
simplifient et unifient l’architecture de sécurité à travers
l’ensemble des points du réseau - y compris les succursales, les
distributeurs et les terminaux mobiles - est le seul moyen pour
les banques de réduire considérablement les risques tout en
limitant la complexité et les coûts.
Contrôler le réseau pour une meilleure visibilité
En plus des menaces Internet externes, les entreprises financières se sentent plus vulnérables face à
l’utilisation inappropriée des ressources du réseau, qui, en
plus d’engorger la bande passante avec des données
non-productives, les exposent à des risques de litiges et
poursuites judiciaires, de fraudes et vols.
Selon l’étude Deloitte, seulement 34% des
organisations financières sont “très confiantes” dans leur
capacité à contrer les attaques provenant de l’interne.
En parallèle d’investissements consacrés à l’éducation
des employés sur les meilleures pratiques de l’utilisation des
applications Web, la prévention de la perte des données, les
vulnérabilités des appareils mobiles et autres, la définition et
l’application de politiques de sécurité granulaires, allant
jusqu’au niveau de l’utilisateur, sont un must. Les banques ont
donc besoin d’adopter des solutions de sécurité IT qui
permettent le contrôle des applications – en reconnaissant le
trafic par la source de l’application et l’utilisateur, et pas
seulement par le port – et celui des différents terminaux
connectés au réseau.
Les banques doivent également garder à l’esprit que la
question de la sécurité ne s’arrête pas au périmètre du réseau
de leur siège social. Leur
défi est d’implémenter et de gérer une infrastructure de
sécurité pouvant s’étendre à des centaines de succursales
dispersées géographiquement. La consolidation des appliances de
sécurité réseau - grâce à l’intégration de fonctions de sécurité
clés - la virtualisation et la gestion
centralisée jouent ensemble un rôle important pour une
flexibilité améliorée ainsi qu’une visibilité et un contrôle complet
du réseau. Cela permet également aux banques de remplir leurs
obligations de conformité et d’audits réguliers des
infrastructures.
Lors de la définition de leur stratégie de sécurité
IT, les entreprises financières devraient par conséquent
examiner de près la gestion et l’édition de rapports pour un
contrôle efficace de leur déploiement de sécurité, qu’il
s’agisse de quelques-unes ou de milliers d’appliances et de
logiciels de sécurité. La gestion, la configuration et la mise à
jour centralisées, du périmètre jusqu’au terminal, devraient
faire partie de leur liste d’exigences.
Également, les solutions
centralisée de journalisation, d’analyse et d’édition de
rapports, permettant d’offrir aux banques une vue unique et en
temps réel sur l’état de la sécurité du réseau, devraient être
adoptées pour une visibilité complète de leur sécurité.
La fin de l’approche solution point
L’héritage d’une stratégie de sécurité IT basée sur des solutions certes de pointe mais co-existantes représente d’énormes coûts en matériels, ressources et temps de gestion, pour les institutions financières et s’avère de moins en moins capable d’offrir une sécurité efficace. En fait, les appareils de sécurité et les systèmes d’exploitation disparates s’accompagnent de multiples contrats de maintenance et de support, de différentes échéances de mises à jour et de remplacements, de diverses obligations de licences, de nombreux programmes de formation et d’importantes ressources en gestion.Tout ces éléments s’ajoutent au coût et à la complexité de l’infrastructure de sécurité des banques et peuvent impacter sérieusement le temps de service, la disponibilité et la performance.
De nombreuses entreprises financières ont désormais réalisé qu’elles avaient besoin de se tourner vers un nouveau modèle stratégique de sécurité IT basé sur la convergence et une meilleure adéquation aux besoins fonctionnels. C’est seulement en passant de son objectif traditionnel de simple sécurisation des actifs IT à la protection et au support des fonctions commerciales, à l’adaptation face à un environnement utilisateur dynamique, et au maintien d’une gestion globale, que les départements informatiques du secteur financier pourront optimiser leurs déploiements de sécurité tout en contribuant à améliorer les opérations et le ROI de leurs organisations.