Digitalisation et systèmes d'information : les nouvelles menaces

Avec des volumes significatifs de donn&eacute;es sensibles et d&rsquo;argent en jeu, les banques restent une cible de choix pour les cybercriminels. En plus des impacts &eacute;conomiques, l&rsquo;ann&eacute;e 2017 a rendu tr&egrave;s visible les effets d&rsquo;une attaque de type &laquo; ransomware &raquo; sur la continuit&eacute; des activit&eacute;s des entreprises. Ainsi, les cyberattaques repr&eacute;sentent un des risques syst&eacute;miques auxquels une banque doit faire face. Or la transformation digitale en cours dans les banques peut g&eacute;n&eacute;rer de nouvelles opportunit&eacute;s que ne manqueront pas d&rsquo;exploiter les cybercriminels. Nouvelles propositions de valeur pour les clients Les banques ont besoin de promouvoir des nouvelles propositions de valeur en r&eacute;ponse &agrave; l&rsquo;&eacute;volution des attentes et des comportements des clients. Cependant, la multiplication du nombre de transactions sur les canaux mobile et web, ainsi que l&rsquo;int&eacute;gration des services fournis par des &eacute;cosyst&egrave;mes de partenaires, a tendance &agrave; &eacute;tendre la surface d&rsquo;attaque. De plus, l&rsquo;&eacute;volution vers du temps r&eacute;el, comme les paiements instantan&eacute;s, augmente potentiellement le risque et le volume de fraudes tout en r&eacute;duisant drastiquement les d&eacute;lais disponibles pour contrer les op&eacute;rations frauduleuses. Comme l&rsquo;attaque Bangladesh Swift l&rsquo;a d&eacute;montr&eacute;, pour mener leurs attaques, les criminels combinent des m&eacute;thodes cyber avec une connaissance fine des contr&ocirc;les op&eacute;rationnels m&eacute;tier. Dans cet exemple, ils sont finalement parvenus &agrave; d&eacute;rober 81 millions de dollars, avec une approche s&rsquo;appuyant sur : une probable phase initiale d&rsquo;hame&ccedil;onnage suivie par l&rsquo;usage de comptes &agrave; privil&egrave;ges captur&eacute;s pour atteindre un serveur de l&rsquo;infrastructure SWIFT (r&eacute;f&eacute;rence CyberArk) ; un malware sp&eacute;cifiquement con&ccedil;u pour cette attaque permettant d&rsquo;ordonner des transactions directement sur la base de donn&eacute;es puis d&rsquo;en supprimer toute trace apr&egrave;s leur envoi. Ce malware aurait notamment exploit&eacute; une vuln&eacute;rabilit&eacute; de l&rsquo;application SWIFT pour contourner les m&eacute;canismes d&rsquo;authentification ; la modification en temps r&eacute;el par ce m&ecirc;me malware des messages SWIFT de confirmation re&ccedil;us et envoy&eacute;s &agrave; l&rsquo;impression afin d&rsquo;emp&ecirc;cher la d&eacute;tection des transactions frauduleuses par les contr&ocirc;les op&eacute;rationnels. Ainsi, les sc&eacute;narios de fraude int&egrave;grent clairement l&rsquo;exploitation de vuln&eacute;rabilit&eacute;s au sein de composants techniques d&rsquo;infrastructure (compromission des syst&egrave;mes d&rsquo;exploitation pour espionner les activit&eacute;s utilisateurs ; modification de composants techniques DLL [1] permettant d&rsquo;acc&eacute;der &agrave; la base de donn&eacute;es SWIFT&hellip;). Face &agrave; cela, la d&eacute;tection de tels &eacute;v&eacute;nements de s&eacute;curit&eacute; &laquo; niveau SOC [2] infrastructure &raquo; n&rsquo;est typiquement pas combin&eacute;e avec les capacit&eacute;s de d&eacute;tection de fraude &laquo; niveau m&eacute;tier &raquo;. Les &eacute;quipes de s&eacute;curit&eacute; infrastructure et de fraude ne travaillant typiquement pas ensemble, les possibilit&eacute;s d&rsquo;&eacute;viter ces types de pertes restent tr&egrave;s limit&eacute;es. Nouveaux canaux, nouvelles vuln&eacute;rabilit&eacute;s Les canaux que nous consid&eacute;rons pour la gestion de nos comptes personnels et professionnels ont non seulement chang&eacute; au fil des ans, mais se sont multipli&eacute;s. Ce qui &eacute;tait autrefois consid&eacute;r&eacute; comme r&eacute;volutionnaire, par exemple les services bancaires en ligne, est maintenant probablement consid&eacute;r&eacute; comme un canal plus traditionnel. Le d&eacute;veloppement d'applications bancaires associ&eacute;es &agrave; l'Internet des objets signifie que nous pouvons d&eacute;sormais acc&eacute;der &agrave; notre compte &agrave; tout moment, n'importe o&ugrave; et depuis n'importe quel appareil. Si vous poss&eacute;dez une montre intelligente, il y a de fortes chances pour qu&rsquo;une application bancaire soit disponible pour cette montre. Cette flexibilit&eacute; accrue concernant le lieu et le moment o&ugrave; nous consommons des services bancaires ouvre une fen&ecirc;tre d'opportunit&eacute; pour les cybercriminels potentiels. Nouvelles connaissances client Les nouvelles technologies d&rsquo;informatique cognitive appliqu&eacute;es au monde bancaire permettent d&rsquo;am&eacute;liorer l&rsquo;exp&eacute;rience client avec des r&eacute;ponses personnalis&eacute;es et en apportant une analyse contextualis&eacute;e aux agents. Ces &eacute;volutions n&eacute;cessitent un acc&egrave;s &agrave; une importante collection de donn&eacute;es structur&eacute;es et non structur&eacute;es contenues dans des data hubs. Tandis que les data hubs permettent cette transformation cognitive, ils constituent aussi une cible de choix pour les cybercriminels et pr&eacute;sentent des d&eacute;fis en termes de s&eacute;curit&eacute; et de protection des donn&eacute;es, notamment personnelles. Par exemple, il est n&eacute;cessaire : d&rsquo;assurer l&rsquo;int&eacute;grit&eacute; et la validit&eacute; des sources des donn&eacute;es qui alimentent le data hub ; de garantir une parfaite hygi&egrave;ne de la vari&eacute;t&eacute; de composantes constituant le data hub : durcissement [3] , acc&egrave;s, vuln&eacute;rabilit&eacute;s et patches ; de maintenir le lignage des donn&eacute;es (r&eacute;f&eacute;rentiel de parent&eacute;) afin d&rsquo;&ecirc;tre capable de d&eacute;terminer la localisation pr&eacute;cise de donn&eacute;es personnelles ainsi que de les effacer ou d&rsquo;en fournir une copie, si demand&eacute;. Nouveaux mod&egrave;les op&eacute;rationnels La d&eacute;composition du mod&egrave;le op&eacute;rationnel &laquo; monolithique &raquo; vers un mod&egrave;le plus modulaire a pour but de donner plus d&rsquo;agilit&eacute; et d&rsquo;efficacit&eacute; &agrave; l&rsquo;entreprise. Cette approche se traduit souvent par la multiplication de services de plus petite taille, dits &laquo; microservices &raquo;, chacun op&eacute;r&eacute; et d&eacute;velopp&eacute; ind&eacute;pendamment des autres. Cette d&eacute;composition permet d&rsquo;accentuer la modularit&eacute; de l&rsquo;architecture d&rsquo;entreprise et peut &ecirc;tre accompagn&eacute;e par l&rsquo;int&eacute;gration de services innovants au travers d&rsquo;un &eacute;cosyst&egrave;me de partenaires. En compl&eacute;ment de cette approche d&rsquo;architecture en microservices, de nouvelles structures dites &laquo; full-stack &raquo; apparaissent avec des &eacute;quipes de professionnels choisissant, d&eacute;veloppant et g&eacute;rant l&rsquo;ensemble des composants contribuant au design cible de l&rsquo;application et sa plate-forme. Ces professionnels s&rsquo;appuient sur des technologies de pointe qu&rsquo;ils s&eacute;lectionnent afin de r&eacute;pondre parfaitement aux besoins. Ces comp&eacute;tences sont tr&egrave;s demand&eacute;es sur le march&eacute; et pour attirer et retenir les talents n&eacute;cessaires &agrave; cette transformation, l&rsquo;entreprise doit ouvrir la porte &agrave; ces technologies innovantes. Ces aspects combin&eacute;s &ndash; &eacute;clatement en microservices, int&eacute;gration de services tiers et introduction de nouvelles technologies &ndash; augmentent consid&eacute;rablement la surface d&rsquo;attaque et les difficult&eacute;s pour s&eacute;curiser le syst&egrave;me d&rsquo;information. Des processus waterfall aux approches agiles&hellip; En parall&egrave;le, l&rsquo;int&eacute;gration de la s&eacute;curit&eacute; dans le cycle de d&eacute;veloppement des applications est souvent difficilement impl&eacute;ment&eacute;e avec des approches de d&eacute;veloppement classiques comme &laquo; Waterfall &raquo;. Dans un processus de d&eacute;veloppement de type &laquo; Waterfall &raquo;, chacune des phases se termine avant que la suivante ne commence (par exemple : analyse, architecture &amp; design, construction, test, production, maintenance). Typiquement, chacune des phases est conclue par une revue et une validation. Ce mod&egrave;le implique que les besoins puissent &ecirc;tre clairement document&eacute;s au d&eacute;but du projet et n&rsquo;&eacute;voluent que tr&egrave;s peu par la suite. De plus, le ressenti du client final du produit ne peut &ecirc;tre obtenu que tr&egrave;s tard dans la vie du projet. En pratique, la revue de s&eacute;curit&eacute; dans une telle approche se r&eacute;sume souvent &agrave; une v&eacute;rification au moment de la mise en production &ndash; trop tardive dans le cycle de vie du projet pour que des vuln&eacute;rabilit&eacute;s structurelles puissent &ecirc;tre corrig&eacute;es dans des d&eacute;lais et budgets convenables. Pour r&eacute;pondre aux objectifs de r&eacute;duction des d&eacute;lais de mise sur le march&eacute; et d&rsquo;int&eacute;gration rapide du ressenti utilisateur, les approches agiles sont de plus en plus adopt&eacute;es. Une approche agile est it&eacute;rative de nature et compos&eacute;e de multiples cycles complets de d&eacute;veloppement. Chaque it&eacute;ration impl&eacute;mente un ensemble limit&eacute; de besoins et ne dure typiquement que quelques semaines avant que les modifications ne soient visibles des clients. Ces approches n&eacute;cessitent souvent l&rsquo;implication constante du m&eacute;tier (le &laquo; product owner &raquo;) ainsi que des petites &eacute;quipes de d&eacute;veloppeurs. Ces cycles agiles (voire &laquo; DevOps &raquo;), de plus en plus courts, r&eacute;duisent davantage encore le temps disponible pour les tests et validations de s&eacute;curit&eacute;. Les activit&eacute;s de s&eacute;curit&eacute; doivent &ecirc;tre totalement r&eacute;invent&eacute;es pour s&rsquo;int&eacute;grer tr&egrave;s en amont dans ces cycles it&eacute;ratifs. &hellip;jusqu'&agrave; l'infrastructure en cloud Enfin, l&rsquo;adoption d&rsquo;infrastructure en cloud hybride fournit aux m&eacute;tiers la possibilit&eacute; de promouvoir l&rsquo;agilit&eacute; et de se lib&eacute;rer des contraintes des infrastructures IT traditionnelles. Toutefois, ce mouvement n&eacute;cessite une r&eacute;flexion approfondie afin de garantir la confidentialit&eacute; des donn&eacute;es et le respect des r&eacute;glementations incluant : la gestion de la probl&eacute;matique de la localisation des donn&eacute;es et la r&eacute;ponse aux exigences r&eacute;glementaires associ&eacute;es ; le chiffrement des donn&eacute;es en transit et stock&eacute;es, ainsi que la gestion des cl&eacute;s ; la responsabilit&eacute; du fournisseur cloud dans le cadre des r&eacute;glementations GDPR. Conclusion Face aux enjeux de la banque de demain, la cybers&eacute;curit&eacute; ne peut plus s&rsquo;envisager suivant le mod&egrave;le classique de r&eacute;duction des risques en freinant les changements. Au contraire, la cybers&eacute;curit&eacute; est souvent cit&eacute;e comme un driver de succ&egrave;s des produits et des services, ainsi que des mod&egrave;les de business digital. Ceci est sp&eacute;cialement vrai dans la situation de perte de confiance des clients suite &agrave; un cas de fraude ou de perte de donn&eacute;es pouvant mener &agrave; une rupture de la relation client. Un nouveau paradigme est n&eacute;cessaire o&ugrave; la s&eacute;curit&eacute; ne doit plus &ecirc;tre l&rsquo;affaire de quelques-uns mais doit &ecirc;tre int&eacute;gr&eacute;e au m&eacute;tier et &laquo; by design &raquo; dans les services et mod&egrave;les bancaires de demain. Cette transformation peut se d&eacute;cliner selon certains principes, parmi lesquels : la mise en responsabilit&eacute; des &eacute;quipes m&eacute;tiers (ex. product owners) face aux probl&eacute;matiques de s&eacute;curit&eacute;, qui doivent s&rsquo;approprier ces risques et s&rsquo;assurer de leur mitigation au plus t&ocirc;t ; le changement culturel profond des &eacute;quipes de s&eacute;curit&eacute; qui ne doivent plus ma&icirc;triser les risques en freinant les changements mais en accompagnant l&rsquo;innovation ; le d&eacute;veloppement des comp&eacute;tences cybers&eacute;curit&eacute; avec des approches par le terrain : innovations technologiques, maquettes, prototypages ; la mise &agrave; disposition par la s&eacute;curit&eacute; d&rsquo;outils, m&eacute;thodes et infrastructures adapt&eacute;es aux nouvelles fa&ccedil;ons de travailler ; la sensibilisation approfondie et continue de l&rsquo;ensemble des &eacute;quipes : d&eacute;veloppement, op&eacute;rations en particulier agiles et DevOps. Enfin et surtout, le management ex&eacute;cutif doit apporter un appui fort pour initier et accompagner cette transformation en profondeur des mani&egrave;res de travailler entre &eacute;quipes m&eacute;tier, op&eacute;rationnelles et s&eacute;curit&eacute;. 1 Dynamic Link Library, biblioth&egrave;que logicielle dont les fonctions sont charg&eacute;es en m&eacute;moire par un programme lors de son ex&eacute;cution, par opposition aux biblioth&egrave;ques logicielles statiques ou partag&eacute;es dont les fonctions sont charg&eacute;es en m&eacute;moire avant le d&eacute;but de l'ex&eacute;cution du programme. 2 Security Operation Center. 3 Le durcissement d&rsquo;un syst&egrave;me informatique est un processus qui vise &agrave; r&eacute;duire ses vuln&eacute;rabilit&eacute;s.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Digitalisation et systèmes d'information : les nouvelles menaces

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous