Digitalisation et systèmes d'information : les nouvelles menaces

Avec des volumes significatifs de données sensibles et d’argent en jeu, les banques restent une cible de choix pour les cybercriminels. En plus des impacts économiques, l’année 2017 a rendu très visible les effets d’une attaque de type « ransomware » sur la continuité des activités des entreprises. Ainsi, les cyberattaques représentent un des risques systémiques auxquels une banque doit faire face. Or la transformation digitale en cours dans les banques peut générer de nouvelles opportunités que ne manqueront pas d’exploiter les cybercriminels.

Nouvelles propositions de valeur pour les clients

Les banques ont besoin de promouvoir des nouvelles propositions de valeur en réponse à l’évolution des attentes et des comportements des clients. Cependant, la multiplication du nombre de transactions sur les canaux mobile et web, ainsi que l’intégration des services fournis par des écosystèmes de partenaires, a tendance à étendre la surface d’attaque. De plus, l’évolution vers du temps réel, comme les paiements instantanés, augmente potentiellement le risque et le volume de fraudes tout en réduisant drastiquement les délais disponibles pour contrer les opérations frauduleuses.

Comme l’attaque Bangladesh Swift l’a démontré, pour mener leurs attaques, les criminels combinent des méthodes cyber avec une connaissance fine des contrôles opérationnels métier. Dans cet exemple, ils sont finalement parvenus à dérober 81 millions de dollars, avec une approche s’appuyant sur :

• une probable phase initiale d’hameçonnage suivie par l’usage de comptes à privilèges capturés pour atteindre un serveur de l’infrastructure SWIFT (référence CyberArk) ;
• un malware spécifiquement conçu pour cette attaque permettant d’ordonner des transactions directement sur la base de données puis d’en supprimer toute trace après leur envoi. Ce malware aurait notamment exploité une vulnérabilité de l’application SWIFT pour contourner les mécanismes d’authentification ;
• la modification en temps réel par ce même malware des messages SWIFT de confirmation reçus et envoyés à l’impression afin d’empêcher la détection des transactions frauduleuses par les contrôles opérationnels.

Ainsi, les scénarios de fraude intègrent clairement l’exploitation de vulnérabilités au sein de composants techniques d’infrastructure (compromission des systèmes d’exploitation pour espionner les activités utilisateurs ; modification de composants techniques DLL [1] permettant d’accéder à la base de données SWIFT…). Face à cela, la détection de tels événements de sécurité « niveau SOC [2] infrastructure » n’est typiquement pas combinée avec les capacités de détection de fraude « niveau métier ». Les équipes de sécurité infrastructure et de fraude ne travaillant typiquement pas ensemble, les possibilités d’éviter ces types de pertes restent très limitées.

Nouveaux canaux, nouvelles vulnérabilités

Les canaux que nous considérons pour la gestion de nos comptes personnels et professionnels ont non seulement changé au fil des ans, mais se sont multipliés. Ce qui était autrefois considéré comme révolutionnaire, par exemple les services bancaires en ligne, est maintenant probablement considéré comme un canal plus traditionnel. Le développement d'applications bancaires associées à l'Internet des objets signifie que nous pouvons désormais accéder à notre compte à tout moment, n'importe où et depuis n'importe quel appareil. Si vous possédez une montre intelligente, il y a de fortes chances pour qu’une application bancaire soit disponible pour cette montre. Cette flexibilité accrue concernant le lieu et le moment où nous consommons des services bancaires ouvre une fenêtre d'opportunité pour les cybercriminels potentiels.

Nouvelles connaissances client

Les nouvelles technologies d’informatique cognitive appliquées au monde bancaire permettent d’améliorer l’expérience client avec des réponses personnalisées et en apportant une analyse contextualisée aux agents. Ces évolutions nécessitent un accès à une importante collection de données structurées et non structurées contenues dans des data hubs.

Tandis que les data hubs permettent cette transformation cognitive, ils constituent aussi une cible de choix pour les cybercriminels et présentent des défis en termes de sécurité et de protection des données, notamment personnelles. Par exemple, il est nécessaire :

• d’assurer l’intégrité et la validité des sources des données qui alimentent le data hub ;
• de garantir une parfaite hygiène de la variété de composantes constituant le data hub : durcissement [3] , accès, vulnérabilités et patches ;
• de maintenir le lignage des données (référentiel de parenté) afin d’être capable de déterminer la localisation précise de données personnelles ainsi que de les effacer ou d’en fournir une copie, si demandé.

Nouveaux modèles opérationnels

La décomposition du modèle opérationnel « monolithique » vers un modèle plus modulaire a pour but de donner plus d’agilité et d’efficacité à l’entreprise. Cette approche se traduit souvent par la multiplication de services de plus petite taille, dits « microservices », chacun opéré et développé indépendamment des autres. Cette décomposition permet d’accentuer la modularité de l’architecture d’entreprise et peut être accompagnée par l’intégration de services innovants au travers d’un écosystème de partenaires.

En complément de cette approche d’architecture en microservices, de nouvelles structures dites « full-stack » apparaissent avec des équipes de professionnels choisissant, développant et gérant l’ensemble des composants contribuant au design cible de l’application et sa plate-forme. Ces professionnels s’appuient sur des technologies de pointe qu’ils sélectionnent afin de répondre parfaitement aux besoins. Ces compétences sont très demandées sur le marché et pour attirer et retenir les talents nécessaires à cette transformation, l’entreprise doit ouvrir la porte à ces technologies innovantes.

Ces aspects combinés – éclatement en microservices, intégration de services tiers et introduction de nouvelles technologies – augmentent considérablement la surface d’attaque et les difficultés pour sécuriser le système d’information.

Des processus waterfall aux approches agiles…

En parallèle, l’intégration de la sécurité dans le cycle de développement des applications est souvent difficilement implémentée avec des approches de développement classiques comme « Waterfall ». Dans un processus de développement de type « Waterfall », chacune des phases se termine avant que la suivante ne commence (par exemple : analyse, architecture & design, construction, test, production, maintenance). Typiquement, chacune des phases est conclue par une revue et une validation. Ce modèle implique que les besoins puissent être clairement documentés au début du projet et n’évoluent que très peu par la suite. De plus, le ressenti du client final du produit ne peut être obtenu que très tard dans la vie du projet. En pratique, la revue de sécurité dans une telle approche se résume souvent à une vérification au moment de la mise en production – trop tardive dans le cycle de vie du projet pour que des vulnérabilités structurelles puissent être corrigées dans des délais et budgets convenables.

Pour répondre aux objectifs de réduction des délais de mise sur le marché et d’intégration rapide du ressenti utilisateur, les approches agiles sont de plus en plus adoptées. Une approche agile est itérative de nature et composée de multiples cycles complets de développement. Chaque itération implémente un ensemble limité de besoins et ne dure typiquement que quelques semaines avant que les modifications ne soient visibles des clients. Ces approches nécessitent souvent l’implication constante du métier (le « product owner ») ainsi que des petites équipes de développeurs. Ces cycles agiles (voire « DevOps »), de plus en plus courts, réduisent davantage encore le temps disponible pour les tests et validations de sécurité. Les activités de sécurité doivent être totalement réinventées pour s’intégrer très en amont dans ces cycles itératifs.

…jusqu'à l'infrastructure en cloud

Enfin, l’adoption d’infrastructure en cloud hybride fournit aux métiers la possibilité de promouvoir l’agilité et de se libérer des contraintes des infrastructures IT traditionnelles. Toutefois, ce mouvement nécessite une réflexion approfondie afin de garantir la confidentialité des données et le respect des réglementations incluant :

• la gestion de la problématique de la localisation des données et la réponse aux exigences réglementaires associées ;
• le chiffrement des données en transit et stockées, ainsi que la gestion des clés ;
• la responsabilité du fournisseur cloud dans le cadre des réglementations GDPR.

Conclusion

Face aux enjeux de la banque de demain, la cybersécurité ne peut plus s’envisager suivant le modèle classique de réduction des risques en freinant les changements. Au contraire, la cybersécurité est souvent citée comme un driver de succès des produits et des services, ainsi que des modèles de business digital. Ceci est spécialement vrai dans la situation de perte de confiance des clients suite à un cas de fraude ou de perte de données pouvant mener à une rupture de la relation client.

Un nouveau paradigme est nécessaire où la sécurité ne doit plus être l’affaire de quelques-uns mais doit être intégrée au métier et « by design » dans les services et modèles bancaires de demain. Cette transformation peut se décliner selon certains principes, parmi lesquels :

• la mise en responsabilité des équipes métiers (ex. product owners) face aux problématiques de sécurité, qui doivent s’approprier ces risques et s’assurer de leur mitigation au plus tôt ;
• le changement culturel profond des équipes de sécurité qui ne doivent plus maîtriser les risques en freinant les changements mais en accompagnant l’innovation ;
• le développement des compétences cybersécurité avec des approches par le terrain : innovations technologiques, maquettes, prototypages ;
• la mise à disposition par la sécurité d’outils, méthodes et infrastructures adaptées aux nouvelles façons de travailler ;
• la sensibilisation approfondie et continue de l’ensemble des équipes : développement, opérations en particulier agiles et DevOps.

Enfin et surtout, le management exécutif doit apporter un appui fort pour initier et accompagner cette transformation en profondeur des manières de travailler entre équipes métier, opérationnelles et sécurité.