Pratiques pour évaluer les risques liés aux fournisseurs, tendances émergentes des cyber menaces, vulnérabilités des infrastructures IT, renforcement de la résilience, régulations à prendre en compte, autant de sujets que le secteur financier doit appréhender avec force. Entretien avec Dirk Schrader, VP of Security Research et Field CISO EMEA chez Netwrix.
Risques de cyberattaques et compromissions des institutions financières
Quelles sont les meilleures pratiques actuelles pour évaluer et gérer les risques liés aux fournisseurs tiers dans le secteur financier, notamment après des incidents comme celui impliquant Santander et son fournisseur ?
Les risques associés aux tiers continueront de croître à mesure que la digitalisation du secteur financier apportera à la fois une agilité commerciale et une complexité informatique accrues.
La gestion des risques liés aux tiers commence par l’établissement d’une liste exhaustive de toutes les entités avec lesquelles une organisation traite. Ensuite, il s’agit d’évaluer les risques spécifiques liés à chacune d’elles et de mener une vérification approfondie de leur posture en matière de cybersécurité, suivie d’une surveillance continue et d’une réévaluation des risques découverts.
En outre, il est essentiel de prioriser les tiers en fonction de leur importance pour les opérations de l’organisation. Cela permettra de concentrer les efforts de sécurité sur ce qui compte le plus. Il est également crucial d’être dûment préparé à un incident de sécurité au sein de la supply chain.
À cet égard, l’élaboration d’un plan de réponse aux incidents (PRI) à l’avance et sa répétition régulière aideront les équipes informatiques à répondre rapidement aux menaces, réduisant ainsi les risques d’une attaque réussie ou atténuant son impact. Enfin, la mise en place de plans de contingence pour la défaillance d’un fournisseur tiers critique contribuera à assurer la continuité opérationnelle en situation d’urgence.
Quelles sont les tendances émergentes en matière de cybermenaces dans le secteur financier ?
La forte dépendance aux actifs numériques et à la technologie, combinée à l’accès direct aux fonds, rend le secteur financier particulièrement vulnérable aux attaques par la supply chain logicielle. Pour maximiser l’efficacité de leurs efforts, les groupes criminels recherchent des multiplicateurs, des vecteurs d’attaque pouvant conduire à une compromission dans plusieurs organisations. Ils ciblent ainsi souvent les infrastructures cloud comme les solutions de logiciel SaaS, de plateforme PaaS et d’infrastructure IaaS.
La mise en œuvre de solutions « Tout en tant que service » (XaaS) augmente considérablement le nombre d’identités utilisées, ce qui rend crucial le traitement du risque croissant de compromission des comptes administrateurs et utilisateurs. Un rapport récent de Netwrix montre que ce type d’attaque continue de s’intensifier. Alors que seulement 16 % des répondants signalaient de tels incidents dans le cloud en 2020, ils sont 55 % en 2024.
Il est donc essentiel de faire respecter strictement le principe du moindre privilège et de garantir une gouvernance des identités, afin que chaque utilisateur ait uniquement les droits nécessaires pour accomplir son travail. Les organisations devraient également envisager de mettre en place une authentification multifactorielle (MFA) pour tous les comptes accédant aux solutions cloud internes, conformément aux exigences habituelles des fournisseurs de services cloud.
Quelles sont les principales vulnérabilités que les institutions financières doivent surveiller dans leur infrastructure IT ?
Que ce soit en ciblant directement une institution financière ou en tentant d’infiltrer l’infrastructure informatique d’une entité tierce, les cybercriminels cherchent à prendre le contrôle. La compromission d’identifiants de comptes à hauts privilèges, tels que les comptes administratifs, permet aux attaquants de ne pas être détectés lorsqu’ils établissent leur point d’ancrage puis se déplacent latéralement.
Ainsi, les institutions financières doivent renforcer le contrôle des identités dans la base de données des identités, qu’il s’agisse d’Active Directory ou d’Entra ID. Elles doivent surveiller tout changement dans les droits accordés et les identités créées sans contexte et raison appropriés, car ces actions indiquent la présence d’un attaquant au sein de l’infrastructure.
Comment les institutions financières peuvent-elles renforcer leur résilience face aux cyberattaques ciblant spécifiquement les identités, en particulier les comptes administrateurs ?
Le renforcement des comptes administratifs contre l’utilisation abusive par les collaborateurs ou par les attaquants nécessite un changement de fonctionnement. Une solution facile consiste à exiger une authentification multifactorielle résistante au phishing pour tous les comptes de ce type.
Toutefois, il est possible de réduire encore davantage le risque en adoptant une approche « juste-à-temps, juste-assez » pour les comptes administratifs. Un compte à privilèges ne doit exister que le temps nécessaire et ne doit que les droits nécessaires à l’accomplissement d’une tâche donnée. Une fois la tâche accomplie, le compte n’existe plus, de sorte qu’il n’y a pas de comptes à privilèges à compromettre pour les attaquants.
Par ailleurs, la gestion stricte des droits administratifs est particulièrement vitale pour les actifs basés dans le cloud. Un rapport de Microsoft révèle que seulement 1 % des autorisations accordées sont réellement utilisées, mais que 50 % de toutes les autorisations attribuées sont à haut risque, ce qui signifie qu’elles peuvent entraîner des dommages catastrophiques en cas d’abus.
Existe-t-il des régulations ou des normes spécifiques que les banques devraient suivre pour améliorer leur cybersécurité, en particulier en ce qui concerne la gestion des fournisseurs tiers ?
L’une des dernières réglementations à prendre en compte est la loi DORA (Digital Operational Resilience Act) dans l’Union européenne. Elle vise à surmonter les vulnérabilités inhérentes au niveau élevé d’interconnexion entre les entités financières, les marchés financiers et les infrastructures connexes, en particulier les interdépendances de leurs systèmes numériques.
Cette loi vise à établir un cadre de surveillance approprié permettant le suivi continu des activités des prestataires de services tiers essentiels aux entités financières. Ses exigences couvrent toutes les meilleures pratiques mentionnées précédemment, ainsi que des tests de base et avancés de la résilience opérationnelle numérique d’une organisation, y compris la préparation, l’analyse des lacunes et d’autres tests liés à la sécurité. Ainsi, suivre les directives de DORA peut être un moyen efficace pour les institutions financières dans la réduction des risques de cybersécurité associés aux fournisseurs tiers.
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.