18 juillet 2023
Par Rodman Ramezanian - Responsable mondial des menaces liées à l'informatique en nuage Skyhigh Security
Le travail hybride étant là pour durer, le secteur des services financiers s'adapte aux risques accrus associés à la mise en place d'une main-d'œuvre à distance. De nombreux progrès ont été réalisés, mais comme le montre notre dernier rapport "Skyhigh Security Cloud Adoption and Risk Report : Financial Services Edition", le secteur a encore un long chemin à parcourir pour améliorer la sécurité du cloud.
Les organisations de services financiers sont particulièrement vulnérables aux violations, aux menaces et au vol de données par rapport à d'autres secteurs en raison de la nature des données qu'elles gèrent - et le pourcentage de ces organisations qui sont confrontées à des problèmes de sécurité est en hausse. Ce rapport montre que le secteur est conscient d'être une cible privilégiée pour les attaques et qu'il fait donc généralement preuve d'une plus grande maturité en matière de sécurité que les autres secteurs, mais des problèmes subsistent, en particulier dans le domaine de la sécurisation des données importantes dans les services et applications en nuage. Quels sont les facteurs à l'origine de ces problèmes et que peut-on faire pour les résoudre ? Nous allons nous pencher sur la question et explorer les recherches menées dans ce domaine.
Les entreprises de services financiers détiennent des actifs de grande valeur, ce qui en fait une cible plus fréquente
Les entreprises de services financiers telles que les banques, les compagnies d'assurance, les maisons de courtage et les sociétés de cartes de crédit stockent de grandes quantités d'informations sur les cartes de paiement et d'autres données sensibles, ce qui les rend particulièrement vulnérables aux attaques. Elles sont donc susceptibles d'être la cible d'activistes d'États-nations qui mènent des attaques à des fins politiques et de cybercriminels avides de gains financiers. Par rapport à d'autres secteurs, les services financiers sont plus susceptibles d'avoir subi la triple combinaison d'une violation de la cybersécurité, d'une menace et d'un vol de données : 78 % contre 75 % pour l'ensemble des secteurs.
Le passage au travail hybride a augmenté la surface d'attaque et le risque de sécurité
Comme la plupart des autres secteurs, celui des services financiers a adopté le travail hybride pour tous ses avantages, malgré ses inconvénients en matière de sécurité. L'augmentation de la surface d'attaque, les problèmes liés aux applications SaaS et l'informatique fantôme sont quelques-unes des raisons spécifiques pour lesquelles le passage au travail hybride a augmenté les risques de sécurité, comme le montrent les statistiques suivantes tirées du rapport :
- En 2019, le nombre moyen de services de cloud public utilisés était de 20, contre 31 en 2022. Cela représente une augmentation de plus de 50 % en trois ans.
- Pour les entreprises qui utilisent des applications et des services SaaS, le pourcentage de celles qui ont rencontré des problèmes de sécurité a augmenté de 13 %, passant de 82 % des entreprises en 2019 à 95 % des entreprises en 2022. Le risque de menaces liées aux problèmes de sécurité des SaaS touche davantage les services financiers que les autres secteurs d'activité.
- 82 % des entreprises de services financiers admettent que l'informatique fantôme nuit à leur capacité à sécuriser les données.
Pour ces raisons, nous recommandons aux entreprises de services financiers d'adopter une plateforme de sécurité en nuage security service edge (SSE) centrée sur les données et basée sur les principes de la confiance zéro pour sécuriser les données sur le web, le nuage et les applications privées. Les problèmes liés au SaaS dans ce secteur indiquent un besoin accru de visibilité et de contrôle des données. Une plateforme SSE offre cette capacité avec des contrôles et des politiques cohérents.
Les services financiers sont un secteur très réglementé
En plus des risques de sécurité accrus auxquels ce secteur est confronté, la conformité ajoute une nouvelle couche de complexité. Les responsables de la sécurité doivent garder à l'esprit la façon dont toute nouvelle technologie ou tout nouvel outil de sécurité qu'ils adoptent affectera la capacité de leur organisation à gérer une conformité réglementaire de plus en plus importante. Pour simplifier la conformité, nous recommandons aux entreprises de services financiers de rechercher des solutions dotées de technologies consolidées, capables d'évoluer rapidement avec leurs effectifs et de rationaliser les rapports de conformité.
Le recrutement de personnel pour la cybersécurité est un défi permanent
Si tous les secteurs ont du mal à trouver des professionnels compétents en matière de sécurité, le secteur des services financiers est encore plus touché. Quatre-vingt-seize pour cent des personnes interrogées dans ce secteur déclarent que le manque de personnel de sécurité qualifié affecte leur capacité à sécuriser l'utilisation de l'informatique dématérialisée. À titre de comparaison, 92 % de leurs homologues de tous les secteurs d'activité sont confrontés au même problème.
Pour contrer ce problème, nous recommandons aux entreprises de services financiers de trouver une solution de plateforme de sécurité en nuage qui utilise des outils et des processus automatisés. Cela permettra au personnel en place de travailler plus efficacement en réduisant les faux positifs et en éliminant les tâches redondantes telles que la nécessité de recréer des classifications de données. Une plateforme unifiée et gérée de manière centralisée offre également une bien meilleure évolutivité et simplifie le processus de création et d'extension des politiques à travers le web et le cloud.
Comme dans d'autres secteurs, le rapport indique que dans les entreprises de services financiers, il peut y avoir une certaine incertitude quant à la personne qui surveille et contrôle l'endroit où les données sensibles sont stockées ou utilisées dans le nuage. En moyenne, deux rôles (CIO et CTO) sont impliqués dans ce processus. Toutefois, 35 à 42 % des répondants du secteur des services financiers interrogés déclarent que la sécurité dans le nuage est également du ressort des responsables informatiques et des responsables de la sécurité informatique. L'absence de définition claire des rôles et des responsabilités de chacun peut entraîner des lacunes et des vulnérabilités en matière de sécurité. C'est une autre raison pour laquelle une approche unifiée et intégrée de la sécurité du cloud est précieuse, en particulier pour les services financiers.
À la décharge de ceux qui gèrent la sécurité de l'informatique en nuage pour les entreprises de services financiers, il semble également qu'ils recherchent de manière proactive des moyens de rester à l'avant-garde. Par exemple, les entreprises de services financiers sont plus susceptibles que d'autres secteurs d'utiliser des solutions cloud access security broker (CASB) pour surveiller l'utilisation du nuage approuvée par les non-informaticiens.
En prenant l'initiative de mettre en œuvre une plateforme de sécurité en nuage SSE qui intègre de multiples technologies de sécurité telles que CASB, data loss prevention (DLP), des pare-feu et des passerelles web dans un système robuste et holistique, les entreprises de services financiers peuvent mieux sécuriser leurs données sensibles et de grande valeur tout en profitant des avantages de l'informatique en nuage.
Pour en savoir plus, consultez le rapport sur l'adoption de l'informatique dématérialisée et les risques (Skyhigh Security ).
Édition services financiers.
Télécharger le rapport
Retour à Blogs