Selon Verizon's Rapport d'enquête sur les violations de données, le secteur financier figure régulièrement parmi les industries les plus ciblées, et le taux d’attaques augmente. Les banques ont constaté une augmentation des attaques de 238 % pour la seule année 2022. La violation de données moyenne dans le secteur financier coûte 5.9 millions de dollars, ce qui est derrière le secteur de la santé en termes de coût moyen, selon IBM. Rapport sur le coût d’une violation de données 2023.

Même si le secteur a fait des progrès significatifs en matière de cybersécurité, d’innombrables facteurs font toujours des banques et des institutions financières des cibles attrayantes.

Les défis de la protection des données financières

Plusieurs problèmes contribuent aux difficultés auxquelles les institutions financières sont confrontées pour protéger leurs actifs. L’un des plus importants est la complexité de l’environnement des affaires, en particulier pour les grandes institutions qui ont fait l’objet de fusions et d’acquisitions. La connexion de réseaux et d'applications existants peut entraîner des erreurs de configuration introduisant des vulnérabilités qui permettent aux pirates d'accéder facilement.

Les institutions financières, comme de nombreuses entreprises, ont également une main-d’œuvre plus dispersée à la suite de la pandémie. En conséquence, ils ont dû intégrer davantage d’utilisations du cloud et de l’informatique mobile, ce qui augmente la surface d’attaque. Et, malgré la mise en œuvre d'applications modernes tournées vers l'extérieur, il n'est pas rare que les banques disposent d'applications vieilles de 50 ans - écrites en COBOL - fonctionnant en back-end et qui ne sont plus prises en charge depuis longtemps. Ces applications peuvent devenir risquées du point de vue de la sécurité, mais leur mise à jour n'a souvent aucun sens sur le plan financier ou opérationnel.

Malgré tous ces risques, la plupart des attaques reposent sur l’élément humain sous la forme d’identités sur le réseau.

Active Directory et l'importance des identités

L'identité des utilisateurs joue un rôle important dans de nombreuses cyberattaques, que les violations résultent d'actions internes, d'attaques externes ou de l'implication de partenaires tiers.

Lorsqu’il s’agit de menaces d’identité, un interne malveillant peut causer des dégâts considérables. L'exemple le plus notable étant le hack Capital One 2019. Près de quatre ans plus tard, ce piratage est toujours largement reconnu comme l’une des plus grandes menaces internes à ce jour. Un seul initié est responsable du vol de 100 millions de dossiers clients, de 140,000 80,000 numéros de sécurité sociale et de XNUMX XNUMX coordonnées bancaires de clients. Et une compromission des informations d’identification provenant de l’extérieur d’une organisation n’est en réalité qu’un autre type de menace interne. Une fois que les attaquants externes obtiennent l’accès en volant les informations d’identification, ils opèrent comme un interne de confiance.

Le risque tiers peut également causer de graves dommages. La plupart des institutions financières comptent des dizaines, voire des centaines de fournisseurs, prestataires de services et autres partenaires connectés à leur réseau. Pour les pirates informatiques avertis, une faille dans un système tiers peut constituer le point de départ idéal pour pénétrer dans les environnements financiers.

Quelle est la similitude commune entre ces attaques ? La voie la plus courante pour ces violations est Active Directory (AD), le principal service d'identité de 90 % des organisations et entreprises financières dans le monde.

Quand quelqu'un a demandé à Willie Sutton pourquoi il avait braqué des banques, il a répondu, "Parce que c'est là que se trouve l'argent." Alors, pourquoi les cybercriminels attaquent-ils Active Directory ? Parce que c'est là que se trouve l'accès privilégié. AD est si étroitement intégré à la plupart des organisations qu'il est impliqué dans 9 cyberattaques sur 10. Microsoft estime que les acteurs malveillants attaquent 95 millions de comptes AD chaque jour, ce qui est plutôt prudent.

Qu'un attaquant obtienne l'accès par phishing ou par d'autres moyens, le déplacement vers une zone riche en identité comme Active Directory peut lui permettre d'élever ses privilèges, de se déplacer sur les réseaux, de voler des données ou de lancer des attaques de ransomware. Ces types d’attaques peuvent paralyser les banques et autres services financiers, empêchant l’accès aux fonds, divulguant les données des clients et endommageant la marque.

Préparation aux violations et autres bonnes pratiques

Pour mieux protéger leurs données, les banques et les institutions financières devraient commencer par prioriser leurs risques. Ils doivent accepter que des violations se produiront et doivent donc identifier leurs actifs les plus prioritaires (ceux qui causeraient le plus de dommages s'ils étaient compromis) et les vulnérabilités de ces actifs.

La préparation aux violations commence par une évaluation de la sécurité AD, ainsi que par un examen de l'architecture de sécurité, des procédures opérationnelles et des configurations de sécurité d'une organisation. Cela permet aux équipes de sécurité d'identifier les chemins d'attaque et d'élaborer des plans de réponse et de remédiation. Grâce à des évaluations approfondies de l'environnement, les organisations peuvent élaborer des plans d'atténuation des menaces pour réduire la surface d'attaque, optimiser les configurations de sécurité et créer un plan réfléchi de récupération après une attaque qui réduit les temps d'arrêt et les perturbations.

La surveillance continue de l’identité des utilisateurs est également très importante. Si un employé de niveau inférieur bénéficie soudainement de privilèges élevés, accède à des données sensibles qu'il ne devrait pas consulter ou travaille à des heures irrégulières et n'effectue pas de tâches professionnelles régulières, il est possible que son identité soit compromise.

Enfin, la planification doit comporter un élément humain, sous la forme du recrutement et de la fidélisation du personnel de sécurité et de l'éducation des utilisateurs. Les banques et les institutions financières doivent attirer et retenir des professionnels de la sécurité compétents, ce qui est plus facile à se permettre pour les grandes institutions. Mais dans les organisations de toute taille, la sécurité ne représente qu’une petite partie de l’activité. Les institutions financières comptent encore des hordes de personnes ayant des connaissances limitées en matière de sécurité et qui accèdent aux systèmes et traitent des données sensibles. C’est pourquoi la formation des employés et la sensibilisation à la sécurité sont essentielles, surtout avec un nombre croissant de travailleurs à distance.

L’avenir de la sécurité du secteur financier

Face à l’augmentation du rythme et de la sophistication des attaques, les institutions doivent gagner en visibilité sur leurs environnements, contrôler l’identité des utilisateurs et élaborer des plans clairs de préparation, de réponse et de récupération en cas d’intrusion.

À l’avenir, les institutions financières devront également faire face aux risques associés aux nouvelles menaces et défis liés aux cryptomonnaies. Comme pour toute forme de sécurité, il s’agit de maîtriser les fondamentaux pour gagner en visibilité et en contrôle sur l’entreprise.