Le secteur des services financiers a toujours été à la pointe de l’adoption de la technologie, mais la pandémie de 2020 a accéléré la généralisation des applications bancaires mobiles, du service client basé sur le chat et d’autres outils numériques. Rapport sur les tendances FIS 2022 d’Adobe, par exemple, ont constaté que plus de la moitié des entreprises de services financiers et d’assurances interrogées ont connu une augmentation notable du nombre de visiteurs numériques/mobiles au premier semestre 2020. Le même rapport a révélé que quatre dirigeants financiers sur dix déclarent que les canaux numériques et mobiles comptent pour plus de la moitié de leurs ventes – une tendance qui ne devrait se poursuivre que dans les prochaines années.
À mesure que les institutions financières étendent leur empreinte numérique, elles ont plus de possibilités de mieux servir leurs clients, mais elles sont également plus exposées aux menaces de sécurité. Chaque nouvel outil augmente la surface d’attaque. Un nombre plus élevé de failles de sécurité potentielles peut potentiellement conduire à un nombre plus élevé de failles de sécurité.
Selon le Enquête Cisco CISO Benchmark, 17 % des organisations ont eu 100 000 alertes de sécurité quotidiennes ou plus en 2020. Après la pandémie, cette trajectoire s’est poursuivie. 2021 a eu une nombre record de vulnérabilités et d’expositions communes: 20 141, ce qui a dépassé le record de 2020 de 18 325.
La principale conclusion est que la croissance numérique dans le secteur financier est ne pas arrêt; par conséquent, les équipes de cybersécurité auront besoin de moyens pour obtenir une visibilité précise et en temps réel sur leur surface d’attaque. À partir de là, identifiez les vulnérabilités les plus exploitables et hiérarchisez-les pour les corriger.
Approches traditionnelles de la validation de la sécurité
Traditionnellement, les institutions financières ont utilisé plusieurs techniques différentes pour évaluer leur posture de sécurité.
Simulation d’infraction et d’attaque
La simulation de violation et d’attaque, ou BAS, aide à identifier les vulnérabilités en simulant les chemins d’attaque potentiels qu’un acteur malveillant pourrait utiliser. Cela permet une validation de contrôle dynamique, mais est basé sur un agent et difficile à déployer. Cela limite également les simulations à un playbook prédéfini, ce qui signifie que la portée ne sera jamais complète.
Test de pénétration manuel
Les tests d’intrusion manuels permettent aux organisations de voir comment les contrôles d’une banque, par exemple, résistent à une attaque réelle, tout en fournissant une contribution supplémentaire du point de vue de l’attaquant. Cependant, ce processus peut être coûteux et n’est effectué qu’une poignée de fois par an au mieux. Cela signifie qu’il ne peut pas fournir d’informations en temps réel. De plus, les résultats dépendent toujours des compétences et de la portée du testeur d’intrusion tiers. Si un humain manquait une vulnérabilité exploitable lors d’un test d’intrusion, elle pourrait rester non détectée jusqu’à ce qu’elle soit exploitée par un attaquant.
Analyses de vulnérabilité
Les analyses de vulnérabilité sont des tests automatisés du réseau d’une entreprise. Ceux-ci peuvent être programmés et exécutés à tout moment – aussi souvent que souhaité. Cependant, ils sont limités dans le contexte qu’ils peuvent fournir. Dans la plupart des cas, une équipe de cybersécurité ne recevra qu’une cote de gravité CVSS (aucune, faible, moyenne, élevée ou critique) pour chaque problème détecté par l’analyse. Leur équipe portera le fardeau de la recherche et de la résolution du problème.
Les scans de vulnérabilité posent également le problème de la fatigue des alertes. Avec tant de réel menaces à gérer, les équipes de sécurité du secteur financier doivent pouvoir se concentrer sur les vulnérabilités exploitables susceptibles d’avoir le plus d’impact sur l’entreprise.
Une doublure argentée
Validation de sécurité automatisée, ou ASV, offre une approche nouvelle et précise. Il combine les analyses de vulnérabilité, la validation des contrôles, l’exploitation réelle et les recommandations de correction basées sur les risques pour une gestion complète de la surface d’attaque.
L’ASV offre une couverture continue, qui donne aux institutions financières un aperçu en temps réel de leur posture de sécurité. Combinant à la fois une couverture interne et externe, il fournit une image la plus complète possible de l’ensemble de leur environnement de risque. Et, parce qu’il modélise le comportement d’un attaquant réel, il va beaucoup plus loin qu’une simulation basée sur des scénarios.
Comment le secteur financier utilise ASV
Il va (presque) de soi que les banques, les coopératives de crédit et les compagnies d’assurance ont besoin d’un haut niveau de sécurité pour protéger les données de leurs clients. Ils doivent également respecter certaines normes de conformité, telles que FINRA et PCI-DSS.
Alors : comment font-ils ? Beaucoup investissent dans des outils de validation de sécurité automatisés qui leur montrent leur véritable risque de sécurité à tout moment, puis utilisent ces informations pour créer une feuille de route pour la correction. Voici la feuille de route que suivent les institutions financières comme Sander Capital Management :
Étape 1 — Connaître leur surface d’attaque
En utilisant Pentera pour cartographier leur surface d’attaque Web, ils acquièrent une compréhension complète de leurs domaines, adresses IP, réseaux, services et sites Web.
Étape 2 — Défier leur surface d’attaque
Exploitant en toute sécurité les actifs cartographiés avec les dernières techniques d’attaque, ils découvrent des vecteurs d’attaque complets – à la fois internes et externes. Cela leur donne les connaissances dont ils ont besoin pour comprendre ce qui est vraiment exploitable – et vaut les ressources pour y remédier.
Étape 3 — Prioriser les efforts de remédiation par impact
En tirant parti de l’émulation du chemin d’attaque, ils peuvent identifier l’impact commercial de chaque faille de sécurité et attribuer une importance à la cause première de chaque vecteur d’attaque vérifié. Cela donne à leur équipe une feuille de route beaucoup plus facile à suivre pour protéger leur organisation.
Étape 4 — Exécution de leur feuille de route de remédiation
Suite à une liste de mesures correctives rentables, ces organisations financières donnent à leurs équipes de sécurité les moyens de résoudre les lacunes et de mesurer l’impact de leurs efforts sur leur posture informatique globale.
Quand cela vient à ton organisation : savez-vous où se trouvent vos maillons les plus faibles afin de pouvoir les résoudre avant qu’un attaquant ne les utilise contre vous ?
Si vous êtes prêt à valider votre organisation contre les dernières menaces, demander un bilan de santé gratuit.