La fréquence et le coût des violations de données dans le secteur financier sont en augmentation, ce qui pose aux banques d’importants défis en matière de cybersécurité. La sécurité des services bancaires numériques est une préoccupation croissante à mesure que ces violations deviennent plus fréquentes et plus coûteuses.
Selon le rapport Cost of a Data Breach Report 2024 d’IBM, publié en septembre, le coût moyen mondial d’une violation de données a bondi de 10 % en un an pour atteindre 4,88 millions de dollars, soit l’augmentation la plus importante depuis la pandémie de COVID-19. Les États-Unis sont en tête du classement mondial des violations de données, avec un coût moyen de 9,36 millions de dollars, suivis par le Moyen-Orient (8,75 millions de dollars), le Benelux (5,9 millions de dollars), l’Allemagne (5,31 millions de dollars) et l’Italie (4,73 millions de dollars).
Toutefois, c’est le secteur financier qui est la cible privilégiée des cybercriminels à la recherche de données clients de grande valeur, notamment des identifiants financiers et des informations d’identité personnelle. Selon le rapport d’IBM, il s’agit du deuxième secteur d’activité le plus important au monde en termes de coût moyen d’une violation de données – derrière le secteur de la santé -, ce coût passant à 6,03 millions de dollars cette année, contre 5,9 millions de dollars en 2023.
Avec les cybermenaces évoluent à un rythme alarmant dans le monde numérique d’aujourd’hui, s’appuyer sur les systèmes bancaires existants revient à “laisser des portes internes ouvertes” aux attaques – et c’est là que les institutions financières devraient envisager un réseau de confiance zéro qui prône le principe “ne jamais faire confiance, toujours vérifier”.Nous examinons ici comment la sécurité zéro confiance peut aider les banques à protéger leurs données, à renforcer la confiance des clients et la réputation de la marque, et à réduire l’incidence des cyberattaques menées par des acteurs malveillants, notamment le phishing et les informations d’identification volées ou compromises, les pannes informatiques, les erreurs humaines et les ransomwares, entre autres.
Qu’est-ce que la sécurité zéro trust ?
Le concept des réseaux de zero trust est basé sur le principe “ne jamais faire confiance, toujours vérifier”, qui ne fait pas automatiquement confiance aux utilisateurs même s’ils proviennent d’un réseau sécurisé et qu’ils ont été vérifiés.
Le concept est né des lacunes des modèles de sécurité basés sur le périmètre. Bien que l’expression existe depuis 1994, l’évolution vers la “dépérimétrisation” de la sécurité des réseaux a commencé en 2009. Bien que la sécurité zero trust ait évolué et soit actuellement employée par certaines plateformes et banques, la plupart d’entre elles s’appuient encore sur l’ancien modèle basé sur la passerelle d’interface de programmation d’applications (API). Cette approche est comparable à l’analogie d’une maison fermée à clé. Les systèmes traditionnels de sécurité des réseaux des banques reposent sur une sécurité périmétrique, comme si l’on verrouillait la porte d’entrée d’une maison mais que l’on laissait les portes intérieures ouvertes.
En revanche, la sécurité zero trust consiste à verrouiller toutes les portes internes et à n’accorder l’accès qu’aux personnes autorisées, offrant ainsi une sécurité et une protection accrues contre les attaques du réseau interne. Les banques peuvent intégrer en toute sécurité des services tiers en vérifiant en permanence les connexions API et les autorisations d’accès. En fin de compte, ce cadre protège les données des clients et favorise la confiance dans les services bancaires numériques, car il exige une vérification continue de chaque demande d’accès en utilisant des méthodes strictes d’authentification de l’identité telles que l’authentification multifactorielle (MFA) et l’accès au moindre privilège, garantissant que les utilisateurs n’ont que le minimum d’accès nécessaire.
Pourquoi les banques doivent-elles mettre en place une sécurité “zero trust” ?
La protection des données est un défi qui persiste dans le secteur bancaire, 30 % des banques mondiales déclarant que la cybersécurité est une priorité stratégique, selon une étude réalisée en 2023 par Forrester Consulting pour le compte de Sopra Steria. L’étude de Forrester a également révélé que 23 % des personnes interrogées estiment que la garantie de la cybersécurité de leurs réseaux et infrastructures est l’un des principaux défis de la banque numérique à l’heure actuelle.
Dans un rapport distinct, Forrester note que la sécurité sans confiance peut contribuer à un changement radical des capacités technologiques, créant ainsi les bases d’entreprises fiables. Elle permet non seulement de renforcer la sécurité et la protection contre les attaques du réseau interne, mais aussi d’accroître la confiance dans la marque. Elle peut accélérer les nouveaux modèles d’engagement et les technologies émergentes pour contribuer à la pérennité de la stratégie de croissance d’une banque, permettre une livraison plus rapide de nouveaux produits et sécuriser l’intégration des partenaires fintech.
La nature dynamique de la sécurité zero trust, avec son évaluation constante du risque et de la confiance, bénéficie immensément de l’intelligence artificielle (IA) et des prouesses prédictives et analytiques de l’apprentissage automatique (ML), selon un rapport de Pilotcore.
“Les algorithmes d’IA et de ML analysent de nombreux facteurs en temps réel pour prendre des décisions d’accès en fonction du contexte”, indique le rapport.
“En évaluant le comportement de l’utilisateur, la posture de sécurité de l’appareil, les conditions du réseau et d’autres données pertinentes, ces technologies ajustent dynamiquement les autorisations d’accès, garantissant que les utilisateurs disposent des niveaux d’accès appropriés au bon moment, en harmonie avec les principes du zero trust”, ajoute Pilotcore.
Il est également important de noter que l’environnement actuel basé sur l’informatique dématérialisée nécessite une approche de la sécurité qui donne la priorité à la vérification continue et sécurise l’accès au niveau granulaire des demandes individuelles, car il n’y a pas de périmètres inhérents, selon un rapport de l’entreprise de politique de sécurité Tufin, qui ajoute que la sécurité zero trust maintient le cryptage des données sensibles même en cas d’infraction.
Des réglementations plus strictes en matière de confidentialité des données, telles que le Règlement général sur la protection des données (RGPD) de l’Union européenne et la directive révisée sur les services de paiement (DSP2), signifient également que le zero trust stimule la conformité en imposant un accès sécurisé aux données dans des environnements décentralisés tels que les applications mobiles, les plates-formes cloud et les API tierces. Pour les banques, le cadre de sécurité empêche les accès non autorisés et garantit une protection transparente des données des clients lors de l’introduction de nouveaux services numériques. En mettant en œuvre le zero trust, les banques peuvent renforcer la confiance des clients dans la sécurité de leurs transactions numériques et atténuer le risque d’atteinte à la réputation dû à des violations de données.
Quels sont les défis auxquels les banques sont confrontées lors de la mise en œuvre de la sécurité “zero trust” ?
L’intégration de la sécurité zero trust dans les systèmes bancaires existants peut s’avérer longue et coûteuse, car elle nécessite de nombreuses modifications et mises à niveau pour garantir une expérience utilisateur transparente et la conformité à la réglementation. Sa mise en œuvre est intrinsèquement plus complexe que celle d’un modèle classique et nécessite une approche prudente pour éviter de créer des failles de sécurité dans l’infrastructure.
Le rapport Tufin recommande un plan détaillé de mise à niveau des systèmes existants, l’adoption de protocoles standard tels que les API, et l’utilisation du cryptage, des VPN et des protocoles de tunneling sécurisés pour établir des canaux de communication sécurisés au sein du réseau hybride. Divers défis se posent également en termes de banque numérique. Il s’agit notamment de la complexité de l’intégration, comme la mise à jour des protocoles et la refonte de la gestion de l’accès, et des problèmes d’évolutivité qui nécessiteront de vérifier en permanence le grand nombre d’utilisateurs, d’appareils et d’applications interagissant avec les plateformes bancaires numériques.
Pour relever ces défis, il est essentiel d’adopter une stratégie soigneusement planifiée et échelonnée qui implique des mises à niveau de l’infrastructure, la mise en œuvre de systèmes de surveillance continue et une collaboration étroite entre les équipes de sécurité, les responsables de la conformité et les chefs d’entreprise. Le développement futur de la sécurité zero trust impliquera d’améliorer le modèle de sécurité avec l’IA pour prendre des décisions d’accès contextuelles, d’identifier les problèmes de sécurité potentiels grâce à l’évaluation des risques et à la détection des anomalies, et de prévenir de manière proactive les failles de sécurité à l’aide d’analyses prédictives.
En attendant, la confiance zero trust une approche plus sûre de la gestion de l’accès des utilisateurs, ce qui permet aux banques de se concentrer sur leur cœur de métier, à savoir la fourniture de produits bancaires exceptionnels aux utilisateurs, avec agilité et sécurité. Elles peuvent ainsi protéger l’identité de leur marque et leurs données tout en lançant rapidement de nouvelles offres sur le marché et en fournissant en toute sécurité du contenu et des produits exclusifs basés sur des partenaires.
Comment le SBS peut aider
La SBP Digital Banking Suite est une plateforme ouverte avancée qui offre des fonctionnalités modulaires pour une expérience client omnicanale transparente, couvrant tous les services bancaires, de l’accueil aux opérations quotidiennes. Elle s’intègre à divers processeurs de base et prend en charge des déploiements flexibles grâce à une architecture de micro-services privilégiant les API.
Un élément clé est notre framework de sécurité natif zero trust, qui vérifie en continu les identités des utilisateurs et les demandes d’accès, réduisant ainsi considérablement le risque de violations de données. Ce modèle de sécurité robuste protège non seulement les informations sensibles des clients, mais aide également les banques à se conformer aux réglementations, notamment GDPR et PSD2, ce qui leur permet d’innover en toute confiance et de fournir des services numériques sécurisés.
Faites équipe avec nous pour renforcer la sécurité de votre banque et atténuer le stress causé par les cybermenaces. Ensemble, nous pouvons garantir un environnement bancaire sécurisé qui protège vos systèmes et vos clients grâce à la SBP Digital Banking Suite.
Pour plus d’informations sur les tendances et les innovations du secteur, abonnez-vous à notre lettre d’information ou visitez notre page Insights.