Les cybercriminels ont connu une année exceptionnelle. Au cours des neuf premiers mois de 2019, un peu moins de 5 200 violations de données ont été divulguées, ce qui a entraîné l’exposition de plus de 7,9 milliards d’enregistrements. Pour de nombreuses entreprises, la protection de vos données et de celles de vos clients est un combat quotidien.
C’est un combat auquel les institutions financières en particulier sont confrontées. En effet, les IF sont la cible de 25 % de toutes les attaques de logiciels malveillants. En outre, une violation de données pour une IF est plus susceptible de révéler des informations d’identité sensibles – un point illustré par la récente révélation de Capital One qu’elle a été victime d’une violation de données estimée à plus d’un million de personnes aux États-Unis et au Canada.
La menace est réelle, et il est essentiel de gérer votre exposition. Pourtant, si les entreprises peuvent avoir confiance dans leurs propres processus et procédures de sécurité de l’information, les mesures de sécurité interne ne signifient pas grand-chose si l’infrastructure de sécurité de leurs fournisseurs n’est pas tout aussi solide.
Trois principes fondamentaux
Les violations de données se produisent lorsqu’il y a eu un échec à traduire un ou plusieurs des principes fondamentaux de la sécurité de l’information en action efficace – ce qui est plus facile à dire qu’à faire. Ces principes fondamentaux doivent être au cœur de vos réflexions lorsque vous décidez avec qui vous allez établir un partenariat :
- Confidentialité
- Intégrité
- Disponibilité
Des conseils sont fournis par l’Organisation internationale de normalisation (ISO), qui a conçu la série 27000, un ensemble de meilleures pratiques que les entreprises peuvent suivre pour garantir la sécurité des données. L’étalon-or, ISO27001, fournit des orientations et des contrôles pour créer un système de gestion de la sécurité de l’information (SGSI) qui aide à se défendre contre les attaques externes et les menaces internes. Le respect de ces meilleures pratiques est essentiel pour intégrer les principes et les normes de sécurité de l’information dans une entreprise, de manière à ce qu’ils soient appliqués du niveau de la direction jusqu’au niveau inférieur.
En outre, ils aident les entreprises à se conformer à une série de lois et d’exigences réglementaires, notamment le très médiatisé General Data Protection Regulation (GDPR), qui est entré en vigueur en 2018, et la Consumer Privacy Act de Californie, qui entrera en vigueur en 2020. D’autres lois sur la protection de la vie privée au niveau de l’État vont bientôt suivre, de sorte que la conformité à la norme ISO27001 se révélera encore plus précieuse dans les années à venir.
Les informations confidentielles restent confidentielles
La divulgation non autorisée d’informations est souvent due à une mauvaise configuration du système de sécurité d’une entreprise. Même les fournisseurs qui optent pour un modèle de sécurité partagée avec une société comme Amazon Web Services (AWS), qui assure une sécurité de niveau mondial pour le matériel physique, comme les serveurs, sont vulnérables aux violations de la sécurité dans le nuage. Si les AWS peuvent constituer une bonne base, les entreprises doivent néanmoins s’assurer que leur offre basée sur le cloud est conçue, construite et maintenue en toute sécurité.
Le contrôle d’accès est la clé. Seuls ceux qui ont besoin d’y avoir accès devraient l’avoir. Un processus standard devrait être mis en place pour déterminer qui a besoin d’accéder à quels systèmes. Le retrait, le cas échéant, doit être rapide et régi par un processus d’audit interne approfondi qui peut détecter les accès non nécessaires. Lorsque les employés se connectent, en particulier à distance, l’utilisation d’un VPN et l’authentification multifactorielle offrent des niveaux de sécurité supplémentaires.
L’intégrité des données est protégée
Les entreprises doivent s’assurer que leurs données – qu’elles soient au repos ou en transit – ne peuvent être exploitées. L’utilisation d’un code de chiffrement comme AES256, utilisé par l’Agence de sécurité nationale (NSA) américaine pour envoyer des données confidentielles, est actuellement la norme de référence. Cependant, les chiffres sont constamment décodés et de nouveaux sont créés. Plus le chiffre est ancien, moins il est sûr. Il est donc important de se tenir au courant des dernières normes de cryptage.
Les analyses de vulnérabilité et les tests de pénétration permettent de détecter de manière proactive les faiblesses du système, tandis que les correctifs réguliers assurent une protection contre les menaces déjà identifiées au fur et à mesure qu’elles sont découvertes. Les méthodes criminelles sont en constante évolution. Les criminels et les professionnels de la sécurité de l’information sont engagés dans un jeu sans fin du chat et de la souris – un jeu où ceux qui sont chargés de garder les données en sécurité ne semblent jamais prendre le dessus très longtemps. Les attaques contre les données sont de plus en plus sophistiquées. Les équipes de sécurité de l’information doivent donc être proactives et penser comme un agresseur pour garder une longueur d’avance. Il n’y a pas de place pour la complaisance.
Les données sont disponibles quand et où elles sont nécessaires
Les données peuvent être « aussi importantes que le pétrole » dans l’économie actuelle. Mais sa valeur dépend aussi de la possibilité d’y accéder et de l’utiliser en cas de besoin. Les affaires ne sont plus confinées aux heures de bureau traditionnelles ; les entreprises ont besoin d’un accès permanent à leurs données. L’utilisation d’un environnement en nuage et le choix d’un fournisseur de services en nuage comme AWS garantissent des mesures de temps de fonctionnement presque parfaites.
Cependant, une catastrophe peut frapper. Des tests réguliers de reprise après sinistre et des sauvegardes quotidiennes des données sont essentiels pour assurer un service continu. Le fait de conserver ces sauvegardes en les confiant à d’autres fournisseurs de services en nuage garantit en outre que le service ne sera pas interrompu. Les centres de données implantés dans le monde entier permettent de maintenir les fonctions commerciales même lorsque les centres de données sont hors ligne, que ce soit pour des raisons de sécurité ou de catastrophe naturelle.
Sensibilisation à la sécurité et réflexion prospective
Lorsque vous choisissez un fournisseur, vous devez en choisir un qui travaille de manière proactive pour atténuer les risques de votre chaîne d’approvisionnement – une préoccupation que nous reconnaissons à toutes les entreprises. Il est essentiel d’investir dans la bonne technologie, mais la sécurité reste une quête humaine qui est sujette à l’erreur. La première ligne de défense consiste à encourager une culture de la sécurité.
L’évolutivité est tout aussi essentielle. Alors que les violations de données mettent en lumière la sécurité de l’information et la protection de la vie privée, les données biométriques sont de plus en plus souvent collectées et utilisées dans le cadre des pratiques de vigilance à l’égard de la clientèle et de la détection des délits financiers. Avec un stock toujours croissant d’informations d’identité précieuses, les institutions financières ont besoin d’une solution de sécurité qui se développe au fur et à mesure de leur croissance et qui peut s’adapter avec souplesse à un paysage sécuritaire changeant à mesure que les menaces sont détectées et contrées.
Pour en savoir plus sur l’approche de ComplyAdvantage en matière de sécurité, cliquez ici.
Publié initialement 31 janvier 2020, mis à jour 10 mai 2022
Avertissement : Ce document est destiné à des informations générales uniquement. Les informations présentées ne constituent pas un avis juridique. ComplyAdvantage n'accepte aucune responsabilité pour les informations contenues dans le présent document et décline et exclut toute responsabilité quant au contenu ou aux mesures prises sur la base de ces informations.
Copyright © 2023 IVXS UK Limited (commercialisant sous le nom de ComplyAdvantage)