Les institutions financières et leurs clients ont de bonnes raisons de se préoccuper de la cybersécurité. Les entreprises de ce secteur ont connu deux fois plus de cyberincidents uniques en 2023 qu'en 2022, selon une étude du spécialiste de la sécurité informatique Positive Technologies.
La dépendance croissante de ces institutions à l'égard de l'informatique dématérialisée a ouvert un large éventail de vecteurs d'attaque. L'équipe de cybersécurité X-Force d'IBM a noté une augmentation de 194% des vulnérabilités et expositions liées au cloud en 2023 par rapport à 2022.
L'informatique dématérialisée et les raisons pour lesquelles votre entreprise l'utilise très certainement
Conceptuellement, le cloud est un modèle d'accès à la demande à des ressources informatiques telles que le stockage, la puissance de traitement et les logiciels, via l'internet. Le cloud vous permet, à vous et à vos collègues, d'accéder à des données stockées de manière centralisée sur un serveur distant, plutôt que sur un seul ordinateur situé dans votre bureau.
En 2023, 98% des prestataires de services financiers interrogés par la Cloud Security Alliance ont déclaré utiliser une forme ou une autre d'informatique en nuage. Et selon l'International Banker, plus de 44% des organisations de services financiers avaient des données dans le nuage en 2023, et 52% en auront en 2024.
Presque toutes les configurations d'informatique dématérialisée impliquent des serveurs de données distants (hors site ou "off-premises") qui ne sont pas situés au même endroit que les utilisateurs accédant aux données qui y sont stockées. Il existe cependant trois modèles différents de déploiement de l'informatique dématérialisée, qui se distinguent par l'accès et le contrôle qu'ils exercent sur les serveurs distants :
- Cloud partagé (également connu sous le nom de nuage public) : Ce modèle de déploiement implique que plusieurs utilisateurs partagent des serveurs distants détenus et exploités par un fournisseur de services dans le cloud (CSP). Amazon, Google et Microsoft sont des exemples de fournisseurs de services dans le cloud bien connus. Les clouds partagés sont souvent considérés comme des options relativement rentables, faciles à mettre en place et rapidement évolutives pour l'informatique dans le cloud.
- Cloud privé hébergé: Dans ce cas, un FSC possède et exploite des serveurs distants utilisés exclusivement par une seule organisation. Les ressources dédiées impliquent des coûts plus élevés, mais les utilisateurs ont plus de contrôle sur la configuration des ressources afin de répondre aux exigences organisationnelles spécifiques liées à la prévisibilité des performances et à la conformité avec les réglementations sur les données, par exemple.
- Cloud privé : Un cloud privé implique une infrastructure de nuage dédiée, détenue et contrôlée par une seule organisation. Bien que cette infrastructure puisse parfois être située sur place dans les locaux de l'organisation, une pratique courante est la "colocation", c'est-à-dire la location d'un espace pour les serveurs auprès d'un fournisseur de centre de données. Ces fournisseurs s'occupent principalement de la sécurité physique, de l'alimentation électrique, de la connectivité et d'autres nécessités similaires qui ne sont pas liées au fonctionnement interne des serveurs. Bien qu'ils soient généralement les plus chers des modèles d'informatique dans le cloud, les clouds privés offrent le plus haut degré de personnalisation pour répondre aux besoins organisationnels spécifiques, au contrôle du stockage et de l'accès aux données, et à la performance pour des charges de travail et des exigences particulières.
Il convient également de noter que les clouds dits hybrides combinent au moins deux des types d'environnements en nuage susmentionnés.
Risques liés à la sécurité de l'informatique dématérialisée
La popularité croissante de l'informatique en nuage, qui devrait représenter 68% de l'ensemble des dépenses informatiques externes en 2023 selon HG Insights, a suscité un intérêt accru pour la sécurité de l'informatique en nuage. L'année dernière, le marché total de la sécurité dans les nuages a atteint 1,4 milliard de dollars américains, les institutions financières ayant dépensé un montant record de 1,4 milliard de dollars pour des solutions connexes.
D'une manière générale, les défis posés par ces solutions dépendent du type de nuage sur lequel l'organisation s'appuie.
- Préoccupations communes en matière de sécurité dans le cloud : Étant donné que le CSP gère l'infrastructure, les utilisateurs n'ont pas le contrôle total de leur sécurité. Le partage des ressources avec d'autres organisations augmente les risques de failles de sécurité potentielles, car les attaques sur un domaine peuvent avoir un impact sur d'autres domaines reposant sur les mêmes composants et le même code.
- Problèmes de sécurité liés aux clouds privés hébergés : Bien qu'un environnement dédié offre à une organisation une plus grande flexibilité dans la mise en œuvre des mesures de sécurité, les employés du CSP peuvent toujours être en mesure d'accéder aux fichiers de l'organisation - mais pas nécessairement de les décrypter et de les lire. Les fichiers cryptés peuvent être endommagés accidentellement ou intentionnellement, ce qui laisse souvent à l'organisation un recours technologique limité.
- Préoccupations relatives à la sécurité des clouds privés : Les nuages privés offrent le nec plus ultra en matière de sécurité des nuages - pour les organisations qui savent ce qu'elles font. L'organisation contrôle entièrement ses serveurs et doit avoir l'expertise nécessaire pour déployer des mécanismes avancés tels que des pare-feu, des systèmes de détection d'intrusion et des contrôles d'accès. Cette expertise n'est pas facile à obtenir : 80% des entreprises interrogées par Flexera ont déclaré que le manque d'expertise était leur principal défi en matière d'informatique dématérialisée. La Cloud Security Alliance a constaté que seulement 29% des entreprises financières interrogées ont déclaré que leur personnel avait une bonne connaissance de la sécurité de l'informatique dématérialisée.
Choix de l'informatique dématérialisée dans le secteur financier
À en juger par les statistiques de la Cloud Security Alliance, il est probable que votre entreprise s'appuie sur un nuage hybride alimenté par au moins un CSP, avec différents types de données traitées dans différents environnements. Parmi les prestataires de services financiers interrogés par la Cloud Security Alliance,
- 84% a déclaré qu'il utilisait un nuage public pour stocker au moins certaines données réglementées, y compris ce que l'on appellerait des informations d'identification personnelle en vertu du règlement général sur la protection des données de l'UE,
- 59% ont déclaré qu'ils stockaient ou traitaient des données bancaires réglementées dans des services dans le cloud,
- 28% ont déclaré que plus de la moitié de leurs données réglementées étaient stockées dans un cloud public, et
- 57% a déclaré travailler avec plus d'un CSP.
Ce qu'il faut en retenir ? Pour pouvoir donner à vos clients un aperçu précis de la manière dont leurs données sont sécurisées dans votre cloud, vous devrez probablement faire quelques recherches.
Un bon point de départ consisterait à déterminer les FSC avec lesquels vous travaillez, les types de clouds que vous utilisez et les niveaux des centres de données où sont stockées vos données en nuage. Le niveau 4 est le plus élevé.
En Bref
- Votre entreprise est une cible de choix pour les cyberattaquants - Attendez-vous à ce que vos clients vous demandent où leurs données sont stockées et comment elles sont sécurisées.
- Votre entreprise utilise très certainement l'informatique dématérialisée - Il existe trois principaux types de nuages ; déterminez lequel ou lesquels vous utilisez.
- Les modèles d'informatique dématérialisée ne sont pas tous aussi sûrs les uns que les autres - Connaître les bases de leurs différences en matière de sécurité.