Le modèle zero trust dans le monde de la finance : statu quo
Zero trust en sécurité IT : le secteur financier est pionnier. L'importance de la sécurité des systèmes de l'entreprise et des employés. La sensibilisation et la formation sont essentielles.
Zero trust : le terme est devenu synonyme de sécurité informatique.
Mais l’approche convient-elle également aux domaines plus traditionnels comme le secteur de la finance ? Oui : si on y regarde bien, on voit que le zero trust est parfaitement adapté, si pas indispensable, aux enjeux actuels auxquels est confronté le monde financier en matière de sécurité informatique.
Zero trust, c’est quoi exactement ?
Même si, aujourd’hui, tout le monde en parle, cela ne veut pas dire que tout le monde comprend bien le zero trust. C’est ce qui se passe pour le terme « cloud ». Commençons donc par définir la notion de zero trust : ce concept implique que les événements ou contacts antérieurs ne peuvent jamais être une base valable de confiance. En fait, chaque acteur doit prouver son identité et obtenir les droits nécessaires. Cela peut paraître simple, à priori, mais cette approche basée sur l’identité s’applique non seulement aux personnes, mais aussi aux machines : ordinateurs, noms d’utilisateurs, applications et tous autres services informatiques. Concrètement, cela demande beaucoup de préparation et surtout l’intégration de logiciels de soutien, c’est-à-dire des outils de gestion des mots de passe et des identités, ou des secrets similaires, fortement automatisés, notamment dans le domaine des infrastructures (IaaS, PaaS, SaaS).
Figure 1 :Les identités jouent un rôle majeur dans le zero trut ; les sources peuvent être distribuées et hétérogènes.
Le principal facteur incitant au zero trust est le brouillage, voire la disparition des frontières entre l’IT du data center (DC) de l’entreprise et celle installée dans des hébergements extérieurs ou chez les fournisseurs de cloud. L’approche classique qui consitait à utiliser les pare-feu dans le data center comme muraille de protection n’est donc plus valable. Le modèle de sécurité classique ne fonctionne plus, car on présume que l’attaquant se trouve déjà à l’intérieur du réseau. Il ne suffit plus de se trouver à l’intérieur du data center ou derrière ses pare-feu pour être considéré comme digne de confiance et en sécurité.
Le secteur financier, pionnier en la matière
On estime, à tort, que le monde financier est resté assez traditionnel en matière d’informatique. Ce secteur est pourtant obligé d’être pionnier dans ce domaine. En effet, les services de banque en ligne doivent s’adapter aux exigences de plus en plus élevées des clients et ont longtemps été la cible de choix des hackers. Des canaux doivent être ouverts, via les interfaces API, vers les systèmes internes qui sont également victimes de cyberattaques fréquentes, notamment dans le cadre des opérations OpenBanking.
Ces systèmes communiquent donc à la fois avec le particulier et avec le prestataire de services. Or, pour les prestataires de services financiers, la banque en ligne est le principal canal de communication et de transaction avec le consommateur final, du moins depuis la pandémie.
Autre raison d’assurer la sécurité informatique : de plus en plus d’employés du secteur financier travaillent aujourd’hui à distance. Tout comme l’introduction du cloud public, cette tendance a fortement élargi le terrain d’attaque des systèmes informatiques auparavant internes. De plus, le passage assez brusque au travail à distance a catalysé l’utilisation d’offres dites SaaS. En bref, la disparition des frontières entre l’IT interne et l’environnement extérieur nécessite l’introduction de nouveaux principes de sécurité.
En d’autres termes : l’IT doit désormais assurer la sécurisation d’un « super réseau ».
En outre, les conditions préalables à l’adoption de nouvelles approches informatiques dans le secteur financier sont idéales. Un coup d’œil dans les coulisses montre que les techniques modernes comme le DevOps, la SRE et d’autres sont depuis longtemps établies.
Cela va de pair avec l’utilisation d’outils appropriés et d’approches non techniques. Il faut également tenir compte de la réglementation omniprésente dans le secteur financier. De nombreuses directives concernent le domaine de la sécurité informatique et permettent de traiter tous les aspects importants. Le fait que les réglementations en matière de surveillance des systèmes IT des institutions financières comme le BAIT et le VAIT ont été adaptées à la situation actuelle de la sécurité informatique est également très positif. Tous deux ont ajusté et précisé leurs attentes et exigences respectives au cours des 18 derniers mois.
Premier principe : la gestion des secrets
Les identités font partie intégrante du zero trust. Elles doivent pouvoir être prouvées. Dans le monde réel, on utilise un passeport ou à une carte d’identité. Dans les technologies numériques, c’est un certificat ou une « donnée secrète ». Dans le cas le plus simple, c’est un mot de passe. Mais il peut aussi s’agir de scénarios de questions-réponses prédéfinis ou d’une deuxième authentification par téléphone portable. Idéalement, ces dispositifs ont également une date d’expiration. Le cas échéant, cela implique que ces preuves d’identité soient renouvelées régulièrement et soient traçables en permanence du fait de leur audibilité. Et il ne s’agit là que de la partie visible de l’iceberg. Avec la multiplication des approches basées sur les API, il est devenu crucial de gérer les « secrets » de manière musclée.
Figure 2 : Le défi consiste à gérer les secrets dans des environnements distribués impliquant de multiples fournisseurs.
L’approche manuelle ne fonctionne que dans le cadre de petite structures. L’automatisation est nécessaire, mais elle ne tient compte que d’un aspect de ce défi multidimensionnel. Il faut y ajouter le contrôle d’accès ou le cryptage. Si vous voulez protéger votre infrastructure informatique de manière professionnelle à l’aide du zero trust, l’utilisation de logiciels appropriés est inévitable. Dans ce cas, les solutions matures de différents fournisseurs offrent une panoplie d’intégrations qui ont fait leurs preuves.
Deuxième principe : la sécurité par l’automatisation
Le mélange d’IT locale et basée sur le cloud a propulsé le besoin d’automatisation au niveau supérieur. Trois aspects essentiels doivent être pris en compte dans ce processus. Premièrement, l’automatisation de l’infrastructure elle-même doit être uniforme et aussi indépendante du cloud que possible. Avec les outils appropriés, la réutilisation et la traçabilité peuvent être mises en œuvre dès la première étape. En outre, cela permet de séparer clairement le « know what » du « know how ». Le travail en réseau prend une signification particulière, car il exige la gestion d’innombrables protocoles de transfert de données et l’intégration de nombreux produits et fournisseurs.
Figure 3 : Le déploiement d’une infrastructure indépendante des fournisseurs fonctionne via une couche d’abstraction.
Avec l’émergence croissante d’applications distribuées ou même de micro-services, ce défi s’intensifie. L’élimination du travail manuel, une implémentation plus rapide des changements et l’utilisation de modèles sont des solutions plutôt simples. Pour le reste,
on ne peut ignorer les approches définies par logiciel et la logique basée sur les API. C’est là le seul moyen de rendre le réseau et sa structure « visibles » ou même modifiables pour les applications réelles.
Image 4 : L’automatisation des réseaux au-delà des différences entre fournisseurs
On pourra ici faire le lien avec le thème de la gestion des identités. Seul un réseau sûr et robuste permet d’assurer la communication nécessaire entre toutes les parties concernées. Il assure également la quasi-impossibilité d’une prise de contrôle ou d’une
perturbation de la connexion.
Troisième principe : la gestion des autorisations
Outre les identités, les autorisations jouent un rôle crucial dans le modèle zero trust. Les termes clés ici sont l’authentification (AuthN) et l’autorisation (AuthZ). Bien qu’étroitement liés, ces mécanismes sont très différents. L’authentification est la preuve
que la personne est bien celle qu’elle prétend être. C’est là que les identités entrent en jeu. L’autorisation est tout aussi importante : que peut faire l’identité validée et qu’est-ce qui lui est interdit ? Dans les cas les plus simples, cela peut être géré
à l’aide de listes d’accès. Mais, en particulier dans le secteur financier, une granularité des permissions est nécessaire et cela ne peut pas être représenté sous forme de liste. Il existe deux types d’implémentations prédominantes pour les autorisations.
Figure 5 : Interaction entre authentification et autorisation
Le premier concerne un système qui gère également l’authentification. L’utilisateur reçoit l’ensemble du service d’une seule source et ne doit pas vérifier la compatibilité des interfaces respectives. Cela dit, une forme de séparation des pouvoirs n’est pas inhabituelle.
Cela signifie que les systèmes d’authentification et d’autorisation sont distincts. L’avantage le plus évident est que l’atteinte à un système n’affecte pas nécessairement l’autre. Toutefois, les différents fournisseurs doivent alors garantir la compatibilité
des interfaces nécessaires, y compris l’assurance qualité et le plan d’urgence.
Dernier point mais non le moindre : les données, les données, les données
Dans le modèle zero trust, les communications sont innombrables, mais les données le sont encore plus. Et dans le monde financier, ces dernières jouent un rôle crucial. La traçabilité, les protocoles, ou même la sécurité des révisions sont essentiels pour satisfaire aux nombreuses exigences réglementaires. Deux défis majeurs se posent :
Tout d’abord, la simple saisie et le stockage de l’énorme quantité de données, parfois sur plusieurs années. L’analyse des informations générées est elle aussi importante. Pour des raisons opérationnelles, l’analyse en temps réel est inévitable et nécessaire. Il
faut pouvoir détecter et traiter presque immédiatement les erreurs, les attaques ou autres comportements illicites.
Le deuxième point concerne la récupération des informations nécessaires aux vérifications réglementaires et autres audits. Traditionnellement, cela se fait en stockant les données à vérifier au moment où elles sont créées. Cela fonctionne bien dans les systèmes statiques et quand les exigences réglementaires ne changent pas. Une autre solution consiste à faire appel à une autorité certifiée pour extraire les informations requises au moment de la révision. Bien que cette solution permette une adaptation quasi permanente aux exigences en vigueur, elle est beaucoup plus difficile à mettre en œuvre dans la pratique.
Mesures recommandées
En matière de sécurité informatique, le zero trust est sans aucun doute une approche incontournable. Compte tenu de la réglementation, le secteur financier joue un rôle de pionnier en la matière. Le système informatique de l’entreprise est tout aussi important que celui du client ou des employés travaillant à distance. Le secteur logiciel a déjà anticipé ce phénomène : les principaux aspects du zero trust disposent déjà de solutions éprouvées et de preuves concrètes. Mais un des maillons les plus faibles de la chaîne de sécurité est et reste l’être humain. En plus de l’automatisation et des outils presque autonomes, seuls la sensibilisation, la formation et les échanges directs y peuvent y remédier. Bien sûr, cela ne concerne pas seulement le secteur financier. Les synergies intersectorielles ne sont pas seulement souhaitables, elles existent déjà.