+
-

Sécurité informatique

Un changement de paradigme est nécessaire

Aujourd’hui, la sécurité périmétrique à elle seule n’est plus suffisante pour protéger les données clients contre les attaques des pirates informatiques. Les banques, comme les autres entreprises, ont besoin de solutions de sécurité informatique entièrement nouvelles leur permettant de sécuriser les applications cloud et Web. Les nouvelles solutions de sécurité centrées sur les données protègent celles-ci indépendamment de leur emplacement de stockage et permettent d’utiliser le cloud de manière sûre et conforme à la réglementation sur la protection des données.

Le 13/09/2019
Stéphane de Saint Albin

Les données clients et les données transactionnelles sont l’une des principales cibles des pirates informatiques. Les données à caractère personnel font à cet égard l’objet d’une protection toute particulière, notamment depuis que le Règlement général sur la protection des données (RGPD) est entré en vigueur au niveau européen. Des sanctions sévères sont encourues en cas de pertes de données ou d’infractions à la loi. Les sociétés émettrices de cartes de crédit sont en outre tenues de respecter le standard dit PCI-DSS (norme de sécurité de l’industrie des cartes de paiement). Cette norme comporte une série de règles contraignantes pour tous ceux qui traitent, stockent ou transmettent des informations relatives aux cartes de crédit.

Mais la réalité est bien souvent toute autre : de plus en plus de données sensibles sont elles aussi stockées dans des environnements cloud et des outils de collaboration, tels que Microsoft® Office 365™ ou SharePoint, sont utilisés, y compris dans le secteur financier. Les mesures de sécurité appliquées jusqu’ici sont insuffisantes pour garantir la sécurité des données dans de tels services cloud. Car la « sécurité périmétrique [1] » classique opère une distinction entre réseaux publics et réseaux d’entreprises. Mais si des intrus indésirables parviennent à pénétrer dans les systèmes, la voie leur est alors ouverte.

Les données restent en France

La sécurité centrée sur les données offre une protection à l’intérieur des systèmes. Les données se sécurisent elles-mêmes. Elle peut être mise en œuvre en combinant virtualisation, chiffrement et fragmentation des données. Lors de la virtualisation, les métadonnées d’un document sont chargées sous forme de caractères génériques dans le cloud. Le contenu proprement dit est chiffré et découpé en fragments avant d’être stocké, éventuellement même hors du cloud, dans des emplacements configurables. Les fragments sont sauvegardés dans un système configurable, à l’aide d’un module de stockage défini par logiciel (Software Defined Storage). Les données chiffrées et fragmentées peuvent ainsi être distribuées vers les destinations souhaitées (comme par exemple vers le propre centre de traitement de données) ou être sécurisées auprès de différents fournisseurs de services cloud.

Ainsi, indépendamment de la solution cloud utilisée, la banque peut décider en toute autonomie où seront sauvegardées les données, et que les documents originaux et les données demeureront par exemple en France. Seuls les collaborateurs disposant des droits d’accès autorisés ont la possibilité de télécharger le document. Ce n’est qu’au moment du téléchargement que le document se recompose à nouveau à partir de ses différents éléments et qu’il est déchiffré.

Attaques avec rançon

La fragmentation physique permet de protéger particulièrement bien les données contre les attaques et les accès non autorisés de tiers. Le document original est en effet stocké uniquement sous la forme de fragments disséminés. Le stockage peut être configuré indépendamment des paramètres par défaut du fournisseur de cloud public, de façon à ce que les données ne quittent pas la France. Les exigences de conformité internes ainsi que les règles strictes de protection des données et de sécurité édictées par le RGPD peuvent ainsi être satisfaites de manière efficace, sans pour autant devoir renoncer aux avantages d’un cloud public.

Contre les attaques combinant une « Distributed-Denial-of-Service Attack (DDoS) » (attaque par déni de service) et une rançon, les banques ont elles aussi besoin de nouvelles solutions de sécurité informatique. Le principe de ces attaques est le suivant : les pirates informatiques menacent tout d’abord de lancer une attaque dans le cas où une certaine somme d’argent ne serait pas versée. Une telle attaque DDoS peut avoir des conséquences graves.

Arrêt des systèmes

Les criminels envoient à cette occasion un déluge de requêtes au réseau de la victime. Le volume de messages entrants entraîne un arrêt forcé du système ainsi que de tous les services disponibles, c’est-à-dire également du site Web et de la plate-forme bancaire en ligne. Répondre à une seule attaque rançon DDoS peut coûter plusieurs centaines de milliers d’euros aux entreprises du secteur financier. Mais le plus grand préjudice est avant tout celui subi en termes d’image : lorsque le site Web d’une banque est indisponible et que les clients n’ont pas la possibilité d’accéder à leur banque en ligne, cela ne donne pas l’impression d’être un précurseur dans le domaine des processus bancaires numériques.

La sécurité applicative

Les pare-feu « réseau » n’offrent pas à eux seuls une protection suffisante ici. Un pare-feu applicatif Web « Web Application Firewall » permet par contre de repousser les attaques visant par exemple les protocoles HTTP et HTTPS. Un pare-feu installé au niveau de l’application analyse l’échange de données entre les clients et les serveurs Web. Si certains contenus sont classés comme suspects, l’accès via le pare-feu d’applications Web est alors bloqué. Celui-ci permet notamment de se protéger contre les attaques dites d’injection (attaques par injection de code SQL ou de commandes), les failles « Cross Site Scripting » (XSS), le « Session Hijacking » (vol de session) et d’autres types d’attaques Web. Un modèle dit de scoring est mis en place afin de bloquer les attaques DDoS. Si l’on prend par exemple comme valeur seuil le nombre de demandes qu’une seule adresse IP est autorisée à transmettre au cours d’une période définie, toutes celles dépassant cette limite sont alors stoppées.

La sécurité des API

La directive sur les services de paiement 2 (DSP 2) vise à sécuriser les paiements numériques et à élargir l’écosystème financier ; les interfaces de programmation applicative (API) en sont le moyen. Désormais, les banques sont mandatées pour proposer à des tiers des API permettant d’interagir avec eux en donnant l’accès aux données des comptes de paiement des clients, à condition qu’ils aient donné leur autorisation. À partir du 14 septembre 2019, les standards réglementaires techniques (RTS) s’appliquent, obligeant les API d’accès au compte et d’initiation de paiement à être validés par l’autorité compétente .

Au fur et à mesure que les offres financières deviennent plus sophistiquées, les banques devront regarder au-delà des questions d’intégration. L’API devra se connecter à ses anciens systèmes en toute sécurité afin d’assurer les niveaux de confidentialité nécessaires. L’absence de normes API mondiales est un facteur qui complique les choses, tandis que les FinTechs les utilisent déjà comme un avantage concurrentiel. La sécurité et la protection des clients sont primordiales dans un marché régi par les API. Là où les banques ont historiquement été les principales responsables de leur propre sécurité, le scénario compétitif introduit par la PSD2 change les règles du jeu pour tout le secteur bancaire. La sécurité applicative généraliste peut ne plus être suffisante pour contrer le risque toujours croissant d’attaques des API.

Navigateur virtuel

Pour pouvoir accéder à un ordinateur, il suffit souvent aux pirates informatiques que les collaborateurs surfent, de manière prétendument non dangereuse, sur Internet. Le plus grand talon d’Achille de toute architecture de sécurité informatique est en effet le navigateur. Les barrières de sécurité traditionnelles, telles que les logiciels antivirus, n’offrent qu’une protection limitée car de nombreux virus demeurent non détectés. Les passerelles filtrantes à base de « proxy », de type Web Gateway, permettent d’éviter les tentatives de navigation internet dangereuses ou illégales. Mais l’utilisation d’un « navigateur virtuel » est la solution la plus sûre pour éviter tout risque d’infection lié au surf sur Internet. En effet, cette technologie de sécurité de pointe a recours à la quarantaine « numérique ». Les virus sont isolés avant même d’être exécutés. Un environnement de navigation virtuel, basé sur un logiciel, est en outre créé à cette fin. Dans la majorité des cas, le navigateur isolé est déconnecté du dispositif terminal, réduisant ainsi la surface d’exposition aux attaques provenant d’Internet.

Les environnements de navigation entièrement virtualisés offrent la meilleure protection contre les assaillants extérieurs. Cela permet en effet aux collaborateurs de travailler indépendamment du système d’exploitation hôte du client mais aussi de l’Intranet. Le système d’exploitation et le navigateur n’ont ainsi aucun accès direct au matériel informatique, à aucun moment, mais uniquement à l’environnement virtuel, lequel agit comme un mur de protection : les virus ou les chevaux de Troie invasifs demeurent piégés dans cet environnement et n’ont pas la possibilité de se propager sur l’ordinateur ou le réseau local. Les attaques, de quelque nature que ce soit, sur le système hôte Windows sont inopérantes. Le redémarrage du navigateur s’effectue dans un environnement exempt de tout virus. La microvirtualisation suit également la même approche, mais ici, les menaces déjà infiltrées dans le noyau ne peuvent pas être éliminées. Les virus peuvent être présents lors d’un redémarrage.

La virtualisation complète permet la diversité

Autre avantage : la virtualisation complète permet une diversité au niveau des systèmes d’exploitation, de sorte que d’autres systèmes invités sont également autorisés. En installant un hyperviseur sur le système hôte, il est alors possible de mettre en place un système d’exploitation propre et complet. Le navigateur peut par exemple être basculé vers un environnement Linux. Le fait que deux systèmes d’exploitation fondamentalement différents doivent être piratés en même temps permet de réduire notablement les chances de succès des attaques.

Les solutions informatiques de pointe sont des outils absolument incontournables pour les établissements financiers souhaitant se protéger des pirates informatiques. Le facteur « humain » demeure toutefois toujours un facteur de risque. Les collaborateurs doivent donc être sensibilisés à cette problématique par le biais de formations, afin d’être capables d’identifier les courriels suspects et de prévenir les attaques d’hameçonnage (phishing). Grâce à ces mesures, une banque peut se protéger des dangers croissants pesant sur son infrastructure informatique. Elle est ainsi en mesure, non seulement, de respecter les réglementations et les normes fondamentales, mais aussi d’accroître considérablement sa compétitivité.

 

[1] La sécurité périmétrique consiste à tracer une ligne de défense entre l’infrastructure interne et le monde extérieur.

L'auteur

Séminaires

Sommaire du dossier

Sur le même sujet