L'open banking représente l'avenir : 5 façons de sécuriser votre réseau
Le partage des données financières entre applications change la façon dont les consommateurs économisent, gèrent et dépensent leur argent. Découvrez comment les institutions financières peuvent sécuriser la prochaine génération de services bancaires.
L'open banking transforme le paysage des services financiers. Ce terme est devenu un raccourci pratique pour désigner le partage des données financières via des interfaces de programmation d'application (API). Cette mutation profonde permet de proposer plus de services aux clients, comme les consultations sur un appareil mobile, les remboursements de prêt en ligne et les assistants numériques pour la gestion du budget, reposant sur l'intelligence artificielle (IA).
Cette flambée d'innovation représente une formidable opportunité pour les institutions financières qui peuvent s'appuyer sur les données client pour les ventes croisées et les offres de produits financiers sur mesure. Toutefois, l'architecture ouverte inhérente à l'open banking ouvre également la voie à de nouveaux défis en termes de sécurité. Si l'on ajoute à cela les règles de confidentialité imposées par la législation sur la protection des données, comme le Règlement général sur la protection des données (GDPR) de l'Union européenne, il est clair que les professionnels InfoSec du secteur bancaire ont vraiment fort à faire pour trouver des moyens efficaces de défendre leur surface d'attaque qui ne cesse de croître.
Open banking : 5 façons de sécuriser votre réseau
Voici cinq principes de base qui peuvent aider les institutions financières à gérer les risques de sécurité liés à l'open banking.
- Allez au-delà du périmètre traditionnel et évaluez en continu l'intégralité de votre environnement. L'émergence des nouvelles initiatives d'open banking entraîne des angles morts de la Cyber Exposure que les attaquants peuvent exploiter. Ils scannent de nombreux environnements afin de trouver le meilleur moyen de s'infiltrer, alors que la plupart des programmes de gestion des vulnérabilités en place surveillent seulement les environnements IT traditionnels. Autrement dit, votre équipe passe totalement à côté des vulnérabilités liées aux aspects les plus dynamiques de votre surface d'attaque, comme les assets cloud ou OT (technologies opérationnelles). Pour obtenir davantage de visibilité, les équipes de sécurité peuvent adopter des solutions de gestion des vulnérabilités robustes et flexibles qui permettent d'évaluer en continu tous les types d'assets, peu importe où ils se trouvent.
- Obtenez une vision globale afin de protéger vos assets les plus critiques. Les cadres de conformité et les modèles zéro confiance constituent de bons points de départ, mais aucune de ces approches n'offre une solution de sécurité complète. Seule une stratégie multidimensionnelle vous permettra de protéger vos initiatives d'open banking. Une utilisation stratégique de la gestion des accès à privilèges peut vous aider à restreindre l'accès aux systèmes critiques et aux données internes sensibles. La résolution des mauvaises configurations d'Active Directory contribue à contrer les chemins d'attaque dans l'éventualité où un attaquant réussirait tout de même à obtenir un accès. En mettant à la disposition des administrateurs des « jump boxes », autrement dit des postes de travail sécurisés, vous pouvez gérer l'accès des appareils et l'exécution des tâches dans les zones de sécurité spéciales ou les environnements non fiables. Comme l'open banking crée un environnement informatique plus complexe et distribué, ces mesures et d'autres moyens de protection peuvent limiter les possibilités des attaquants qui cherchent à cibler et dérober les informations d'authentification des administrateurs, ce qui vous aide à mieux protéger votre établissement.
- Concentrez-vous en premier sur les principaux risques pour vos assets les plus critiques. L'open banking exacerbe la crise de la priorisation qui sévit déjà dans de nombreuses équipes de cyber-sécurité. Les responsables sécurité ne parviennent pas à prioriser efficacement les vulnérabilités critiques. Selon Tenable Research, près de 30 % des vulnérabilités ne sont jamais traitées, et le délai médian entre l'évaluation et la remédiation est de 60 jours, même pour les vulnérabilités critiques qui touchent les grandes entreprises. En s'appuyant sur la threat intelligence, les recherches sur les vulnérabilités et les données sur le risque, les cyber-défenseurs peuvent distiller les risques les plus importants sur toute leur surface d'attaque distribuée et se concentrer sur les 3 % de vulnérabilités les plus susceptibles d’être exploitées.
- Gérez proactivement le risque qui concerne tous les partenaires tiers. Chaque investissement technologique a des répercussions à long terme sur la sécurité de votre environnement. Dans le domaine de l'open banking, il est primordial de sécuriser les applications connectées et SaaS (Software-as-a-Service) via des agents de sécurité des accès au cloud (CASB, Cloud Access Security Broker (CASB). Ces outils gèrent les politiques de conformité et d'accès dans toute la banque et au niveau des fournisseurs externes. Ils prennent également en charge la surveillance de la configuration, ainsi que la prévention des pertes de sécurité et de données. De plus, vous pouvez utiliser des outils complémentaires pour contrôler la sécurité du cloud et vous assurer ainsi de leur efficacité. Employez-vous à intégrer toutes vos applications dans une seule solution centralisée de gestion des accès et des identités. Cela vous aidera à protéger les données client et vous procurera une plateforme centrale pour la surveillance de la conformité.
- Œuvrez pour plus de transparence afin de renforcer la confiance. L'open banking nécessite plus de transparence en ce qui concerne la manière dont les entreprises utilisent les données client. Cette philosophie est incluse dans de récentes mesures législatives sur la vie privée telles que le California Privacy Rights Act et la Lei Geral de Proteção de Dados du Brésil. Parmi les dernières mesures, beaucoup s'inspirent du RGPD de l'Union européenne et de la directive PSD2 (Payment Services Directive 2. Les meilleures pratiques veulent que l'on renforce la confiance des clients en faisant preuve de transparence sur la façon dont les données sont collectées, stockées et utilisées, ce qui leur permet de faire des choix en connaissance de cause. Les clients peuvent ainsi tirer profit des avantages de l'open banking en ayant la satisfaction de garder le contrôle sur leurs données personnelles.
Conclusion
L'ère de l'open banking ouvre un accès sans précédent à d'énormes quantités de données client, mais c'est également une aubaine pour les cybercriminels. Pour garder la confiance de leurs clients et éviter d'éventuelles lourdes sanctions en cas de violation de données, les institutions financières doivent trouver une approche efficace pour gérer l'évolution des menaces qui pèsent sur la sécurité. Avec une surveillance continue de tous les assets, des évaluations rigoureuses des faiblesses de la sécurité et la limitation des vecteurs d'attaque potentiels, elles réussiront à conserver une longueur d'avance sur les attaquants et à protéger leur modèle bancaire numérique du futur.
Pour en savoir plus
- Webinaire à la demande : Les défis de sécurité auxquels font face les institutions financières d'aujourd'hui
- Cas d'utilisation : Sécuriser les institutions financières : de l'open banking et du cloud computing aux innovations de demain
- Présentation de la solution : Pourquoi les 10 plus grandes institutions financières font confiance à Tenable pour la gestion des vulnérabilités basée sur le risque
Articles connexes
- Financial Services
- Legislation
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning