Pourquoi des banques adoptent une approche moderne de la cybersécurité : le modèle Confiance Zéro

Aujourd’hui, de nombreuses banques ont toujours recours à une approche de type « château entouré de douves », également appelée « périmètre de sécurité » ou « sécurité périmétrique », pour protéger leurs données contre des attaques malveillantes. À l’instar des châteaux médiévaux protégés par d’épaisses murailles de pierre, des douves et autres ponts-levis, les banques qui optent pour une sécurité périmétrique investissent lourdement dans la fortification de leur périmètre réseau à grand renfort de pare-feu, serveurs proxy, pots de miel et autres outils de prévention des intrusions. Un périmètre de sécurité surveille les points d’entrée et de sortie du réseau en vérifiant les paquets de données et l’identité des utilisateurs qui entrent et sortent du réseau, estimant ainsi que l’activité à l’intérieur du périmètre renforcé est relativement sûre.

Toutefois, certaines institutions financières avisées dépassent désormais ce paradigme en adoptant une approche moderne de la cybersécurité : le modèle Confiance Zéro. Le principe central d’un modèle Confiance Zéro est de ne faire confiance à personne a priori. Chaque personne ou appareil, interne ou externe, tentant d’accéder à des ressources doit préalablement faire l’objet d’une vérification rigoureuse.

Si le concept de périmètre de sécurité reste important, au lieu d’investir de plus en plus dans la consolidation des murailles et l’élargissement des fossés, un modèle Confiance Zéro gère les accès aux identités, aux données et aux appareils au sein du périmètre de façon plus nuancée. Ainsi, qu’une personne interne agisse de manière malveillante ou négligente, ou que des assaillants masqués tentent de percer les murailles, aucun accès automatique aux données n’est accordé.

Limites de l’approche « château entouré de douves »

En ce qui concerne la sauvegarde des ressources numériques, l’approche du château ceint de douves présente des limites critiques, car la manière de répondre aux cybermenaces a évolué. Les grandes organisations, dont les banques, gèrent des réseaux éparpillés de données et d’applications, auxquels des employés, des clients et des partenaires accèdent localement ou en ligne. Cela complique la protection des périmètres. Et même si la douve empêche efficacement les ennemis de pénétrer dans le château, elle ne peut rien contre des utilisateurs d’identités compromises ou d’autres menaces internes tapies dans les murs du château.

Les pratiques ci-dessous sont autant de sources d’exposition pour les banques qui s’appuient sur une approche périmétrique de la sécurité :

  • Examen annuel des droits d’accès du personnel aux applications.
  • Politiques de droits d’accès ambiguës et incohérentes dépendant du bon vouloir du responsable et d’une gouvernance insuffisante de la rotation du personnel.
  • Surutilisation par le service informatique de comptes disposant de privilèges administratifs.
  • Données client stockées dans plusieurs partages de fichiers, sans visibilité claire de qui a accès à ceux-ci.
  • Confiance excessive dans les mots de passe pour authentifier les utilisateurs.
  • Absence de classification et de communication des données pour comprendre où se trouvent les données.
  • Utilisation fréquente de clés USB pour transférer des fichiers contenant des données extrêmement sensibles.

Comment un modèle Confiance Zéro arme les banquiers et les clients

Les avantages de l’approche Zéro confiance sont amplement documentés, et un nombre croissant d’exemples concrets montrent qu’elle aurait pu empêcher des cyberattaques sophistiquées. Cependant, de nombreuses banques continuent d’adhérer à des pratiques non conformes aux principes de la Confiance Zéro.

L’adoption d’un modèle Confiance Zéro peut aider les banques à renforcer leur sécurité, de façon à pouvoir soutenir en toute confiance des initiatives offrant davantage de flexibilité aux employés et aux clients. Par exemple, les dirigeants du secteur bancaire aimeraient pouvoir permettre à leurs employés en contact avec la clientèle, tels que les chargés de clientèle et les conseillers financiers, de rencontrer des clients à l’extérieur. Aujourd’hui, de nombreuses institutions financières promeuvent cette agilité géographique à l’aide d’outils analogiques, tels que des impressions sur papier ou des vues statiques de leurs conseils. Désormais, cependant, tant les employés que les clients attendent une expérience plus dynamique basée sur des données en temps réel.

Les banques qui s’appuient sur une approche périmétrique de la sécurité hésitent à diffuser des données en dehors du réseau physique. De ce fait, leurs banquiers et conseillers financiers ne peuvent exploiter les modèles dynamiques de stratégies d’investissement éprouvées et disciplinées que si les réunions avec leurs clients ont lieu dans des locaux de la banque.

Historiquement, il était fastidieux pour ces banquiers et conseillers en déplacement de partager des mises à jour de modèles en temps réel ou de collaborer activement avec d’autres banquiers ou marchands, du moins sans VPN. Pourtant, cette agilité est un facteur important pour la prise de décisions d’investissement saines et la satisfaction des clients. Un modèle Confiance Zéro permet à un responsable de la relation client ou à un analyste de tirer parti d’informations provenant de divers fournisseurs de données, de les synthétiser avec leurs propres modèles, et de gérer de manière dynamique différents scénarios en tout temps et en tout lieu.

La bonne nouvelle est que nous entrons dans une nouvelle ère de sécurité intelligente, optimisée par le cloud et l’architecture Confiance Zéro, capable de rationaliser et de moderniser la sécurité et la conformité des banques.

Microsoft 365 aide à transformer la sécurité bancaire

Microsoft 365 permet aux banques de prendre des mesures immédiates pour instaurer une sécurité Confiance Zéro en déployant trois stratégies clés :

  • Identité et authentification : avant tout, les banques doivent s’assurer que les utilisateurs sont bien ce qui ils prétendent être et de leur octroyer des accès en fonction de leurs rôles. Azure Active Directory (Azure AD) permet aux banques d’utiliser une authentification unique (SSO) pour permettre aux utilisateurs authentifiés de se connecter aux applications en tout lieu, de sorte que les employés itinérants puissent accéder aux ressources en toute sécurité sans perte de productivité.

Les banques peuvent également déployer des méthodes d’authentification fortes, telles que l’authentification à deux facteurs ou l’authentification multifacteur sans mot de passe, ce qui peut réduire le risque de violation de 99,9 %. Microsoft Authenticator prend en charge les notifications Push, les codes d’accès à usage unique et la biométrie pour toutes les applications Azure AD connectées.

Pour les appareils Windows, les employés de banque peuvent utiliser Windows Hello, une fonctionnalité de reconnaissance faciale sécurisée et pratique pour la connexion aux appareils. Enfin, les banques peuvent utiliser un accès conditionnel Azure AD pour protéger les ressources contre des demandes suspectes en appliquant des stratégies d’accès appropriées. Microsoft Intune et Azure AD opèrent ensemble pour s’assurer que seuls des appareils gérés et conformes puissent accéder aux services Office 365, dont le courrier et les applications locales. Intune vous permet également évaluer l’état de conformité des appareils. La stratégie d’accès conditionnel est appliquée en fonction de l’état de conformité de l’appareil au moment où l’utilisateur tente d’accéder aux données.

Infographie illustrant l’accès conditionnel. Signaux (emplacement de l’utilisateur, appareil, risque en temps réel, application), vérification de chaque tentative d’accès (autoriser l’accès, exiger une authentification multifacteur ou bloquer l’accès), des applications et des données.

Illustration d’un accès conditionnel.

  • Protection contre les menaces : Microsoft 365 permet également aux banques de renforcer leur capacité à protéger, à détecter et à contrer des attaques grâce à la sécurité intégrée et automatisée de la solution Protection Microsoft contre les menaces. Elle tire parti d’une des principales sources de signaux de menace disponibles au monde, le Microsoft Intelligent Security Graph, ainsi que d’une automatisation avancée optimisée par l’intelligence artificielle (IA) pour améliorer l’identification et le traitement des incidents, permettant ainsi aux équipes de sécurité de contrer les menaces avec précision, efficacité et promptitude. Le Centre de sécurité Microsoft 365 fournit une plateforme centralisée et un espace de travail spécialisé pour gérer et tirer pleinement parti des solutions de sécurité intelligentes de Microsoft 365 pour la gestion des identités et des accès, la protection contre les menaces, la protection des informations et la gestion de la sécurité.

Capture d’écran du tableau de bord du Centre de sécurité Microsoft 365.

Centre de sécurité Microsoft 365.

  • Protection des informations : si les identités et les appareils sont les principaux vecteurs de vulnérabilité en lien avec les cyberattaques, les principaux objectifs des cybercriminels sont les données. Microsoft Information Protection permet aux banques d’améliorer la protection de leurs informations sensibles en tout lieu. Microsoft 365 permet aux clients 1) d’identifier et de classer leurs données sensibles, 2) d’appliquer des stratégies de protection flexibles et 3) de surveiller et protéger les données sensibles exposées à un risque.

Capture d’écran de Microsoft Azure Information Protection exigeant une justification pour un courrier classifié.

Exemple de scénario de classification et de protection.

Simplifiez la gestion de la sécurité avec un modèle Confiance Zéro

Microsoft 365 permet de simplifier la gestion de la sécurité dans une architecture moderne Confiance Zéro, offrant la visibilité, l’échelle et les renseignements nécessaires pour lutter contre la cybercriminalité.

Lorsque vous envisagez de protéger votre « château » moderne, un environnement Confiance Zéro est optimal pour contrer les menaces de cybersécurité modernes. Un tel environnement nécessite une surveillance en temps réel de qui accède à quoi, où et quand, ainsi que de la légitimité de cet accès.

Les fonctionnalités de sécurité et de conformité de Microsoft 365 aident les organisations à opérer des vérifications avant de faire confiance à un utilisateur ou à un appareil. Microsoft 365 propose également une solution complète de travail d’équipe et de productivité. Globalement, Microsoft 365 offre une solution complète pour aider les cadres bancaires à se concentrer sur leurs clients et sur l’innovation.

Veuillez noter que le contenu inclus dans ces billets de blog décrit des fonctionnalités pouvant varier selon le marché. Pour plus d’informations sur les offres de produit spécifiques de votre marché, consultez la page Microsoft 365, Office 365, Windows 10 ou Enterprise Mobility + Security.
Il se peut que le contenu de ces articles ne soit pas disponible dans votre langue.