Par Nick Lowe, VP EMEA chez Tufin
Le rythme de la transformation numérique et de l’explosion de nouvelles applications dans le secteur bancaire a posé d’énormes défis. Pour les équipes de sécurité chargées de gérer les politiques de sécurité réseau au niveau applicatif, un manque de visibilité peut entraîner des problèmes de sécurité et de conformité importants. La question fondamentale de ce qui peut communiquer avec quoi, à travers le réseau, est une question à laquelle beaucoup auraient du mal à répondre de manière globale.
C’est pourtant la question que les banques doivent maîtriser pour se conformer aux réglementations de la BCE telles que publiées dans son guide d’évaluation de la sécurité des paiements sur Internet. Ces exigences couvrent un éventail de mesures de sécurité, notamment : la capacité de démontrer que l’accès aux applications et aux flux de travail est limité à ceux qui en ont besoin pour leur travail ; la certification d’une bonne mise en œuvre et d’une piste d’audit complète et infalsifiable couvrant toute la période examinée.
La collecte et la présentation manuelles de ces informations aux auditeurs présentent plusieurs défis importants pour les banques ; et nombre de celles qui tentent de le faire à la main sont susceptibles d’échouer en raison de la complexité et du besoin en ressources de la tâche, le tout aggravé par l’exigence d’une piste d’audit.
Cependant, l’ensemble de ces défis peut être relevé grâce à l’automatisation. En utilisant un système complet et automatisé de découverte, de fourniture et de vérification des politiques de sécurité qui s’intègre dans les flux d’autorisation et d’accès, les banques seront en mesure de présenter des informations précises et opportunes concernant la justification commerciale des politiques de sécurité et la façon dont tous les actifs sont conformes et sont restés conformes tout au long de la période concernée.
La course à la technologie
Les cadres de haut niveau des banques traditionnelles s’efforcent aujourd’hui à innover par le biais de la technologie. Ils voient le secteur bancaire passer d’un modèle de point de vente, de contact personnel, de brique et de mortier à un modèle très agile et toujours disponible pour les clients en déployant des solutions fintech. Ces institutions plus anciennes veulent être en mesure de mieux concurrencer les banques numériques concurrentes qui n’ont pas d’énormes sommes d’argent et de ressources engagées dans l’exploitation de succursales ou même de grands bureaux. Il en résulte que ces petites banques sont en mesure de fournir les mêmes services aux clients à une fraction du coût de leurs rivales plus anciennes et plus établies.
Cependant, plus les topologies de réseau des banques traditionnelles se complexifient à mesure qu’elles évoluent vers des modèles davantage basés sur la technologie, plus le risque augmente que leurs systèmes soient exposés et compromis par des menaces. C’est précisément la raison pour laquelle la BCE a décidé de mener ces audits.
Les sanctions applicables en cas de non-respect de ces audits ne sont pas encore claires. Cependant, lorsqu’un audit détermine que des applications ne s’exécutent pas en toute sécurité, les auditeurs peuvent donner à l’organisation le temps de résoudre le problème ou exiger que l’application soit mise hors service jusqu’à ce que le problème soit résolu. Cette dernière option pourrait avoir de graves conséquences sur l’entreprise si l’application en question répond à une fonction clé. Aucune banque ne voudra courir le risque de perdre des fonctionnalités pour cause de non-conformité à un audit.
Assurer la conformité sans automatisation est une tâche difficile
Bien que l’exigence de vérification de la sécurité informatique des banques n’ait commencé que cette année, la BCE a consulté sur le processus depuis avant 2014. Bien qu’elles aient peut-être eu le temps de planifier, de nombreuses structures ont sous-estimé la complexité de la tâche.
Ces banques pensaient que si elles avaient une liste définie de politiques contrôlant la connectivité réseau à leurs applications et qui était autorisé à y accéder, cela satisferait alors la BCE. Mais les banques ont découvert que le contrôle de l’accès est devenu complexe. Pour être conformes, les banques doivent entreprendre plusieurs actions différentes, y compris conserver une documentation de chaque demande d’accès, sa justification, son propriétaire commercial et si celle-ci a été approuvée.
Chaque demande d’accès doit également être rattachée à son pare-feu ou à sa règle d’appareil. Ces règles doivent également avoir un propriétaire commercial défini, et toutes doivent être confirmées comme étant conformes aux normes de l’entreprise.
Il doit également y avoir un niveau élevé de contrôle sur les droits d’accès à la fois des utilisateurs humains et des applications. Les applications qui ont été modifiées ou mises hors service devraient voir leur accès supprimé en temps opportun, tandis que les droits des utilisateurs devraient être régis par une approche de moindre privilège – les utilisateurs ne devraient avoir accès qu’aux ressources requises par leur rôle.
Enfin, il doit y avoir séparation des tâches (la personne qui demande un changement ne doit pas être celle qui l’approuve ou l’implémente), et une piste d’audit infalsifiable doit être mise en œuvre pour capturer toutes les modifications apportées sur une période définie.
Le problème est d’autant plus complexe par le fait que des centaines, voire des milliers de stratégies qui définissent l’accès sont imbriquées et sont constamment modifiées par d’autres utilisateurs au sein de l’organisation.
Dans les faits, les banques ont créé une toile géante de centaines de politiques et d’applications interconnectées, dans laquelle si un élément venait à être modifié, cette modification pourrait entrainer des répercussions ailleurs dans le système. Aux fins de l’audit, cette toile doit être cartographiée et présentée d’une manière qui peut être facilement comprise afin de démontrer la conformité.
Initialement, certaines banques pensaient que cela pouvait être géré par le biais de feuilles de calcul, tandis que d’autres pensaient que le processus pourrait être géré à l’aide d’outils de gestion des données, tels que Splunk. Cependant, ceux-ci doivent être maintenus en permanence et ne fournissent qu’une vue instantanée à des fins d’audit. Outre cela, ce travail peut représenter un nombre important d’heures de travail chaque année. De ce fait, la rationalisation espérée par l’introduction de solutions technologiques est considérablement réduite.
Comment l’automatisation peut aider
La plupart des banques reconnaissent aujourd’hui que l’automatisation est la clé pour mener à bien ces audits. Les solutions automatisées examineront instantanément une demande de changement par rapport aux normes pertinentes pour voir si elles sont conformes. Cela créera instantanément un ticket qui indiquera si le changement est à faible risque, permettant ainsi à l’équipe de sécurité d’agir en conséquence. Dans le cas où l’action est bénigne, ces demandes peuvent être approuvées immédiatement. Il y aura des exceptions qui nécessiteront une analyse supplémentaire avant de pouvoir être approuvées. Enfin, dans les cas où il existe un conflit majeur ou d’une demande d’accès à haut risque, l’équipe de sécurité pourra empêcher que cette action se produise et demander à l’utilisateur de reconsidérer et de trouver une autre option.
L’automatisation permet à tout moment à l’équipe de sécurité de montrer aux auditeurs l’état actuel de leur gestion des politiques. Ce qui pourrait prendre plusieurs semaines ou mois à réaliser manuellement, peut maintenant être réalisé en quelques minutes. Cela créera une liste de demandes d’accès qui sont conformes, approuvées ou qui sont marquées comme exception.
Si l’objectif premier des banques pour passer à un modèle davantage basé sur la technologie est de devenir plus agile et rationalisé, il est logique que leurs processus d’audit contribuent à atteindre cet objectif. Les avantages s’étendront au-delà de l’audit avec une portée couvrant la productivité, les économies de coûts associées et l’amélioration de la sécurité. Une plus grande utilisation des technologies d’orchestration et d’automatisation des politiques de sécurité réseau permet aux banques d’effectuer les audits de la BCE en appuyant simplement sur un bouton.