Le CISO au comité de direction !

La cyber-sécurité ne peut plus être perçue comme un poste de dépense. Le CISO doit rejoindre le comité de direction. La fiabilité du secteur financier en dépend.

Où est le CISO ? Le nombre d’attaques visant des institutions financières a plus que triplé au cours de l’année écoulée. Cette sombre réalité est à mettre sur le compte du caractère organisé des cartels de la cyber-criminalité -une activité qui apparaît comme plus lucrative que le trafic de drogue, avec moins de risques- ainsi que de la nette augmentation des cyber-attaques.

«Le groupe masqué et armé qui pénètre dans les locaux d’une banque, c’est fini, constate Frederick Verduyckt, Senior VCN Solution Engineer, VMware. La cible des assaillants n’est plus tellement le coffre-fort et l’or qu’il contient. C’est l’infrastructure numérique de l’institution financière et, dans la foulée, son détournement. L’idée : en faire un instrument qui se retourne contre les acteurs de la banque. Les ‘nouveaux braqueurs’ ont tiré parti de la pandémie, qui a vu tout le monde passer en mode télétravail, afin d’opérer de manière nettement plus destructrice et sophistiquée que par le passé.»

Des attaques de plus en plus sophistiquées

A l’occasion de la quatrième édition de son rapport Modern Bank Heists, le spécialiste de la sécurité Carbon Black a interrogé quelque 125 CISO (Chief Information Security Officer), en poste auprès des plus grandes institutions financières mondiales, à propos de la manière dont ils vécu les récentes campagnes de cyber-criminalité. Objectif ? Comprendre comment les informations concernant les attaques peuvent améliorer la protection que met en place le secteur financier contre ces nouveaux braqueurs de banque.

Frederick Verduyckt. “La sécurité et la solidité ne pourront être préservées que si l’on octroie davantage de compétences au CISO. 2021 doit devenir l’année qui verra les CISO faire directement rapport aux CEO et obtenir davantage d’autorité et de moyens…”

L”island hopping’ s’impose. 38 % des institutions financières ont enregistré une augmentation de ces attaques se transformant en prise d’otage. Frederick Verduyckt : «Les cyber-criminels perçoivent parfaitement les interdépendances du secteur. Ils comprennent qu’ils peuvent s’immiscer dans le processus de transformation numérique de l’institution financière afin d’attaquer ses clients. Ils exploitent la confiance du client dans la marque au détriment des utilisateurs de la banque en prenant en otage les actifs de la banque.»

On constate par ailleurs une augmentation de 118 % du nombre d’attaques destructrices. «Les activités secrètes de la Russie, de la Chine et des Etats-Unis furent la principale source d’inquiétude pour les institutions financières. Dans le secteur financier, les cyber-criminels ne procèdent généralement à des attaques destructrices qu’en guise d’escalade. L’objectif est de faire disparaître les preuves ou comme élément d’une réaction à une réplique.»

Quand les Etats-nations s’en mêlent…

Troisième tendance, la transformation numérique du délit d’initié. 51 % des institutions financières ont dû faire face à des attaques visant leur stratégie commerciale. «Voilà qui ouvre la voie à la transposition au monde du numérique du délit d’initié. Et, par là, de l’opportunité de prendre une longueur d’avance sur le marché…»

Escalade, enfin, des attaques chrono. 41 % des institutions financières ont constaté une manipulation de ce qu’on appelle l’horodatage. «C’est là quelque chose de préjudiciable dans un secteur qui, de par la nature de ses activités, est particulièrement tributaire de la précision du temps. Etant donné qu’il n’existe aucun moyen d’isoler l’intégrité temporale lorsque cette dernière est associée à un horodatage, ce genre d’attaque est particulièrement dommageable.»

On voit aussi que les cartels de la cybercriminalité deviennent les jouets des Etats-nations qui proposent leur protection et leur toute-puissance. Frederick Verduyckt : «Dans le même temps, les cyber-cartels sont devenus plus puissants que leurs homologues conventionnels du crime organisé…»

La façon de se protéger change

Se protéger exige, aujourd’hui, des stratégiques spécifiques. Pour le spécialiste de VMware, «concentrez-vous sur la sécurité au coeur-même de l’infrastructure. C’est là une démarche plus robuste qu’une protection réseau conventionnelle.»

De la même façon, la chasse aux menaces doit devenir permanente. «Adoptez un rythme hebdomadaire; nourrissez de cette façon votre ‘threat intelligence’. Nous avons été heureux d’apprendre que 48 % des CISO interrogés en avaient déjà fait une habitude.»

Autres conseils : intégrez votre détection et réaction réseau avec vos plates-formes de protection de points d’accès. Pratiquez une gestion ‘just in time’. Et, enfin, investissez dans la protection des lots de traitements.

Le CISO au comité de direction

Les règles du jeu ont changé. Et cela vaut également pour la stratégie de protection du secteur financier, conclut Frederick Verduyckt. «La sécurité et la solidité ne pourront être préservées que si l’on octroie davantage de compétences au CISO. 2021 doit devenir l’année qui verra les CISO faire directement rapport aux CEO et obtenir davantage d’autorité et de moyens. A l’heure où les cyber-attaques se font plus fréquentes, un rôle renforcé pour le CISO est essentiel. Les conclusions du rapport soulignent sans l’ombre d’un doute que le collimateur demeure braqué sur les institutions financières.»

La recommandation que fait VMware de considérer les CISO comme des membres à part entière de la direction s’inscrit dans un contexte factue. Les cyber-risques sont désormais des risques opérationnels qui doivent être gérés dans la totalité du spectre formé par la technologies, les processus et les individus, en ce compris via l’utilisation d’outils financiers tels qu’une cyber-assurance.

«La cyber-sécurité ne peut plus être perçue comme un poste de dépense. La confiance dans la sécurité et la fiabilité du secteur financier en dépendent.»

Télécharger le rapport complet ici.