< BLOG

25 Nov, 2020
Arctic Wolf

Sept pratiques recommandées fondamentales pour les entreprises de services financiers en matière de cybersécurité

Selon l’IBM X-Force Threat Intelligence Index 2020, pour la quatrième année consécutive, le secteur des finances et des assurances a été le secteur d’activité ayant connu le plus grand nombre de cyberattaques.

La raison ne fait aucun mystère : les hackers vont là où il y a de l’argent.

Selon le 2019 Data Breach Investigations Report de Verizon, les gains financiers ont été le motif le plus courant des violations de données au sein de tous les secteurs d’activité, avec 71 % des cas motivés par l’aspect financier. Dans le secteur de la finance et des assurances, le chiffre était encore plus élevé : 88 %.

Par ailleurs, la majorité des entreprises de taille moyenne (250 à 499 salariés) selon l’enquête de Cisco ont fait l’expérience d’une violation, indiquant que les entreprises de moindre envergure sont une cible de plus en plus attrayante. L’enquête a également révélé qu’un cinquième de ces victimes a déclaré que la violation a coûté plus d’un million de dollars. Les petites entreprises ne sont pas les seules en danger, les grandes entreprises du monde entier sont également confrontées à des attaques en plus grand nombre et à plus grande échelle.

Pour éviter de faire partie des statistiques des attaques, les institutions financières doivent toujours suivre ces pratiques recommandées de cybersécurité :

Pratiques recommandées de sécurité pour les institutions financières

1. Établissez un cadre de sécurité formel

Il existe actuellement plusieurs cadres de sécurité principaux pour aider les institutions financières à gérer plus efficacement le cyber-risque. Ceux-ci comprennent :

Le National Institute of Standards and Technology (NIST) Cybersecurity Framework :

Ce cadre couvre les meilleures pratiques dans cinq domaines clés de la sécurité des informations : identification, protection, détection, réponse et restauration.

Le Federal Financial Institutions Examination Council (FFIEC) Information Technology Examination Handbook :

Ce manuel fournit une liste exhaustive des consignes de sécurité qui couvre tous les aspects, depuis la protection des applications jusqu’à la gestion de leur fin de vie en passant par la gestion des fournisseurs et la règle du privilège minimum.

Utilisez les directives NIST et FFIEC pour commencer à établir des capacités de sécurité de base qui facilitent les processus de conformité aux normes GLBA, PCI DSS et SOX.

2. Dotez vos employés des connaissances requises

Les logiciels malveillants prolifèrent en grande majorité via des fraudes d’ingénierie sociale en ligne qui manipulent des utilisateurs sans méfiance pour ouvrir grand la porte aux hackers.

L’un des exemples les plus communs est le logiciel malveillant sans fichier, ou sans empreinte. Ces souches sont efficaces pour contourner les pare-feu puisqu’elles profitent des applications existantes plutôt que d’essayer d’introduire une charge utile à travers un filtre web.

Un utilisateur peut recevoir un e-mail d’un expéditeur inconnu (ou pire, d’un contact connu dont le compte a été usurpé) contenant une feuille de calcul Excel ou un document Word semblant légitime. Lors du téléchargement de cette pièce jointe, le destinataire peut être invité à activer les macros, qui sont des scripts légitimes utilisés pour exécuter certaines tâches.

Mais en réalité, ces macros vont émettre une commande vers un serveur distant en vue de télécharger le logiciel malveillant.

Les salariés sont notre première ligne de défense contre de telles menaces. Tous ceux impliqués dans les unités d’exploitation doivent apprendre à détecter les fraudes par hameçonnage. Les pièces jointes sans contexte ou de vagues lignes d’objet, par exemple, même si elles sont envoyées par un contact existant, sont des cadeaux empoisonnés.

Enseignez aux salariés ces techniques d’identification et d’autres pratiques recommandées de sécurité, notamment l’utilisation de gestionnaires de mots de passe et la déconnexion de vos appareils avant de les laisser sans surveillance, pour limiter considérablement le risque d’une compromission suscitée par un utilisateur.

3. Effectuez une surveillance continue des menaces

Dans le domaine de la finance notamment, la surveillance 24h/24 7j/7 des menaces est critique, car les dommages effectifs interviennent souvent lorsque vous êtes pris au dépourvu. En fait, notre rapport Security Operations a révélé que 35 % de menaces étaient détectées entre 20 heures et 8 heures.

La majorité des violations de données sont de nature furtive. Après que les hackers sont parvenus à accéder à votre réseau, ils essaient de couvrir leurs traces afin de cacher leur présence. Il pénètrent, peut-être en dérobant d’abord des identifiants de connexion via une campagne d’hameçonnage, puis ils tentent de masquer leur activité à l’aide d’une série de tactiques avancées.

Une fois qu’ils sont entrés, le risque se multiplie exponentiellement car ils essaient de se déplacer latéralement vers d’autres systèmes en exploitant des informations sensibles. Cela peut avoir des conséquences catastrophiques pour les sociétés de services financiers, car l’étape suivante consiste à créer des portes dérobées par lesquelles ils peuvent lentement siphonner des données pour une utilisation dans des campagnes d’attaque ultérieures ou pour les vendre sur l’internet clandestin.

Dans certains cas, les hackers agiront plus directement.

Dans l’une des attaques les plus téméraires contre une institution financière à ce jour, les hackers ont utilisé le réseau bancaire SWIFT en 2016 pour se faire des virements d’un montant de 81 millions de dollars après l’attaque de la Bangladesh Central Bank, faisant suite à une série d’arnaques par hameçonnage.

Cet indicent, et d’autres semblables, mettent en évidence l’importance de la surveillance des menaces en temps réel. Plus vous détectez tôt un indicateur de compromission, plus vous pouvez intervenir rapidement pour l’empêcher de nuire à votre institution financière. La détection précoce peut faire la différence entre un contretemps mineur et un effondrement majeur.

4. Évaluez et gérez les vulnérabilités

Le rapport IBM X-Force révèle que plus de 140 000 vulnérabilités logicielles ont été signalées ces trois dernières années uniquement, une augmentation importante par rapport aux années précédentes. Par ailleurs, les entreprises présentaient 1 440 vulnérabilités uniques en moyenne. Les chercheurs ont remarqué que cela était le résultat direct d’une surface d’attaque plus grande, car l’adoption de la nouvelle technologie telle que l’Internet des objets (IoT) ajoute d’autres points de contact que les pirates informatiques peuvent exploiter.

Avec une organisation moyenne déployant 129 applications, il y a de nombreuses occasions pour les mauvais acteurs de trouver des faiblesses. Et ce ne sont que les applications que le service informatique connaît. Le Shadow IT accroît le risque. Gartner estime qu’un tiers des attaques réussies l’année prochaine impliqueront le Shadow IT.

Aucune entreprise ne peut traiter toutes les vulnérabilités, même avec les meilleures équipes et technologies informatiques. C’est ici que l’évaluation de la vulnérabilité entre en jeu. Elle vous aide :

À avoir de la visibilité sur votre environnement, vous permettant de savoir quels logiciels et systèmes présentent des faiblesses.
À prioriser les vulnérabilités les plus critiques afin de les traiter en premier.

La gestion des vulnérabilités est l’une des manières les plus efficaces pour réduire votre surface d’attaque. Cependant, elle doit être menée de manière cohérente. Si vous n’effectuez des analyses des vulnérabilités que périodiquement, les pirates informatiques opportunistes peuvent toujours pénétrer votre système facilement.

5. Gérez les risques liés aux les tierces parties

Les institutions financières reposent sur un grand nombre de sous-traitants, fournisseurs et partenaires, et ces relations exposent l’entreprise.

Même si vous avez une posture de sécurité forte, vos adversaires peuvent simplement trouver la liste la plus faible dans votre chaîne d’approvisionnement.

Prenez le cas de la société de données et d’analyses Ascention, qui est au service d’institutions financières. En 2019, un serveur en ligne mal configuré a révélé 24 millions de documents financiers et bancaires datant de plus d’une décennie. La fuite était due à un fournisseur de la société. En conséquence, des données à caractère personnel et financières des clients de nombreuses institutions financières ont été divulguées.

Au sein de tous les secteurs d’activité, l’institut Ponemon a constaté que les sociétés partagent des informations avec 583 tierces parties en moyenne, et 59 % de celles ayant répondu à l’enquête indiquent qu’elles ont été victimes d’une violation du fait d’une tierce partie. Et cependant, seul un tiers conservait un inventaire de ses tierces parties et même moins (16 %) déclaraient agir pour atténuer effectivement les risques.

Les étapes qui minimisent les risques liés aux tierces parties incluent :

L’établissement et la vérification de la posture de sécurité des fournisseurs et des partenaires.
L’obligation que les associés commerciaux, via vos contrats de service, suivent les pratiques recommandées en termes de sécurité.
La segmentation de votre réseau et la limitation de l’accès des tierces parties aux actifs critiques.
La surveillance de votre réseau pour détecter les anomalies à l’aide d’une solution de détection des menaces et mesures d’intervention.

6. Créez une culture de la cybersécurité forte, en commençant par le haut

Une culture forte de la cybersécurité va au-delà du programme de sensibilisation des employés en faisant de la cybersécurité l’affaire de “tous’, et pas simplement un problème informatique. Cela signifie que toutes les parties prenantes (du comité de direction et des cadres supérieurs à tous les salariés) se considèrent comme une composante stratégique d’une posture de sécurité forte.

Le NIST Cybersecurity Framework présente quatre niveaux de mise en œuvre, le niveau 4, le plus rigoureux, étant “adaptatif”.

Dans une enquête des CISO qui étaient membres du Financial Services Information Sharing and Analysis Center (FS-ISAC), Deloitte a constaté que l’implication active du comité de direction et de l’équipe de direction exécutive était l’une des principales caractéristiques partagée par les organisations adaptatives dont les programmes de cybersécurité sont les plus réussis.

Avec un comité de direction et des cadres supérieurs impliqués, la cybersécurité devient une priorité : il est bien plus facile d’obtenir le crédit pour les ressources dont vous avez besoin dans le cadre de vos initiatives de cybersécurité. Et lorsque les cadres supérieurs mettent l’accent sur la culture de la cybersécurité, et implémentent des programmes qui sont en adéquation, il est bien plus simple d’obtenir l’adhésion de toutes les parties prenantes au sein de votre entreprise.

7. Concevez des plans exhaustifs de réponse aux incidents

L’IR (Incident Response : réponse aux incidents) ne doit jamais être traitée comme un processus ad hoc. Supposons que vous subissiez une attaque. Parce que cela vous arrivera.

Votre organisation informatique doit déjà disposer d’une méthodologie bien définie et de modèles IR pouvant être mis en place rapidement pour mettre en quarantaine, bloquer ou éliminer le trafic réseau malveillant.

Mais les analystes de sécurité et les intervenants en cas d’incidents de première ligne ne sont pas les seuls à avoir besoin de protocoles IR clairs. Traiter une compromission majeure est un effort conjoint à l’échelle de l’entreprise. Cela revient à avoir une forte culture de la sécurité dans votre entreprise. Chaque employé, du PDG au stagiaire, doit connaître la procédure opérationnelle standard en cas de cyberattaque.

Par exemple, à qui revient la tâche d’informer les clients si la violation les a impactés ? Si des données ont été perdues, que doit faire un employé pour essayer de les récupérer, ou qui doit-il contacter ? La réponse à ces types de questions à l’avance peut réduire la confusion post-intrusion et aider à la récupération.

Une approche solide de la cybersécurité

Avec un SOC en tant que service, les entreprises de toute taille peuvent mettre en œuvre les pratiques recommandées de manière abordable et disposer de services de surveillance et de détection des menaces qui peuvent aider à stopper les attaques avant qu’elles ne génèrent des dommages. Vous souhaitez en savoir plus ? Découvrez comment le SOC-as-a-service peut aider votre organisation et comment Arctic Wolf peut aider à améliorer la sécurité de votre organisation financière.

Autres ressources

Rejoignez la conversation Arctic Wolf sur Facebook, Twitter, LinkedIn et YouTube
Visitez arcticwolf.com pour en savoir plus sur nos solutions de Security Operations
Si vous êtes prêt à vous lancer, demandez une démonstration ou obtenez un devis aujourd’hui

Arctic Wolf

Arctic Wolf provides your team with 24x7 coverage, security operations expertise, and strategically tailored security recommendations to continuously improve your overall posture.

Sujet

Continue Reading

Les huit principales cyberattaques du secteur juridique

© 2024 Arctic Wolf Networks Inc. All Rights Reserved.
Privacy Notice	Terms of Use	Cookie Policy	Accessibility Statement	Information Security	Sustainability Statement	Cookies Settings

SOLUTIONS

INDUSTRIES

Quickly detect, respond, and recover from advanced threats.

Detect and respond to advanced threats targeting your cloud infrastructure and applications.

Discover, assess, and harden your environment against digital risks.

Explore, harden, and simplify your cloud environment against misconfiguration vulnerabilities.

Engage and prepare employees to recognize and neutralize social engineering attacks.

Recover quickly from cyber attacks and breaches, from threat containment to business restoration.

HOW IT WORKS

Delivering security operations outcomes.

Collect, enrich, analyze.

Ecosystem integrations and technology partnerships.

Tailored security expertise and guided risk mitigation.

Security experts proactively protecting you 24×7.

Meet some of the security experts working alongside you and your team.

TRENDING RESOURCES

Understanding ransomware — from its origins to its impacts to the TTPs that allow ransomware gangs to exploit victim organizations and make off with millions in ransom payments and extortion fees.

The elite security researchers, data scientists, and security developers of Arctic Wolf Labs share forward-thinking insights along with practical guidance you can apply to protect your organization.

Learn how our Concierge Security® and Triage Security Teams help end cyber risk.

SECURITY BULLETINS

CVE-2024-3400: Follow Up: Patches Released for Actively Exploited Critical Vulnerability in GlobalProtect Feature of PAN-OS

CVE-2024-26234 for Windows and CVE-2024-29053 for Defender for IOT highlighted in Microsoft’s April 2024 Patch Tuesday

CVE-2024-3400: Critical Vulnerability in GlobalProtect Feature of PAN-OS being Actively Exploited

COMPANY