Compte tenu de leur besoin et de leur accès à des quantités insondables de données à caractère personnel hautement sensibles, les institutions financières doivent se conformer à des exigences de sécurité et doivent faire face à un fardeau réglementaire que peu d’autres industries doivent affronter. Cependant, l’acquisition de telles données n’est pas une option.
Les institutions financières exploitent ces données. Si de telles sociétés doivent fournir des produits et services compétitifs, les sociétés du secteur financier ont besoin de données personnelles ainsi que de la confiance de leurs clients à ce sujet.
Dans cette réalité, les banques, les coopératives de crédit et autres organisations qui traitent les données et informations des détenteurs de carte sont dans la ligne de mire des hackers. Certaines des cyberattaques les plus dévastatrices récentes ont ciblé des organisations financières, notamment l’attaque Equifax de 2017.
En fait, chaque année, le secteur des services financiers est victime d’un flux constant d’attaques. Comme les détails de toutes les attaques parviennent aux médias, le niveau des exigences de conformité en matière de sécurité et le contrôle des organismes publics s’intensifie. Cela fait que les clients se sentent parfois obligés de mettre fin à leur relation avec des sociétés et des institutions qu’ils pensent incapables de protéger leurs données.
Pour souligner l’ampleur de la menace : sur les 3 950 violations confirmées signalées dans le rapport Data Breach Investigations de 2020 de Verizon, le secteur des banques et des assurances en a connu le plus (448 violations).
Conformité dans les services financiers : lois et réglementations de cybersécurité
En réponse à la pression des consommateurs et à la menace toujours présente et croissance de violation de la confidentialité des données et de cybercrime, plusieurs exigences de conformité en termes de sécurité, lois et réglementations critiques ont été conçues pour renforcer la sécurité et réduire la probabilité de cyberattaques nuisibles.
Néanmoins, le maintien des exigences de conformité peut s’avérer compliqué et peut facilement submerger les institutions financières les plus évoluées.
Au niveau fédéral, les organisations financières doivent respecter les exigences de conformité en termes de sécurité suivantes :
Le Sarbanes-Oxley Act (SOX) :
Le SOX établit des exigences pour le stockage et la gestion sécurisés des dossiers financiers électroniques remis à l’entreprise, y compris la surveillance, la consignation et l’audit de certaines activités. Un audit SOX se concentre sur des éléments de sécurité des informations, notamment la création et la gestion de contrôles d’accès fiables et de sauvegardes de routine des données.
Gramm-Leach-Bliley Act (GLBA) :
Le GLBA réglemente la collecte, la sauvegarde et l’utilisation des informations financières privées. Par exemple, selon la Safeguards Rule, si une entité répond à la définition d’une institution financière, elle doit adopter des mesures pour protéger les données des clients en sa possession. En outre, la loi exige que les entreprises et entités concernées fassent preuve de transparence en ce qui concerne les pratiques de partage des informations, ce qui implique d’accorder aux clients le droit de refuser le partage de leurs données et informations avec des tiers.
Payment Card Industry Data Security Standard (PCI DSS) :
Le PCI DSS définit des exigences pour les entreprises et organisations « qui stockent, traitent ou transmettent des données de détenteurs de carte ». Tout comme pour toute autre directive ou norme, la conformité seule ne protège pas une organisation de sa responsabilité légale en cas de violation de données et d’informations. Cependant, un strict respect de la norme ainsi que la conformité avec les consignes et recommandations détaillées stipulées par le Federal Financial Institutions Examination Council (FFIEC) peut atténuer les risques de cybersécurité d’une institution ainsi que faire preuve aux clients d’un effort concerté pour protéger leurs données, où qu’elles soient stockées.
Le SOX, GLBA et le PCI DSS nécessitent tous le suivi des connexions d’accès utilisateur aux ordinateurs ou systèmes contenant des données et informations sensibles. Le raisonnement derrière cette exigence est simple : afin de protéger les données et les informations des clients, les sociétés du secteur financier doivent être en mesure de surveiller l’activité en relation avec l’accès à celles-ci.
D’une manière générale, les institutions financières et autres organisations qui doivent se conformer au PCI DSS doivent :
- Limitez l’accès aux informations et aux données des détenteurs de cartes à un nombre aussi réduit que possible d’employés.
- Mettre en œuvre des contrôles administratifs qui suivent l’activité du compte.
Le FFIEC a des recommandations relatives à l’utilisation de l’authentification (à deux facteurs ou multifacteur) pour aider à vérifier l’identité des utilisateurs autorisés.
Le Federal Deposit Insurance Corporation and the Office of the Comptroller of the Currency a réaffirmé l’importance de la réponse et de la résilience car elles concernent la continuité commerciale, le rôle d’authentification et le besoin de configurer les systèmes et services de manière sûre pour empêcher et atténuer la gravité d’une attaque.
Chiffrement
Bien que les défenses d’une institution financière puissent contrecarrer la plupart des attaques, le chiffrement peut fournir une couche supplémentaire de sécurité rendant encore plus difficile le vol de données par des cybercriminels et leur utilisation en vue de commettre une fraude.
Pour ce faire, le PCI DSS interdit le stockage de tout « le contenu de toutes les pistes de la bande magnétique ou de la puce de la carte ». Toutes les données et informations à caractère personnel du détenteur de la carte doivent être protégées par un chiffrement, à la fois lors du stockage et du transit sur les réseaux publics et privés.
Pare-feu et passerelles Web
Toutes les sociétés et organisations qui traitent des données de détenteurs de carte doivent installer et gérer un pare-feu conformément aux directives PCI DSS.
Les exigences minimales suggérées recommandées par le PCI Security Standards Council sont les suivantes :
- La modification du mot de passe par défaut du pare-feu.
- La restriction de l’accès aux systèmes de paiement à ce qui est uniquement nécessaire.
- Le refus du trafic non autorisé.
Dans ce sens, lorsqu’ils sont en charge d’évaluer l’efficacité de la sécurité informatique d’une institution financière, les auditeurs vérifient que :
- Toutes les connexions sont nécessaires à des fins professionnelles.
- Toutes les connexions non sécurisées sont complétées par des contrôles de sécurité supplémentaires.
De même, les banques et autres institutions et sociétés financières sont responsables au titre des mandats GLBA du déploiement et de la maintenance continue d’un pare-feu ou anti-virus équivalent.
Détection des intrusions
Les institutions financières doivent utiliser un système de détection des intrusions (IDS) pour respecter l’ exigence 11.4 du PCI DSS, qui recommande l’utilisation de la « détection des intrusions et/ou de techniques de prévention des intrusions pour détecter et/ou prévenir les intrusions sur le réseau. »
Le pare-feu et l’IDS fonctionnent conjointement pour éviter les attaques. Tandis que le pare-feu a pour tâche d’empêcher les intrusions de l’extérieur de l’institution, l’IDS surveille celles qui parviennent à franchir le pare-feu à des fins malveillantes. Le déploiement et la maintenance continue de l’IDS peut contribuer à évaluer les types de connexion qu’un pare-feu bloque et ceux qu’il trouve admissibles.
L’exigence du PCI DSS inclut également la surveillance obligatoire du trafic réseau sur le périmètre de l’environnement de confidentialité des données des détenteurs de carte de l’institution. Cela permet de garantir que le personnel est averti rapidement en cas d’indicateur de compromission (IOC). Cela est particulièrement critique, la divulgation obligatoire de l’accès non autorisé sur une certaine période après l’apparition d’un incident étant concernée.
Consignation et collecte des données
Au titre du GLBA, toutes les informations sur les événements de sécurité doivent être consignées et examinées. Le FFIEC dispose également de directives pour l’identification des sources de journaux spécifiques (y compris pare-feu, IDS et anti-spam) et leur analyse à la recherche d’une activité réseau potentiellement menaçante. Il dispose également de procédures associées d’Incident Response et le signalement aux IOC.
Selon l’exigence 10, le PCI DSS oblige également au suivi et à la surveillance continus de l’accès aux ressources réseau et données de paiement, y compris l’utilisation des journaux pour faciliter le suivi et l’analyse scientifique en cas de violation.
Stratégies et processus requis
Les institutions financières et de telles sociétés, conformément au GLBA, doivent établir et maintenir des stratégies de sécurité pour le signalement des incidents et la réponse qui leur est apportée. De plus, tout le personnel traitant et ou stockant des données GLBA doit être soumis à une formation annuelle de sensibilisation à la sécurité. Ces règles s’appliquent également à tout fournisseur de service tiers traitant des données GLBA pour le compte d’une autre organisation.
Le GLBA impose également l’application de correctifs en temps pour les mises à jour de sécurité. De même, le PCI DSS nécessite l’utilisation de contrôles de sécurité mis à jour (tels que les pare-feu). Enfin, le FFIEC a des directives qui couvrent tout, de la gestion de la fin de vie des applications au contrôle des versions, etc.
Gestion des fournisseurs
Comme de nombreuses institutions financières impliquent des tierces parties pour fournir une large gamme de produits et de services, de nombreuses lois et réglementations concernant la sécurité des informations nécessitent une diligence raisonnable de la part du fournisseur. En fait, les cybercriminels exploitent généralement la sécurité faible des tierces parties pour accéder aux plus grandes entités dont elles assurent le service.
En plus d’exercer une diligence raisonnable lors de l’intégration d’une tierce partie, les institutions sont également généralement tenues d’effectuer une surveillance continue de la relation.
Tandis que la diligence raisonnable initiale et continue peut révéler des faiblesses potentielles dans le programme de sécurité informatique de la tierce partie, elle envoie aussi un message fort aux fournisseurs concernant la priorité que l’institution financière accorde à la sécurité des données.
Comment centraliser la gestion de la conformité
Au cœur de toutes ces réglementations gouvernementales se concentre l’assurance de la sécurité et de la confidentialité des données et informations des clients. Pour ce faire, les sociétés du secteur financier doivent être en mesure d’anticiper un grand nombre de menaces et d’y répondre tout en prenant des mesures pour se conformer à des lois et des réglementations de plus en plus onéreuses et compliquées.
Sans un SOC (security operations center) formel, la centralisation de la gestion de la conformité et l’optimisation de la détection des menaces et mesures d’intervention sont extrêmement difficiles. Au lieu de créer un SOC et d’embaucher du personnel à partir de rien ou de tenter d’identifier, d’intégrer et de former le personnel de sécurité, de nombreuses institutions financières enrôlent des tierces parties qui emploient des équipes d’experts en Security Operations.
Contactez-nous pour en savoir plus sur notre équipe d’experts en Security Operations et comment nous aidons les institutions financières à garantir la conformité réglementaire.
Pour plus d’informations et pour obtenir une liste des étapes exploitables afin d’améliorer la sécurité de votre organisation, téléchargez la liste de contrôle de cybersécurité pour le secteur financier.
