L’expansion des services cloud notamment dans le secteur financier accroît ce risque et invite les entreprises à adapter en conséquence leur stratégie de défense.
Les attaques externes ou internes visent généralement à dégrader la disponibilité, l’intégrité, la confidentialité et la traçabilité des composantes du système d’information d’une organisation pour en retirer un profit. La crise de la Covid-19 a provoqué un changement radical en généralisant le travail à distance et en accélérant l'adoption des services cloud. Ce mouvement sans précédent a immédiatement soulevé des interrogations quant à l’impact sur la sécurité du système d’information.
Selon le rapport de la Commission Européenne « Cybersecurity – Our Digital Anchor », le cyber crime a coûté 5'500 milliards d’euros au niveau mondial en 2020. La variété et la sophistication des attaques se développent et c’est devenu un sujet d’envergure stratégique pour les États. Les principales formes d’attaques sont le Social Engineering (spear fishing, fishing, scareware, Business Email Compromise, …), le Ransomware, le DDoS (Distributed Denial of Service) et l'exploitation des failles des logiciels tiers et des services cloud.
Les exemples récents illustrent cette nouvelle réalité. En mai 2021, Colonial Pipeline, opérateur américain majeur du transport de produits pétroliers, voit ses opérations bloquées par un Ransomware. L’arrêt du pipeline provoque rapidement des pénuries de carburant. La rançon en bitcoins (4.4 millions de dollars) est rapidement versée puis un programme est envoyé par les cyber criminels pour débloquer la situation. L’appui du F.B.I permettra de récupérer près de la moitié de cette somme. L’attaque a aussi permis de voler des données d’(ex)-employé.e.s et il semble qu’un compte inutilisé mais actif avec accès distant VPN sans authentification forte a permis de rentrer dans le système d’information de l'entreprise.
Les acteurs de l’Asset et du Wealth Management ont été relativement épargnés à date car les attaques se sont beaucoup concentrées sur les banques de détail ou les assureurs (cf. Flagstar, CNA Financial ou Axa). Pourtant, les enjeux financiers sont au moins équivalents et cela pourrait donc changer.
Pour ces sociétés qui sont sous supervision d’une autorité de régulation type AMF, FINMA ou CSSF, ces menaces font encourir un double risque, à la fois opérationnel mais aussi de non-conformité aux règlementations à l’image du niveau de fonds propres, de la conservation des données ou du plan de continuité d’activité et de moyens (informatiques). Le secteur se concentre fortement sur le premier et néglige parfois le second. L’attention est portée en priorité sur la protection des données comme l’identité des investisseurs, le contenu des portefeuilles gérés ou les stratégies propriétaires d’investissements.
Depuis que les autorités ont ouvert la voie (encadrée) du cloud, aux entreprises du secteur, les projets se multiplient. Il s'agit donc de s’assurer que leur dispositif de sécurité intègre parfaitement l'hybridation entre le système d’information interne et le cloud, suivant la logique:
- Identifier : cartographier avec précision les applications hébergées dans le cloud et leurs liens avec les applications internes ; maitriser le modèle de responsabilité partagée sur la sécurité entre les fournisseurs de cloud et l'entreprise (IaaS, PaaS et SaaS) ainsi que les services de sécurité cloud qui sont activés (VPN, Key Management System, SIEM, …).
- Protéger : maitriser l’interconnexion et le cloisonnement du réseau cloud – interne (ex. tunnel VPN IPSec); sécuriser les données dans le cloud en transit - stockage - en cours d'utilisation suivant leur niveau de classification, filtrer les flux SI interne / cloud dans les deux sens, gérer les identités et les droits d’accès de manière synchrone interne - cloud; administrer la sécurisation des droits d’accès à privilèges comme les comptes d'administration des consoles cloud ; gérer les accès à distance « nomades » notamment ceux qui accèdent à des applications cloud;
- Détecter : consolider et corréler la détection et le traitement des incidents cloud-interne; assurer la journalisation des évènements de sécurité cloud;
- Répondre et se rétablir : gérer les sauvegardes cloud du Plan de Reprise / Continuité d’Activité; activer les clauses spécifiques avec les fournisseurs cloud
Les "forteresses" qui avaient été bâties on-premise par les banques pour sécuriser leurs données sensibles et celles de leurs clients ainsi que la culture de la confidentialité se confrontent à l'hyper-connectivité, l'ouverture et à l'hybridation du système d'information avec des services cloud. Dans le même temps, les menaces cyber se sophistiquent, se multiplient et attaquent sur tous les fronts numériques. Dès lors, les acteurs de l'Asset & du Wealth Management doivent affûter leur dispositif de sécurité pour qu'il englobe ces nouvelles frontières et minimise les risques opérationnels et règlementaires.