La dépendance au cloud computing met les banques en péril
En adoptant la technologie du cloud computing pour rendre leurs systèmes accessibles à partir de plusieurs emplacements, les sociétés de services financiers lancent de nouveaux produits numériques améliorés et rationalisent leurs opérations. Mais, dans le même temps, les cyberspécialistes avertissent que cette migration vers le cloud expose les entreprises à un risque accru de cyberattaques et de violations de données ainsi qu’aux amendes et aux atteintes à la réputation qu’elles peuvent entraîner.
En juillet, la Banque des règlements internationaux a déclaré que la dépendance accrue des secteurs financiers à l’informatique en nuage constituait des points de défaillance uniques et créait de nouvelles formes de risque de concentration au niveau des services technologiques.
Il s’agissait d’une référence au fait que la grande majorité des institutions financières utilisent les services d’informatique en nuage des mêmes grands fournisseurs. Une étude de la Banque d’Angleterre en 2020 a révélé que plus de 65 % des banques et des assureurs basés au Royaume-Uni s’appuyaient sur seulement quatre services cloud.
La Federal Reserve Bank de New York a également mis en garde contre la transmission d’un choc à travers le réseau si les services financiers étaient connectés via une vulnérabilité partagée.
Les cyber-experts ont déjà été témoins de l’impact que cela peut avoir. Milad Aslaner, responsable du groupe consultatif technologique du groupe de cybersécurité SentinelOne, prévient que la dépendance à un seul fournisseur de cloud augmente de manière exponentielle le cyber-risque pour les sociétés financières.
Nous avons vu comment les entreprises peuvent être sérieusement compromises par des pannes mondiales et des cyberattaques contre des fournisseurs de services cloud tels que Microsoft ou Amazon Web Services, note Aslaner, ancien chef de produit principal chez Microsoft.
Les cybercriminels peuvent accéder directement à l’ensemble du patrimoine numérique d’une organisation et opérer complètement dans l’ombre s’ils réussissent à pirater un système cloud proposé par un fournisseur couramment utilisé. C’est une idée fausse dangereuse selon laquelle les fournisseurs de services cloud sont les seuls responsables de la sécurité du cloud, déclare Aslaner. En réalité, il existe un modèle de responsabilité partagée entre le CSP et l’organisation.
Le National Cyber Security Center du Royaume-Uni fournit des conseils pour sélectionner, déployer et utiliser les services cloud de manière sécurisée. Mais, comme les sociétés financières sont la cible principale des cybercriminels, elles devraient également développer un programme de sécurité informatique et de risque pour leur utilisation du cloud et d’autres opérations, conseille Aslaner. Cela doit inclure les cyber-risques des personnes, des processus et des technologies, explique-t-il.
Le coût des cyberattaques pour les entreprises financières est élevé, prévient Prakash Pattni, directeur général de la transformation numérique chez IBM Cloud for Financial Services.
Le secteur des services financiers a payé le deuxième prix le plus élevé [behind healthcare] pour les violations de données l’année dernière, d’une moyenne de 5,97 millions de dollars, dit-il. Dans l’économie numérique en évolution rapide d’aujourd’hui, c’est l’une des plus grandes menaces, sinon la plus grande, pour l’industrie.
Pattni conseille aux sociétés de services financiers d’adopter une approche hybride répartissant les charges de travail sur les clouds sur site, publics et privés afin de réduire les cyber-risques.
Nous travaillons avec 19 des 20 plus grandes banques Fortune 500, dit-il. Bien que les attaques malveillantes ne puissent pas toujours être évitées, un environnement de cloud hybride sécurisé peut aider à atténuer les risques et à réduire les vulnérabilités, dit-il. Cela, ajoute-t-il, peut inclure l’utilisation de clouds spécifiques à l’industrie avec des contrôles de sécurité et de conformité intégrés.
Plus d’histoires de ce rapport
Steve Newson, directeur de la technologie chez Starling Bank, explique que, depuis son lancement en 2014, il a déployé ses systèmes et services sur plusieurs clouds afin de ne pas dépendre d’un seul fournisseur.
Il dit que cela garantit que les données sensibles des banques sont sauvegardées 24 heures sur 24, ce qui réduit l’impact des pannes sur la banque et les personnes qui font affaire avec nous.
Cependant, certains experts du secteur restent sceptiques quant aux avantages des approches multi-cloud. Lydia Leong, analyste de la société de recherche Gartner, affirme qu’ils sont coûteux, qu’ils étouffent l’innovation et qu’ils compliquent finalement l’utilisation des services cloud par les organisations, car ils sont plus complexes et coûteux. Cette approche détruit une grande partie de l’analyse de rentabilisation de l’utilisation du cloud, dit-elle.
Le passage d’un service à l’autre crée également un risque énorme pour les entreprises financières, ajoute Jake Moore, conseiller mondial en cybersécurité chez la société de logiciels de sécurité ESET.
Une telle technologie sert un grand objectif mais ne doit pas être invoquée uniquement en cas de problème, dit-il. La contingence dans les affaires est la clé de leur succès et la cybersécurité doit travailler en silo avec ce mantra.
Moore avertit les sociétés financières de faire attention aux attaques par déni de service distribué (DDoS), en particulier. Ceux-ci inondent les services en ligne d’importants volumes de trafic douteux et les rendent inutilisables.
De multiples attaques DDoS en grand nombre ont attaqué des entreprises internationales au cours des 12 derniers mois, dit-il. Un tel impact pourrait forcer les banques à se déconnecter si les cybercriminels décidaient d’infiltrer le secteur financier avec une grande force. Mais il ajoute que les plates-formes cloud peuvent fonctionner ensemble pour résister à ces attaques inévitables.
Quelle que soit l’approche cloud adoptée, les groupes financiers doivent être conscients des menaces. Mark Brown, directeur général mondial du conseil en confiance numérique à la British Standards Institution, déclare : Les risques potentiels sont graves, car une cyber-violation ou une panne de disponibilité chez l’un des principaux fournisseurs de services cloud entraînerait très rapidement des turbulences sur le marché.
Les organisations et les commerçants individuels seraient incapables de fonctionner, notamment en raison de leur incapacité à réagir aux informations urgentes, ce qui entraînerait une instabilité des marchés financiers et des impacts macroéconomiques potentiellement dévastateurs.