Imaginez la scène. Vous êtes le RSSI d’une grande banque en mars 2020 et vous avez simplement été informé de fermer vos portes et d’envoyer tous vos ouvriers à domicile pour établir des postes de travail à distance. Alors que certains ont des bureaux à domicile élaborés et des chambres d’amis, d’autres travaillent à la table de la zone de cuisson, échappent à leurs enfants pour prendre des appels dans leur voiture ou produisent un poste de travail à partir d’une planche à repasser dans leur salon. Au cours de la nuit, le périmètre de votre entreprise s’est étendu à des milliers de réseaux nationaux. Cela s’ajoute à une explosion des besoins bancaires en ligne et sans contact motivée par la peur de l’argent pollué qui oblige les concepteurs à travailler d’arrache-pied pour fournir des services aux clients, en poussant le code à un rythme beaucoup plus rapide que jamais. C’est une recette pour une catastrophe sécuritaire.
Alors, qu’est-ce que cela suggère? De manière inattendue, vos solutions de cybersécurité standard ne sont plus adaptées à la fonction. Comme tout est lié, des services tiers aux données client importantes, l’ouverture et la confiance seront cruciales, car c’est en partageant des informations que la banque peut le mieux se préparer et se protéger des vulnérabilités logicielles et des étoiles de danger externes. La grande préoccupation que de nombreux RSSI ont dû résoudre était la suivante: comment pouvons-nous, en tant qu’organisation, gérer au mieux les opérations, assurer une défense globale contre les systèmes et les données, tout en restant transparent pour les travailleurs, les clients et les consommateurs? Le RSSI est nécessaire pour mettre en place de toutes nouvelles solutions de sécurité basées sur la collaboration et l’ouverture, ce n’est pas une tâche simple.
Protéger les données les plus précieuses au monde
Tout en La protection des données clients a toujours été une préoccupation majeure des banques, elles restent une cible pour les cybercriminels attirés par le potentiel de réaliser d’énormes gains monétaires. Comme les conséquences des cyberattaques contre les banques peuvent être incroyablement extrêmes, les violations d’informations mettant en danger la vie privée des consommateurs et faisant courir le risque de préjudice à la réputation et de pertes financières substantielles, de nombreuses institutions se sont en fait tournées vers le pouvoir de la sécurité des pirates pour soutenir leurs défenses.
Équipés de capacités spécialisées, de connaissances du domaine et du point de vue d’un étranger, les pirates éthiques (ou chapeau blanc) peuvent vérifier les vulnérabilités des systèmes des banques et les signaler de manière responsable afin qu’elles puissent être réparées avant que des dommages graves ne soient causés. Fini. Les pirates éthiques peuvent fournir aux institutions financières des détails sur les faiblesses de sécurité afin qu’elles puissent exécuter des mesures de sécurité fiables qui peuvent éviter de futures attaques.
Les informations de HackerOne révèlent que le marché des services financiers est le deuxième marché le plus populaire à accueillir le piratage éthique. Les organisations financières ont développé un programme de primes de bogues d’une année à l’autre de plus de 75% et, de toute évidence, de plus en plus d’institutions financières réalisent la capacité de la sécurité propulsée par les pirates. Si nous pouvons trouver quelque chose de l’année précédente, c’est l’obligation pour les banques d’exécuter des procédures de sécurité fiables et de suivre régulièrement le développement des surfaces d’attaque pour éviter des pertes potentielles substantielles, à la fois financières et de réputation. En réponse à la nécessité d’améliorer les procédures de sécurité, de plus en plus de banques ont lancé des programmes de prime aux bogues pour exposer les vulnérabilités avant qu’une cyber-attaque ne se produise.
Une migration importante peut entraîner des pertes abondantes
L’utilisation du cloud présente une multitude d’avantages pour l’entreprise, du stockage de méta-données à la fourniture d’une variété de produits en tant que service, et la migration des banques vers le cloud a commencé bien avant le début de la pandémie. Cependant, le changement numérique des banques – accéléré par le travail à distance – a en fait conduit à une augmentation du passage des banques à des systèmes basés sur le cloud. , plus d’un quart des banques (27%) prévoient de transférer au moins la moitié de leur entreprise vers le cloud public d’ici l’année prochaine. Alors que de plus en plus de banques transfèrent de grandes quantités de données précieuses vers le cloud, il est essentiel que les données sensibles soient complètement protégées. Des risques de sécurité graves peuvent résulter d’une migration importante, les projets «Raise ‘n’ Shift» ayant la possibilité de laisser de grands ensembles de données exposés à des incidents, en raison d’une authentification ou de contrôles d’autorisation insuffisants. Si elles ne sont pas contrôlées, les organisations deviennent immédiatement une cible de choix pour les groupes à risque à la recherche de vulnérabilités à exploiter – des services mal configurés peuvent rendre les données personnelles accessibles et les réseaux non sécurisés sont une invitation ouverte pour les cybercriminels à recueillir des informations importantes sur les clients.
Gartner indique que 95% des problèmes de sécurité dans le cloud seront le résultat direct d’une mauvaise configuration d’ici 2022. Cela n’est pas passé inaperçu par le quartier des hackers; Les pirates se sont en fait dépêchés d’aider les services sécurisés à traverser ce changement, les rapports soumis par les pirates pour des vulnérabilités de mauvaise configuration ont augmenté de 310% en 2020, démontrant l’adaptabilité d’une communauté en constante évolution et essayant de trouver de nouvelles méthodes imaginatives pour découvrir les faiblesses pour mieux protéger l’entreprise pour laquelle ils travaillent.
La sécurité ne s’arrête pas aux points de terminaison
Les cybercriminels profitent également des frontières floues entre les réseaux professionnels et domestiques. Les étapes préliminaires de « solution rapide » mises en place par les organisations pour aider au travail à distance ont élargi les zones d’attaque, et plus de la moitié des cadres supérieurs (64%) pensent que leur organisation est plus susceptible de subir une brèche en raison du changement. au travail à distance.
Avec d’innombrables réseaux domestiques connectés au réseau de l’entreprise, les institutions financières ne peuvent pas simplement compter sur les appareils et les points d’extrémité des utilisateurs pour être là où s’arrête la sécurité. Pour être vraiment en sécurité, les banques doivent aborder leur développement avec un état d’esprit de hacker, afin de pouvoir réparer les problèmes à la source avant une attaque catastrophique. Une manière efficace par laquelle les institutions financières peuvent renforcer leur sécurité en adoptant un modèle No Trust, un principe centré sur le fait que les organisations retirent la confiance des utilisateurs internes. Comme l’accès des utilisateurs doit être reconnu et vérifié, les dirigeants peuvent se sentir plus sûrs de savoir qui a accès aux informations bancaires. Mais, pour s’assurer que le cyber-danger reste faible, les organisations financières peuvent rechercher de l’aide auprès d’un service tiers qui peut fréquemment rechercher des vulnérabilités sur leurs systèmes.
Continuer à progresser à une vitesse accrue de modification
Tout en gérant les nouveaux dangers de sécurité qui émergent du travail à distance et du cloud, un troisième obstacle majeur pour de nombreux dirigeants financiers a en fait été de gérer la vitesse du changement au sein de leur entreprise. De nombreuses banques, sinon toutes, ont dû faire face à l’expansion rapide de leur offre de banque numérique, en investissant davantage dans les canaux et produits de services numériques, tandis que les succursales régionales devaient fermer leurs portes. Du point de vue des consommateurs, les modifications et les mises à jour apportées aux applications bancaires mobiles peuvent sembler minimes, mais les ajustements essentiels apportés pour garantir que les informations des consommateurs restent sécurisées étaient quelque chose de mineur.
La vitesse de développement des applications logicielles les cycles ont obligé les institutions financières à adopter une conception de test constante qui couvre toutes les bases. Un Bug Bounty Lifecycle (BBLC), qui teste et renvoie les données de vulnérabilité dans le SDLC pour garantir que les mêmes vulnérabilités ne continuent pas à apparaître, peut aider à garantir que les systèmes sont mieux protégés contre les attaques futures. Étant donné que les institutions financières, des banques traditionnelles aux nouveaux acteurs du secteur, restent une priorité absolue pour les cybercriminels, un système de défense soutenu par une équipe fiable de pirates informatiques est un moyen innovant et adaptatif de garder les institutions totalement protégées, tout en restant certifié.
L’assistance d’un quartier de pirates informatiques est la plus efficace
Il y a beaucoup à résoudre lorsque des institutions financières invitent un groupe de pirates dans leurs opérations de sécurité. Les organisations doivent favoriser des communications efficaces avec les pirates pour catégoriser les niveaux de gravité, discuter des procédures de résolution et déterminer les montants des primes. Pour garantir que la communication est efficace et que les efforts collectifs atteignent leur plein potentiel, les organisations monétaires peuvent toujours chercher de l’aide auprès de célébrations externes qui sont à votre disposition pour partager des guides et peuvent organiser des réunions avec des groupes de services professionnels.
En conclusion, les banques héritées et les nouvelles oppositions ont dû garantir la sécurité totale des informations et des systèmes avec moins de budget, tout en répondant aux défis posés par la migration de masse vers le cloud, les nouveaux dangers de sécurité du travail à distance et en poursuivant l’action avec une vitesse de modification accrue. Cependant, de plus en plus de banques adoptent la communauté du piratage éthique alors qu’elles traversent la pandémie, le secteur financier enregistrant une croissance du programme de primes de bogues d’une année à l’autre de plus de 75%. La défense d’une organisation monétaire devient automatiquement plus efficace avec l’aide d’une communauté – en tirant parti de la sécurité des pirates informatiques, les banques ont un œil continu et compétent sur leur logiciel, géré par un groupe crédible d’experts en sécurité.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur