Entre menaces et conformité : sécuriser les services financiers

L’industrie financière représente donc une cible privilégiée en raison de la nature sensible des informations qu'elle gère et de la valeur élevée des transactions qu'elle traite. Si les cybercriminels sont sans cesse à la recherche de nouveaux points d’entrée et nouvelles techniques d'attaque pour parvenir à leurs fins, les méthodes traditionnelles comme le phishing restent extrêmement efficaces.

Le phishing boosté par l’IA

Alors que les attaques par phishing ne cessent d’augmenter, cette tendance n’est pas près de s’inverser, avec notamment l’usage croissant de l'IA générative (genAI). Si ses avantages sont connus et exploités par les entreprises pour leurs activités, ils le sont également par les cybercriminels qui ont recours à l’IA pour créer des emails de phishing personnalisés et passer des appels frauduleux à grande échelle. En automatisant les tâches complexes et chronophages, l'IA générative augmente le nombre d'attaques et rend le phishing accessible, même aux attaquants moins expérimentés. De plus, l’usage de ce type de technologies avancées rend les menaces plus difficiles à détecter en raison de leur sophistication et de leur capacité d'adaptation.

Par ailleurs, si le phishing est de plus en plus difficile à détecter, le mécanisme reste cependant inchangé : un cybercriminel envoie un email ou un SMS à un utilisateur ayant accès aux systèmes de l'entreprise, l'incitant à saisir par exemple son mot de passe à usage unique (OTP) sur un site de phishing, en apparence légitime. L’attaquant obtient alors des identifiants valides qu'il peut utiliser pour accéder directement au système, pour compromettre d'autres utilisateurs ou pour déployer des logiciels malveillants ou des ransomwares.

Une attaque par phishing réussie peut exposer les banques, les sociétés d'investissement et les organismes de crédit à une perte de confiance des clients, à des pertes financières pour les clients et les établissements eux-mêmes, ainsi qu’à des perturbations opérationnelles systémiques ; des conséquences qui peuvent mettre en danger la pérennité de ces entités. Une posture de sécurité renforcée est donc un enjeu majeur dans ce contexte de cybermenaces omniprésentes.

L’évolution des réglementations et de l’authentification face au phishing

Les principaux organismes de réglementation en matière de sécurité recommandent de nombreuses actions et mesures, parfois contradictoires ou obsolètes, ce qui peut rendre les conseils en sécurité confus ou déconnectés de la réalité en matière de cybermenaces. Cependant, les nouvelles réglementations révisées tiennent compte de l’évolution de ces menaces et des risques associés aux interactions entre les employés, les tiers, les clients et les systèmes.

En outre, la dernière révision de la norme PCI DSS 4.0 souligne la nécessité de s'assurer que les identités numériques sont liées aux individus, de prouver cette identité à intervalles réguliers et de mettre en œuvre une authentification multi-facteurs (MFA) solide, en accord avec les meilleures pratiques. La norme insiste sur la nécessité d'une MFA conforme à la définition de la publication spéciale 800-63 du NIST (Institut américain des normes et de la technologie), soutenu par de nombreuses administrations et industries partout dans le monde, concernant une MFA résistante au phishing, qui comprend l'authentification basée sur les standards FIDO2/ WebAuthn, ou sur une carte à puce.

Dans les services financiers, les blocages de comptes dus au phishing et aux vols de données montrent la nécessité d'une authentification multi-facteurs (MFA) solide et résistante au phishing. La norme PCI DSS va plus loin en demandant de réduire la dépendance aux connaissances humaines, en simplifiant l'authentification pour les utilisateurs. Cette question est cruciale pour l'accès aux postes de travail partagés dans les centres d'appel, les environnements bancaires, et lors de la réauthentification pour accéder à des données sensibles ou effectuer des transactions à haut risque. Ainsi, lorsqu'il s'agit de choisir une solution d'authentification, il est essentiel de privilégier une approche centrée sur l'utilisateur, fortement liée à l'identité et résistante au phishing. L’un des enjeux cruciaux pour les organismes est en effet d’être en mesure d’offrir une expérience fluide et sans friction aux collaborateurs sans avoir à faire de compromis sur la sécurité.

L'authentification forte et moderne, pierre angulaire d'un avenir sans mot de passe

L'élimination des mots de passe et des méthodes d'authentification multi-facteurs traditionnelles, telles que les mots de passe à usage unique, devrait être un objectif majeur au cœur des stratégies d'authentification des entreprises. Chaque organisation avance à son rythme dans cette direction, souvent en raison de systèmes, de matériel ou de partenaires qui ne prennent pas encore en charge l'authentification moderne. Chaque étape franchie vers l’abandon des mots de passe et de ces méthodes d’authentification aujourd’hui dépassées marque un progrès notable.

Avec les récentes avancées en matière de solutions d'authentification sans mot de passe, les organisations ont à leur disposition des moyens qui leur permettent d’adapter la gestion des identités tout au long de leur cycle de vie pour relever ces nouveaux défis. Pour prévenir efficacement les attaques par phishing, il ne suffit pas de déployer une authentification résistante, il est également essentiel de renforcer la vigilance des utilisateurs. Aller au-delà de la technologie MFA et se concentrer sur l'expérience de l'utilisateur final est nécessaire pour créer une protection efficace, intégrée de manière fluide à travers les appareils, les plateformes et les scénarios.

Dans le cadre de cette MFA moderne, le recours à des clés de sécurité physiques qui s’appuient sur la norme FIDO2/WebAuthn est l’un des moyens les plus efficaces de répondre aux exigences réglementaires complexes et de lutter contre les attaques par phishing. Une fois cette étape franchie, les organisations sont prêtes à exploiter les identifiants FIDO2, également appelés passkeys, pour permettre une authentification sans mot de passe et sécuriser l'ensemble du cycle de vie des comptes utilisateurs en ligne, incluant l'accueil, l'authentification et la récupération du compte.

Enfin, la formation des collaborateurs est essentielle pour renforcer la sécurité des organismes et réduire les risques de cyberattaques dues aux erreurs humaines. Il est crucial que les employés soient sensibilisés aux bonnes pratiques et aux dernières cybermenaces afin de pouvoir réagir rapidement et efficacement. Une formation continue permet d'assurer que tous les membres de l'organisation sont au courant des nouvelles techniques de protection et des risques émergents.

Ainsi, face à l’omniprésence des cybermenaces et aux nouvelles régulations en cybersécurité, le secteur financier doit s’adapter et renforcer sa défense. Avec les avancées technologiques amplifiant les risques de phishing, il est essentiel de mettre en place une MFA solide, véritable pierre angulaire de la stratégie de sécurité au sein des organismes financiers, pour rendre l'accès non autorisé aux comptes beaucoup plus difficile. Enfin, il est également primordial de sensibiliser les utilisateurs afin de limiter les risques d'erreurs humaines, souvent exploitées par les cybercriminels pour accéder aux systèmes. En adoptant ces mesures, les organisations financières répondront aux exigences réglementaires tout en renforçant leur sécurité et en préservant la confiance des clients.