Compte tenu de leur besoin et de leur acc¨¨s ¨¤ des quantit¨¦s insondables de donn¨¦es ¨¤ caract¨¨re personnel hautement sensibles, les institutions financi¨¨res doivent se conformer ¨¤ des exigences de s¨¦curit¨¦ et doivent faire face ¨¤ un fardeau r¨¦glementaire que peu d’autres industries doivent affronter. Cependant, l’acquisition de telles donn¨¦es n’est pas une option.
Les institutions financi¨¨res exploitent ces donn¨¦es. Si de telles soci¨¦t¨¦s doivent fournir des produits et services comp¨¦titifs, les soci¨¦t¨¦s du secteur financier ont besoin de donn¨¦es personnelles ainsi que de la confiance de leurs clients ¨¤ ce sujet.
Dans cette r¨¦alit¨¦, les banques, les coop¨¦ratives de cr¨¦dit et autres organisations qui traitent les donn¨¦es et informations des d¨¦tenteurs de carte sont dans la ligne de mire des hackers. Certaines des cyberattaques les plus d¨¦vastatrices r¨¦centes ont cibl¨¦ des organisations financi¨¨res, notamment l’attaque Equifax de 2017.
En fait, chaque ann¨¦e, le secteur des services financiers est victime d’un flux constant d’attaques. Comme les d¨¦tails de toutes les attaques parviennent aux m¨¦dias, le niveau des exigences de conformit¨¦ en mati¨¨re de s¨¦curit¨¦ et le contr?le des organismes publics s’intensifie. Cela fait que les clients se sentent parfois oblig¨¦s de mettre fin ¨¤ leur relation avec des soci¨¦t¨¦s et des institutions qu’ils pensent incapables de prot¨¦ger leurs donn¨¦es.
Pour souligner l’ampleur de la menace?: sur les 3?950?violations confirm¨¦es signal¨¦es dans le?, le secteur des banques et des assurances en a connu le plus (448?violations).
Conformit¨¦ dans les services financiers?: lois et r¨¦glementations de cybers¨¦curit¨¦
En r¨¦ponse ¨¤ la pression des consommateurs et ¨¤ la menace toujours pr¨¦sente et croissance de violation de la confidentialit¨¦ des donn¨¦es et de cybercrime, plusieurs exigences de conformit¨¦ en termes de s¨¦curit¨¦, lois et r¨¦glementations critiques ont ¨¦t¨¦ con?ues pour renforcer la s¨¦curit¨¦ et r¨¦duire la probabilit¨¦ de cyberattaques nuisibles.
N¨¦anmoins, le maintien des exigences de conformit¨¦ peut s’av¨¦rer compliqu¨¦ et peut facilement submerger les institutions financi¨¨res les plus ¨¦volu¨¦es.
Au niveau f¨¦d¨¦ral, les organisations financi¨¨res doivent respecter les exigences de conformit¨¦ en termes de s¨¦curit¨¦ suivantes?:
Le Sarbanes-Oxley Act (SOX)?:?
Le SOX ¨¦tablit des exigences pour le??des dossiers financiers ¨¦lectroniques remis ¨¤ l’entreprise, y compris la?. Un audit SOX se concentre sur des ¨¦l¨¦ments de s¨¦curit¨¦ des informations, notamment la cr¨¦ation et la gestion de contr?les d’acc¨¨s fiables et de sauvegardes de routine des donn¨¦es.
Gramm-Leach-Bliley Act (GLBA)?:?
Le GLBA?r¨¦glemente la??des informations financi¨¨res priv¨¦es. Par exemple, selon la?Safeguards Rule, si une entit¨¦ r¨¦pond ¨¤ la d¨¦finition d’une institution financi¨¨re, elle doit adopter des mesures pour prot¨¦ger les donn¨¦es des clients en sa possession. En outre, la loi exige que les entreprises et entit¨¦s concern¨¦es fassent preuve de transparence en ce qui concerne les?, ce qui implique d’accorder aux clients le droit de refuser le partage de leurs donn¨¦es et informations avec des tiers.
Payment Card Industry Data Security Standard (PCI DSS)?:
Le pour les entreprises et organisations ????. Tout comme pour toute autre directive ou norme, la conformit¨¦ seule ne prot¨¨ge pas une organisation de sa responsabilit¨¦ l¨¦gale en cas de violation de donn¨¦es et d’informations. Cependant, un strict respect de la norme ainsi que la conformit¨¦ avec les consignes et recommandations d¨¦taill¨¦es stipul¨¦es par le peut att¨¦nuer les risques de cybers¨¦curit¨¦ d’une institution ainsi que faire preuve aux clients d’un effort concert¨¦ pour prot¨¦ger leurs donn¨¦es, o¨´ qu’elles soient stock¨¦es.
Le SOX, GLBA et le PCI DSS n¨¦cessitent tous le suivi des connexions d’acc¨¨s utilisateur aux ordinateurs ou syst¨¨mes contenant des donn¨¦es et informations sensibles. Le raisonnement derri¨¨re cette exigence est simple?: afin de prot¨¦ger les donn¨¦es et les informations des clients, les soci¨¦t¨¦s du secteur financier doivent ¨ºtre en mesure de surveiller l’activit¨¦ en relation avec l’acc¨¨s ¨¤ celles-ci.
D’une mani¨¨re g¨¦n¨¦rale, les institutions financi¨¨res et autres organisations qui doivent se conformer au PCI DSS doivent?:
- Limitez l’acc¨¨s aux informations et aux donn¨¦es des d¨¦tenteurs de cartes ¨¤ un nombre aussi r¨¦duit que possible d’employ¨¦s.
- Mettre en ?uvre des contr?les administratifs qui suivent l’activit¨¦ du compte.
Le FFIEC a des recommandations relatives ¨¤ l’utilisation de l’authentification (¨¤ deux?facteurs ou multifacteur) pour aider ¨¤ v¨¦rifier l’identit¨¦ des utilisateurs autoris¨¦s.
Le Federal Deposit Insurance Corporation and the Office of the Comptroller of the Currency?a r¨¦affirm¨¦ l’importance de la r¨¦ponse et de la r¨¦silience?car elles concernent la continuit¨¦ commerciale, le r?le d’authentification et le besoin de configurer les syst¨¨mes et services de mani¨¨re s?re pour emp¨ºcher et att¨¦nuer la gravit¨¦ d’une attaque.
Chiffrement
Bien que les d¨¦fenses d’une institution financi¨¨re puissent contrecarrer la plupart des attaques, le chiffrement peut fournir une couche suppl¨¦mentaire de s¨¦curit¨¦ rendant encore plus difficile le vol de donn¨¦es par des cybercriminels et leur utilisation en vue de commettre une fraude.
Pour ce faire, le PCI DSS??tout ??le contenu de toutes les pistes de la bande magn¨¦tique ou de la puce de la carte??. Toutes les donn¨¦es et informations ¨¤ caract¨¨re personnel du d¨¦tenteur de la carte doivent ¨ºtre?, ¨¤ la fois lors du stockage et du transit sur les r¨¦seaux publics et priv¨¦s.
Pare-feu et passerelles Web
Toutes les soci¨¦t¨¦s et organisations qui traitent des donn¨¦es de d¨¦tenteurs de carte doivent installer et g¨¦rer un?.
Les exigences minimales sugg¨¦r¨¦es recommand¨¦es par le PCI Security Standards Council sont les suivantes?:
- La modification du mot de passe par d¨¦faut du pare-feu.
- La restriction de l’acc¨¨s aux syst¨¨mes de paiement ¨¤ ce qui est uniquement n¨¦cessaire.
- Le refus du trafic non autoris¨¦.
Dans ce sens, lorsqu’ils sont en charge d’¨¦valuer l’efficacit¨¦ de la s¨¦curit¨¦ informatique d’une institution financi¨¨re, les auditeurs v¨¦rifient que?:
- Toutes les connexions sont n¨¦cessaires ¨¤ des fins professionnelles.
- Toutes les connexions non s¨¦curis¨¦es sont compl¨¦t¨¦es par des contr?les de s¨¦curit¨¦ suppl¨¦mentaires.
De m¨ºme, les banques et autres institutions et soci¨¦t¨¦s financi¨¨res sont responsables au titre des mandats GLBA du d¨¦ploiement et de la maintenance continue d’un pare-feu ou anti-virus ¨¦quivalent.
D¨¦tection des intrusions
Les institutions financi¨¨res doivent utiliser un?pour respecter l’? du PCI DSS, qui recommande l’utilisation de la ??d¨¦tection des intrusions et/ou de techniques de pr¨¦vention des intrusions pour d¨¦tecter et/ou pr¨¦venir les intrusions sur le r¨¦seau.??
Le pare-feu et l’IDS fonctionnent conjointement pour ¨¦viter les attaques. Tandis que le pare-feu a pour t?che d’emp¨ºcher les intrusions de l’ext¨¦rieur de l’institution, l’IDS surveille celles qui parviennent ¨¤ franchir le pare-feu ¨¤ des fins malveillantes. Le d¨¦ploiement et la maintenance continue de l’IDS peut contribuer ¨¤ ¨¦valuer les types de connexion qu’un pare-feu bloque et ceux qu’il trouve admissibles.
L’exigence du PCI DSS inclut ¨¦galement la surveillance obligatoire du trafic r¨¦seau sur le p¨¦rim¨¨tre de l’environnement de confidentialit¨¦ des donn¨¦es des d¨¦tenteurs de carte de l’institution. Cela permet de garantir que le personnel est averti rapidement en cas d’indicateur de compromission (IOC). Cela est particuli¨¨rement critique, la divulgation obligatoire de l’acc¨¨s non autoris¨¦ sur une certaine p¨¦riode apr¨¨s l’apparition d’un incident ¨¦tant concern¨¦e.
Consignation et collecte des donn¨¦es
, toutes les informations sur les ¨¦v¨¦nements de s¨¦curit¨¦ doivent ¨ºtre consign¨¦es et examin¨¦es.??pour l’identification des sources de journaux sp¨¦cifiques (y compris pare-feu, IDS et anti-spam) et leur analyse ¨¤ la recherche d’une activit¨¦ r¨¦seau potentiellement mena?ante. Il dispose ¨¦galement de proc¨¦dures associ¨¦es d’Incident Response et le signalement aux IOC.
, le PCI DSS oblige ¨¦galement au suivi et ¨¤ la surveillance continus de l’acc¨¨s aux ressources r¨¦seau et donn¨¦es de paiement, y compris l’utilisation des journaux pour faciliter le suivi et l’analyse scientifique en cas de violation.
Strat¨¦gies et processus requis
Les institutions financi¨¨res et de telles soci¨¦t¨¦s, conform¨¦ment au GLBA, doivent ¨¦tablir et maintenir des strat¨¦gies de s¨¦curit¨¦ pour le signalement des incidents et la r¨¦ponse qui leur est apport¨¦e. De plus, tout le personnel traitant et ou stockant des donn¨¦es GLBA doit ¨ºtre soumis ¨¤ une formation annuelle de sensibilisation ¨¤ la s¨¦curit¨¦. Ces r¨¨gles s’appliquent ¨¦galement ¨¤ tout fournisseur de service tiers traitant des donn¨¦es GLBA pour le compte d’une autre organisation.
Le GLBA impose ¨¦galement l’application de correctifs en temps pour les mises ¨¤ jour de s¨¦curit¨¦. De m¨ºme, le PCI DSS n¨¦cessite l’utilisation de contr?les de s¨¦curit¨¦ mis ¨¤ jour (tels que les pare-feu). Enfin, le FFIEC a des directives qui couvrent tout, de la gestion de la fin de vie des applications au contr?le des versions, etc.
Gestion des fournisseurs
Comme de nombreuses institutions financi¨¨res impliquent des tierces parties pour fournir une large gamme de produits et de services, de nombreuses lois et r¨¦glementations concernant la s¨¦curit¨¦ des informations n¨¦cessitent une diligence raisonnable de la part du fournisseur. En fait, les cybercriminels exploitent g¨¦n¨¦ralement la s¨¦curit¨¦ faible des tierces parties pour acc¨¦der aux plus grandes entit¨¦s dont elles assurent le service.
En plus d’exercer une diligence raisonnable lors de l’int¨¦gration d’une tierce partie, les institutions sont ¨¦galement g¨¦n¨¦ralement tenues d’effectuer une surveillance continue de la relation.
Tandis que la diligence raisonnable initiale et continue peut r¨¦v¨¦ler des faiblesses potentielles dans le programme de s¨¦curit¨¦ informatique de la tierce partie, elle envoie aussi un message fort aux fournisseurs concernant la priorit¨¦ que l’institution financi¨¨re accorde ¨¤ la s¨¦curit¨¦ des donn¨¦es.
Comment centraliser la gestion de la conformit¨¦
Au c?ur de toutes ces r¨¦glementations gouvernementales se concentre l’assurance de la s¨¦curit¨¦ et de la confidentialit¨¦ des donn¨¦es et informations des clients. Pour ce faire, les soci¨¦t¨¦s du secteur financier doivent ¨ºtre en mesure d’anticiper un grand nombre de menaces et d’y r¨¦pondre tout en prenant des mesures pour se conformer ¨¤ des lois et des r¨¦glementations de plus en plus on¨¦reuses et compliqu¨¦es.
Sans un SOC (security operations center) formel, la centralisation de la gestion de la conformit¨¦ et l’optimisation de la d¨¦tection des menaces et mesures d’intervention sont extr¨ºmement difficiles. Au lieu de cr¨¦er un SOC et d’embaucher du personnel ¨¤ partir de rien ou de tenter d’identifier, d’int¨¦grer et de former le personnel de s¨¦curit¨¦, de nombreuses institutions financi¨¨res enr?lent des tierces parties qui emploient des ¨¦quipes d’experts en Security Operations.
Contactez-nous pour en savoir plus sur notre ¨¦quipe d’experts en Security Operations et comment nous aidons les institutions financi¨¨res ¨¤ garantir la conformit¨¦ r¨¦glementaire.
Pour plus d’informations et pour obtenir une liste des ¨¦tapes exploitables afin d’am¨¦liorer la s¨¦curit¨¦ de votre organisation, t¨¦l¨¦chargez la liste de contr?le de cybers¨¦curit¨¦ pour le secteur financier.
