L’automatisation des systèmes de sécurité informatique en réponse aux exigences de la Banque Centrale Européenne
La transformation numérique et l’utilisation massive des technologies dans le secteur des finances a placé les différents acteurs dans une situation où ils seront obligés de relever d’énormes défis.
Des défis qui s’accompagnent le plus souvent de bouleversements assez conséquents dans le domaine de la sécurité informatique. Pour les équipes qui ont en charge la sécurité des réseaux informatiques, que ce soit sur le plan des applications ou autres terminaux, elles sont soumises à beaucoup de pression. Car il suffira d’une simple erreur d’une mauvaise appréciation d’une situation ou une mauvaise visibilité pour causer des d’énormes problèmes dont l’impact sera assez incalculable. C’est que la question de la conformité aux exigences des institutions publiques l’une des premières barrières face à la négligence de ses entreprises.
Cet article va aussi vous intéresser : Quand les banques sont sauvées par un pirate informatique de bonne foi
« La question fondamentale de ce qui peut communiquer avec quoi, à travers le réseau, est une question à laquelle beaucoup auraient du mal à répondre de manière globale. » observe Nick Lowe, le VP EMEA chez Tufin. Cette interrogation est censée être la principale qui permettra aux institutions bancaires de pouvoir se conformer aux dispositions réglementaires de la Banque centrale européenne. Des réglementations qui ont été publiées dans son guide d’évaluation et des sécurités des paiements sur internet.
Il faut noter que les dispositions réglementaires de la Banque centrale européenne porte sur un ensemble de mesures de sécurité relatives à :
– La démonstration que pour accéder au flux de travail et aux applications utilisées lors des différentes transactions n’est limité qu’à des personnes homologuées spécialement à cet effet.
– la mise en œuvre certifié des pratiques d’audit de mise à niveau sécuritaire des différents flux émanant des institutions financières et sur des périodes examiné et déterminé.
Cependant il faut noter une certaine limite au niveau des pratiques manuelles de collecte des informations lors des audits de contrôle. Il est a relevé un échec potentiel lors des tentatives dans ce genre de conditions. Et pour cause, la tâche demande trop de ressources, et dans la majeure partie des cas très complexes. Cependant, il existe une solution très simple. Celle de l’automatisation. « Un système complet et automatisé de découverte, de fourniture et de vérification des politiques de sécurité qui s’intègre dans les flux d’autorisation et d’accès, les banques seront en mesure de présenter des informations précises et opportunes concernant la justification commerciale des politiques de sécurité et la façon dont tous les actifs sont conformes et sont restés conformes tout au long de la période concernée. » explique Nick Lowe.
Les besoins sont présents et cela n’échappe pas aux responsables des entreprises même traditionnelles. Ces derniers mettent tout en œuvre pour innover le mieux possible. Car comme on peut le dire sans sourciller, ils n’ont pas le choix. « Ils voient le secteur bancaire passer d’un modèle de point de vente, de contact personnel, de brique et de mortier à un modèle très agile et toujours disponible pour les clients en déployant des solutions fintech. ». Note N. Lowe. Une évolution qui crée encore plus de concurrence, et qui transforme le consommateur en le rendant un peu plus exigeant. Surtout dans les circonstances où ces nouvelles banques dites numériques sont en mesure de fournir pratiquement les mêmes services au client des banques traditionnelles sans pour autant investir les mêmes ressources pour les attirer ou même les conserver.
Toutefois, il ne faut pas aller vite en besogne. Car plus les systèmes de ses anciennes banques se complexifient à force de vouloir s’adapter à de nouveaux modèles qui pourront proposer plus d’avantages commerciaux, principalement en se fondant sur les nouvelles technologies, il faudrait être sûr qu’elles se mettent en situation des grandes vulnérabilités. Il y a des erreurs dans ce domaine, sont difficiles à rattraper. Dans un tel contexte, la Banque centrale européenne décide alors de mener des audits de sécurité.
D’un autre côté, il faut dire que les sanctions qui pourraient êtres appliquées, en cas de non-respect des réglementations imposées par la BCE ne sont pas clairement définies. Cependant, si après un audit, il est déterminé tous les applications réseaux ne sont pas utilisés dans des conditions jugées sécuritaires par les auditeurs de la BCE, il sera en premier temps donné un délai à l’organisation pour résoudre les problèmes qui seront détectés. Si le délai passé, le problème n’est pas résolu, la Banque centrale européenne pourrait alors exiger que le programme informatique concernée soit mis hors d’usage. Malheureusement cela n’est pas de nature à améliorer les circonstances de l’entreprise surtout si l’application concernée doit répondre à une fonction clé. Ce qui passera sûrement cette dernière à se mettre en conformité.
Si ce n’est que cette année que les vérifications de sécurité informatique des banques sont devenues une exigence pour la Banque centrale européenne, il faudrait rappeler que ce processus de vérification a commencé depuis 2014. Malheureusement, de nombreuses organisations ont sous-estimé l’importance de cette tâche. « Ces banques pensaient que si elles avaient une liste définie de politiques contrôlant la connectivité réseau à leurs applications et qui était autorisé à y accéder, cela satisferait alors la BCE. Mais les banques ont découvert que le contrôle de l’accès est devenu complexe. Pour être conformes, les banques doivent entreprendre plusieurs actions différentes, y compris conserver une documentation de chaque demande d’accès, sa justification, son propriétaire commercial et si celle-ci a été approuvée. » soulignait le VP EMEA de Tufin, Nick Lowe.
Accédez maintenant à un nombre illimité de mot de passe :