Zero Trust pour les services financiers : la pièce manquante

Les entreprises de services financiers ont du mal à donner un sens à la sécurité Zero Trust dans leur parcours vers les services cloud. Pour commencer, ils sont souvent pris entre le marteau et l’enclume : pris entre les exigences digitales des clients en constante évolution et la conformité aux réglementations nationales et fédérales. Et lorsque vous ajoutez des projets structurels de transformation digitale tels que la migration vers le cloud, la nécessité de prévenir les incidents de sécurité tout en assumant les responsabilités traditionnelles de gestion des identités peut facilement surcharger les équipes en charge de la sécurité. 

Les DSI et autres dirigeants au sein des entreprises de services financiers se retrouvent face à un ensemble disparate d’exigences à satisfaire simultanément : le besoin de réduire les coûts, de renforcer la sécurité et de mieux satisfaire leurs utilisateurs. Nombre d’entre eux sont incités à migrer vers le cloud, afin de réduire les coûts d’infrastructure et de réduire les risques opérationnels avec un haut niveau de disponibilité et de fiabilité. Ce raisonnement a du sens : les solutions SaaS apportent souvent de la valeur tout en permettant plus de flexibilité en offrant le maximum de services aux employés, partenaires et clients tout en réduisant l’exposition globale aux risques de votre organisation.

Toutefois, en respectant les principes du Zero Trust, et spécifiquement en guidant votre parcours vers le Zero Trust avec l’identité, non seulement vous améliorerez la posture de sécurité de votre organisation, mais vous faciliterez aussi votre transformation digitale.  

Zero Trust, qui est un nouveau modèle de sécurité, est conçu autour du principe de « ne jamais faire confiance, toujours vérifier ». Ou, comme l’affirment Evan Gilman et Doug Barth dans leur livre O’Reilly Zero Trust Networks : « Dans le modèle [Zero Trust], rien n’est acquis et chaque demande d’accès, qu’elle soit faite par un client dans un café ou par un serveur dans le datacenter, est rigoureusement vérifiée et validée avant d’être autorisée ». 

L’idée que chaque demande d’accès doive être explicitement évaluée est particulièrement pertinente pour les entreprises de services financiers en raison de l’importance des réglementations relatives à la protection des données, et des conséquences coûteuses pour les organisations qui échouent à protéger les informations personnelles et les ressources financières de leurs clients. La documentation sur le Zero Trust est souvent axée sur le concept de « périmètre », c’est à dire l’idée qu’une approche basée sur un périmètre réseau ne protégera pas votre organisation de manière adéquate contre des attaques internes et latérales. 

Exprimé différemment, historiquement le contrôle d’accès réseau est basé sur un modèle dit « castle-and-moat », dans lequel le château (castle) représente les ressources de votre organisation, et les douves (moat) correspondent au réseau qui empêche les acteurs malveillants d’accéder à l’enceinte du château. Dans ce modèle, une fois que les utilisateurs ont franchi les douves, ils peuvent se déplacer librement dans l’enceinte du château, ce qui ouvre la porte à toutes sortes d’attaques internes et latérales, sans parler des dommages en termes de sécurité, de réputation et de coûts qui les accompagnent.

Les anciens modèles de sécurité tels que le Network Access Control s’appuient sur ce modèle « castle-and-moat », qui ne peut pas correctement sécuriser les ressources d’une organisation ou fournir la rigueur nécessaire pour évaluer les demandes d’accès sans savoir qui en est l’origine. 

Le simple fait que le Network Access Control ne règle pas tout, toutefois, ne veut pas dire qu’aller vers une Architecture Zero Trust soit impossible pour votre organisation. Comme l’indiquent Gilman et Barth, l’autorisation est la pièce manquante des solutions Zero Trust de nombreuses entreprises de services financiers. Authentifier les utilisateurs lorsqu’ils souhaitent accéder à un réseau ou à une application spécifique est une partie importante et nécessaire de la sécurité, mais votre organisation a besoin d’autoriser chaque demande d’accès pour s’aligner véritablement aux meilleures pratiques du Zero Trust. 

Vous ne pouvez pas faire confiance à ceux que vous ne connaissez pas. Lorsque le Network Access Control ne peut plus être un modèle de sécurité à suivre et que vous avez besoin de services d’authentification et d’autorisation pour disposer du niveau de sécurité nécessaire pour votre organisation, l’identité est ce qu’il vous reste. 

L’identité digitale est la seule façon de vérifier les utilisateurs, d’authentifier chaque demande d’accès et d’autoriser les demandes après l’authentification pour s’assurer que seules les bonnes personnes accèdent aux bonnes ressources. L’identification et l’authentification ne sont que les premières étapes du parcours utilisateur : après cela, l’autorisation dicte chaque demande d’accès. 

Conformément aux principes de Zero Trust, vous devez correctement autoriser les utilisateurs en continu lorsque les employés, les partenaires et les clients essayent d’accéder à des ressources sensibles. L’autorisation permet d’évaluer les signaux de risque en temps réel après l’étape de l’authentification et tout au long de la session de l’utilisateur. 

L’autorisation en continu signifie que lorsque le contexte en temps réel change, vous pouvez modifier l’autorisation, en imposant une nouvelle exigence ou en supprimant l’accès lorsque cela est nécessaire, même si cet accès a été précédemment autorisé. Il en résulte une meilleure prise de décision concernant les demandes d’accès quel que soit le moment où elles surgissent pendant le parcours utilisateur. 

Sans fonctionnalités d’autorisation, quel que soit la segmentation ou l’ancienneté de votre firewall, vos équipes n’auront pas les outils pour ajouter des contrôles là où cela est adapté dans les parcours utilisateur et refuser l’accès si nécessaire. En guidant vos projets Zero Trust avec l’identité, vous pourrez vérifier rigoureusement que les utilisateurs sont à la fois authentifiés correctement et autorisés à accéder aux ressources et à réaliser les actions demandées.

1. L’identité accélère la transformation digitale

Au cours des dernières années, les entreprises de services financiers ont dû mettre à jour leurs politiques pour les employés, les partenaires et les clients afin de satisfaire les besoins de toutes les parties, notamment le télétravail, le respect accru des réglementations et l’évolution des exigences en termes d’expérience client. Votre organisation a probablement dû transformer ses procédures et ses ressources digitales pour surmonter certaines de ces difficultés.

Lorsque l’identité guide vos projets Zero Trust, vous disposez des bases pour faire d’autres projets business une priorité. Par exemple, TIAA, l’un des plus grands prestataires de services financiers dans les domaines universitaire, de la recherche et du médical, utilise les fonctionnalités de l’IAM pour repousser les limites du possible en termes de sécurité et proposer de meilleures expériences client. L’identité permet à TIAA de sécuriser les parcours utilisateurs en évaluant les signaux de risque lors des demandes d’accès pour simplifier et personnaliser les expériences client.

2. L’identité permet l’autorisation

Protéger l’accès aux données est crucial pour les employés, les partenaires et les clients. L’autorisation est la seule façon d’obtenir le niveau de contrôle au cas par cas nécessaire pour répondre aux demandes d’accès de manière à protéger votre organisation contre les attaques internes et latérales.

Les autorisations guidées par l’identité déverrouillent le contrôle d’accès basé sur les attributs (ABAC), qui est une approche flexible pour les décisions d’autorisation, en utilisant des informations supplémentaires (attributs) pour informer des décisions dictées par des politiques. Les attributs peuvent inclure des propriétés telles que des signaux de risques et basés sur le contexte, des attributs de l’utilisateur, des attributs de ressources et des attributs environnementaux (tels que l’heure, la date et lieu de l’accès) pour mieux renseigner la décision sur la demande d’accès. Utiliser des attributs pour renseigner la prise de décision sur l’autorisation complète les contrôles d’accès réseau et apporte finalement un meilleur contrôle à vos équipes en charge de la sécurité.

L’identité vous permet aussi d’évaluer de façon dynamique la demande d’accès d’un utilisateur. L’autorisation dynamique est la mise en place en temps réel d’une logique business au cas par cas autour de ce que les utilisateurs peuvent voir et faire, dans quel contexte et dans quel but. L’autorisation dynamique permet aux équipes des entreprises de services financiers en charge des fraudes d’agréger des signaux de risque issus de l’ensemble de l’organisation pour définir des politiques et déterminer des parcours utilisateur en fonction du niveau de confiance de chaque individu. 

La capacité à vérifier le niveau de risque associé à un utilisateur et le contexte de sa session en temps réel, permet aux organisations d’être en avance sur les menaces émergentes pour adapter en permanence les expériences utilisateur au niveau de confiance adapté. Externaliser et centraliser les politiques d’accès ainsi que leur application facilite aussi la capacité d’extension dans un monde où les exigences réglementaires et les objectifs business sont en constante évolution. En savoir plus sur les moyens spécifiques utilisés par les architectes des services financiers pour adopter l’autorisation dynamique au profit de leur organisation. 

3. L’identité facilite l’intégration et l’alignement

Zero Trust n’est pas une solution construite par un seul fournisseur ; et ce n’est pas non plus un produit unique. Les entreprises de services financiers ont besoin de pouvoir intégrer des solutions de gestion des identités dans leur système informatique existant, afin qu’ils n’aient pas à supprimer et remplacer une architecture existante, en bloquant d’autres projets de transformation digitale. Une solution d’identité reposant sur des standards vous offre la capacité d’intégration nécessaire pour améliorer et étendre votre système informatique existant, tout en vous permettant de construire un hub d’identité, c’est à dire une base d’identité qui garantit que vos applications existantes, quel que soit le lieu où elles sont déployées, peuvent communiquer et accomplir ce qui est nécessaire pour vos équipes et vos clients finaux.

Grâce à un hub d’identité, tous vos collaborateurs, y compris vos équipes en charge de la sécurité, des fraudes et des réponses aux incidents, peuvent jouer la même partition. Il en découle un alignement organisationnel, qui facilite la résolution des problèmes et vous permet de répondre rapidement et efficacement aux difficultés qui se présentent. Disposer d’un hub d’identité veut dire que vos équipes ne sont plus séparément dépendantes de calendriers de mises à jour informatiques ou ne dépendent plus d’une vue incomplète des employés, des partenaires et des clients. Au lieu de cela, ils ont accès à une seule et même vue des attributs des utilisateurs, ce qui leur permet de sécuriser efficacement les ressources, d’identifier en amont les menaces et de répondre rapidement aux incidents.

Les projets Zero Trust de votre entreprise de services financiers et vos projets de transformation digitale peuvent avoir lieu simultanément. Le Zero Trust, en tant que modèle, consiste fondamentalement à intégrer la sécurité dans votre infrastructure informatique, au lieu d’y rajouter une couche, pour établir correctement la confiance et ouvrir des expériences sécurisées pour vos employés, vos partenaires et vos clients. L’identité permet de créer un cadre Zero Trust robuste qui vous permet, à vous et à votre équipe, d’appliquer le niveau approprié de frictions à tous les parcours utilisateur lorsque cela a du sens, tout en respectant de complexes réglementations fédérales, pour atteindre les objectifs de transformation digitale de votre équipe.

Pour en savoir plus sur les avantages que l’identité peut apporter à votre organisation, découvrez notre fiche technique Solutions IAM pour les services financiers.