Comment les institutions financières peuvent-elles répondre à l’impératif de « résilience opérationnelle »
Que votre source d’information soit le FT, la BBC ou le Daily Mail, les gros titres des pannes d’entreprises liées aux données et les atteintes à la crédibilité qui en découlent sont en augmentation. Des pannes de données aux attaques de ransomware de plus en plus audacieuses à tous les niveaux des organisations publiques et privées, la gestion des données est devenue un sujet courant et très visible.
Aujourd’hui, la sécurité, l’accessibilité et la gestion des données constituent les aspects les plus importants du risque de réputation pour toute institution financière. Pour les banques commerciales et privées, les fonds de pension, les compagnies d’assurance ou toute entreprise chargée de la gestion sécurisée des données personnelles identifiables, ainsi que de l’épargne et des retraites des particuliers, cela est encore plus critique.
La prise en compte du risque de réputation n’est cependant qu’un facteur parmi d’autres dans l’impératif commercial plus large d’assurer la « résilience opérationnelle ».
La résilience opérationnelle fait référence à la capacité des entreprises à prévenir et à se remettre des perturbations de leurs opérations commerciales critiques. Une forte résilience opérationnelle et cyber est essentielle à la stabilité et à la fiabilité de toute entreprise, car elle garantit que les organisations peuvent continuer à fournir des services essentiels à leurs clients, même face à des perturbations majeures.
Les combinaisons de plus en plus répandues d’environnements de données opérationnelles critiques sur site et multicloud hybrides pour l’entreprise entraînent un risque accru de perturbation. Seule une partie relativement petite des charges de travail exécutant aujourd’hui des charges de travail critiques dans le cloud public est conçue de cette façon. Beaucoup sont simplement des applications héritées qui ont été « transférées » vers le cloud, ce qui signifie que très peu d’applications ont une tolérance intégrée à une panne majeure, telle que la perte d’une zone de disponibilité complète.
Et deuxièmement, comment détecter plus efficacement les éléments évitables, comme les attaques de ransomwares ?
Même si l’erreur humaine constitue toujours un facteur de risque, toutes les institutions financières doivent également se rendre à l’évidence : une attaque de ransomware est inévitable. À mesure que l’adoption du cloud continue de s’accélérer, le risque augmente, et l’organisation informatique moderne a besoin d’une plate-forme élastique, évolutive et optimisée pour le multi-cloud pour gérer et protéger automatiquement ses données de manière efficace et transparente.
La détection précoce des ransomwares permettra de sécuriser davantage une organisation, mais uniquement lorsqu’elle est combinée à un plan de réponse complet qui est régulièrement testé, répété et communiqué en permanence à toutes les parties prenantes pour garantir une résilience commerciale réussie.
En ce qui concerne les tests de résistance potentiels des institutions financières, beaucoup trop d’entre elles disposent d’une combinaison d’outils, de solutions et de plans qui ne sont pas testés. Ceux-ci échouent alors au point de rupture. La stratégie clé consiste à investir pour pouvoir tester le plan de manière continue. Il ne s’agit pas d’un cas isolé : il s’agit d’un processus vivant, capable de s’adapter pour réagir à l’évolution rapide des nouvelles cybermenaces.
Pour garantir une résilience opérationnelle efficace face aux attaques de ransomwares, les équipes informatiques des institutions financières doivent :
1. Mettre en œuvre des processus robustes de gestion des risques pour identifier et évaluer les attaques potentielles de ransomware et élaborer des stratégies pour les prévenir ou les atténuer.
2. Élaborer et tester régulièrement des plans d’urgence pour garantir que leur entreprise peut continuer à fournir des services essentiels en cas d’attaque.
3. Investissez dans des systèmes informatiques redondants et résilients pour réduire la probabilité de perturbations suite à une attaque et améliorer la capacité de l’entreprise à s’en remettre.
4. Former et recycler régulièrement le personnel et tous les tiers prestataires de services aux procédures de résilience opérationnelle face à une attaque. Trop souvent, les principaux partenaires d’externalisation ne reçoivent pas de mises à jour sur les procédures de communication critiques à cet égard.
5. Répétez régulièrement le plan avec des exercices pour tester les processus de cyber-résilience informatique et identifier les domaines à améliorer. Celles-ci doivent se faire avec les salariés et les prestataires. S’assurer que chacun connaît le plan ainsi que ses rôles et responsabilités lors d’une attaque est le facteur le plus souvent négligé dans la création de résilience opérationnelle.
6. Travailler en étroite collaboration avec les régulateurs et les organisations industrielles pour rester informé des meilleures pratiques et des menaces émergentes.
Au sein des organisations touchées par une attaque de ransomware, on se précipite souvent pour attribuer la faute. Qui est responsable de cette violation ? Souvent, la faute est imputée au CIO ou au CTO, et même les PDG sont potentiellement responsables. Trop souvent, la cause première de l’effondrement de la résilience opérationnelle est en réalité un échec de communication. Soit en interne entre les unités commerciales ou les groupes fonctionnels, ou plus souvent lorsque les processus planifiés n’ont pas été suffisamment testés ou mis à jour avec les principaux sous-traitants ou prestataires de services informatiques.
Avec une dépendance croissante aux services de cloud public pour les opérations critiques de l’entreprise, les dirigeants doivent également savoir clairement quelles fonctionnalités de sécurité sont fournies dans le cadre de leurs contrats de services cloud et lesquelles restent sous leur propre responsabilité.
En réalité, tous les partis sont quelque peu coupables. Ainsi, face à une cyberattaque, qu’elle soit malveillante ou accidentelle, les organisations doivent agir en équipe. Ce n’est qu’en s’unissant et en mettant en œuvre par tous un plan de redressement bien préparé que la résilience opérationnelle pourra véritablement être maintenue, les risques commerciaux minimisés et les données des clients ainsi que leurs précieuses épargnes ou retraites pourront être protégées.
À l’horizon 2024, le paysage financier sera transformé à mesure que les nouvelles technologies entreront davantage en jeu. L’intelligence artificielle change la donne car elle peut déjà faciliter le processus via la détection des anomalies et le filtrage des logiciels malveillants. L’IA peut également prendre en charge certaines opérations financières et les rendre autonomes, comblant dans certains cas les déficits de compétences au sein de services informatiques surchargés. Mais l’IA n’est pas la solution miracle : à mesure que les institutions financières l’utilisent davantage, les criminels aussi. Cela crée une bataille sans fin et constituera un défi permanent pour les professionnels de la finance et les équipes informatiques dans les années à venir.
