Le Zero Trust : la pièce manquante pour les services financiers
Alexandre Cogné, Expert Cyber, Chez Ping Identity
Les DSI et autres dirigeants d’entreprises de services financiers se retrouvent face à une multitude d’initiatives : ils doivent économiser de l’argent, renforcer la sécurité et rendre le quotidien des utilisateurs plus facile.
Nombreux sont ceux qui se sentent poussés à prendre des initiatives dans le cloud, cherchant à réduire les coûts d’infrastructure et à atténuer les risques opérationnels grâce à une disponibilité et une fiabilité de niveau professionnel. Ce raisonnement est judicieux : les solutions SaaS vont souvent apporter de la valeur tout en permettant une certaine flexibilité en termes d’offre de services aux employés, aux partenaires et aux clients, tout en réduisant la position de risque globale de l’organisation.
Autorisation : la pièce manquante du Zero Trust
Ce n’est pas parce que le contrôle d’accès au réseau n’est pas la solution complète qu’il est impossible de mettre en place une architecture de Zero Trust pour votre organisation. L’autorisation est la pièce manquante des solutions Zero Trust de nombreuses organisations de services financiers. L’authentification des utilisateurs lorsqu’ils demandent l’accès à un réseau ou à une application spécifique est une partie importante et nécessaire de la sécurité, mais votre organisation doit autoriser chaque demande d’accès pour s’aligner véritablement sur les bonnes pratiques du Zero Trust.
L’identité numérique est le seul moyen de vérifier les utilisateurs, d’authentifier chaque demande d’accès et d’autoriser les demandes post-authentification afin de garantir que seules les bonnes personnes accèdent aux bonnes ressources. L’identification et l’authentification ne sont que les premières étapes du parcours de l’utilisateur : l’autorisation dicte chaque demande d’accès par la suite. Les principes du Zero Trust exigent que vous autorisiez en permanence les utilisateurs de manière appropriée lorsque les employés, les partenaires et les clients tentent d’accéder à des ressources sensibles. L’autorisation permet d’évaluer les signaux de risque en temps réel après le point d’authentification et pendant toute la durée de la session de l’utilisateur.
Pourquoi mener des initiatives de Zero Trust avec l’identité ?
- L’identité accélère la transformation numérique
Au cours des dernières années, les organisations de services financiers ont dû mettre à jour leurs politiques pour les travailleurs, les partenaires et les clients afin de répondre aux besoins de toutes les parties, y compris le télétravail, la surveillance accrue de la réglementation et l’évolution des exigences en matière d’expérience client. Votre organisation a probablement dû transformer ses procédures et ses actifs numériques pour relever certains de ces défis.
- L’identité permet l’autorisation
La protection de l’accès aux données est cruciale pour les employés, les partenaires et les clients. L’autorisation est le seul moyen d’obtenir le niveau de contrôle granulaire nécessaire pour répondre aux demandes d’accès d’une manière qui protège votre organisation contre les attaques internes et latérales. L’identité vous permet également d’évaluer dynamiquement la demande d’accès d’un utilisateur. L’autorisation dynamique est l’application en temps réel d’une logique d’entreprise fine concernant ce que les utilisateurs peuvent voir et faire, dans quel contexte et dans quel but. L’autorisation dynamique permet aux équipes de lutte contre la fraude des entreprises de services financiers d’agréger les signaux de risque provenant de l’ensemble de l’entreprise afin d’élaborer des politiques et de déterminer les parcours des utilisateurs en fonction des différents niveaux de confiance individuels. La possibilité de vérifier le niveau de risque associé à un utilisateur et à son contexte de session en temps réel permet aux organisations d’anticiper les nouvelles tendances en matière de menaces et d’adapter en permanence les expériences des utilisateurs au niveau de confiance approprié.
- L’identité rend l’intégration plus facile
Le Zero Trust n’est pas une solution à fournisseur unique, et ce n’est pas non plus un produit unique. Les entreprises de services financiers doivent pouvoir intégrer les solutions d’identité dans leur tech stack existante afin de ne pas avoir à remplacer l’architecture existante, ce qui bloquerait d’autres initiatives de transformation numérique. Avec un hub d’identité, tout votre personnel, y compris vos équipes de sécurité, de lutte contre la fraude et de réponse aux incidents, peut jouer à partir du même cahier des charges. Cela crée un alignement organisationnel, ce qui facilite la résolution des problèmes et vous permet d’y répondre rapidement et efficacement. En disposant d’un hub d’identité, vos équipes ne sont plus liées séparément aux calendriers des versions informatiques ou ne travaillent plus à partir d’une vue incomplète des employés, des partenaires et des clients. Au contraire, elles ont accès à une vue unique des attributs des utilisateurs, ce qui leur permet de sécuriser efficacement les ressources, de repérer les menaces de manière proactive et de répondre rapidement aux incidents.
L’identité facilite l’intégration et l’alignement. Les organismes de services financiers ont du mal à comprendre la sécurité « Zero Trust » lors de leur passage aux services en cloud. Pour commencer, ils sont souvent pris entre le marteau et l’enclume : coincés entre les demandes numériques en constante évolution des clients et la conformité avec les réglementations nationales et fédérales. Si l’on ajoute à cela les initiatives de transformation numérique de l’organisation, comme le passage au cloud, la responsabilité de prévenir les incidents de sécurité tout en assumant les responsabilités traditionnelles de gestion des identités peut facilement submerger les équipes de sécurité.