Cybersécurité pour les services financiers

Les transactions (trading) électroniques constituent une spécialité des services financiers qui exige que les systèmes digitaux présentent des performances optimales et pérennes. Parmi ces systèmes, les pare-feux protégeant le trafic entre les plateformes électroniques de trading et les autres systèmes de l'institution financière, notamment les systèmes d'information en temps réel des clients. C'est la satisfaction des clients qui est lésée en cas de transmission d'informations erronées (ou en cas de retard) vers les systèmes bancaires de l'institution. De telles problématiques peuvent être liées à la gigue, causée par le passage de petits paquets de données via le pare-feu de manière non successive.

Des tests menés au sein de deux grandes banques mondiales confirment que les pare-feux pour data center FortiGate assurent la latence la plus faible du marché, avec une gigue quasiment nulle. D'autre part, ces pare-feux déploient une protection évolutive pour le trafic échangé entre les infrastructures de trading électronique et les systèmes corporate. Un système intégré de prévention des intrusions (IPS), une segmentation de type intent-based avec une gestion des accès de type « zero trust », ainsi que des fonctionnalités de sécurité mobiles éliminent le besoin de déployer différents produits autonomes pour chacune de ces fonctions. Une visibilité à partir d'une interface unique améliore la productivité opérationnelle, tandis qu'une automatisation fondée sur des API aide les entreprises à définir des règles et des workflows spécifiques au trading électronique.

Ces fonctions de cybersécurité aident les entreprises à tenir leurs objectifs professionnels, tels que :

• Se conformer aux réglementations exigeant une inspection du trafic entre partenaires, sans ralentir les performances
• Améliorer l'efficacité de la sécurité en segmentant les clients et les données métiers selon leur sensibilité
• Améliorer la visibilité pour faciliter l'automatisation et simplifier la gestion

Les entreprises tirant parti des plateformes d'automatisation pour déployer leurs infrastructures via le modèle Infrastructure-as-Code (IaC) bénéficient des avantages majeurs d'un modèle de provisioning automatisé et simplifié. Souvent déployé en parallèle des processus DevOps, l'IaC accélère et simplifie les modifications aux infrastructures. Ceci dope la productivité opérationnelle mais expose les entreprises à des vulnérabilités potentiellement non connues.

La meilleure façon de déployer le modèle IaC est d'opter pour une approche de type Security-as-Code qui consiste à intégrer volontairement la sécurité au sein de la structure des applications DevOps. Les pare-feux de segmentation interne (ISFW) FortiGate tirent parti d'une intent-based security pour segmenter intelligemment l'infrastructure en fonction de l'intention métier, appliquer un contrôle flexible des processus et offrir une protection automatisée contre les menaces sur l'ensemble de l'environnement IaC. FortiManager et FortiAnalyzer offrent une gestion centralisée du réseau et de la sécurité, la corrélation des logs et un traitement analytique des données pour permettre une sécurité performante et robuste, à partir d'une seule console. L'écosystème ouvert de Fortinet permet une intégration transparente et étroite avec des plateformes tierces d'automatisation via les Fabric Connectors et une interface API REST (Robust Representational State Transfer Application Program Interface).

Une solution Security-as-Code de Fortinet sécurise l'infrastructure IaC en :

• Protégeant le trafic réseau sensible sans peser sur les performances
• Segmentant le trafic réseau selon l'intention professionnelle, ce qui renforce la conformité et prévient les piratages

Aujourd'hui, l'infrastructure IT d'une entreprise ne s'arrête pas aux murs de son data center privé. Une enquête récente a identifié que 85 % des entreprises exploitent des clouds publics et privés clouds. Les technologies SD-WAN transportent désormais le trafic réseau des entreprises sur l'Internet public, tandis que les objets connectés prolifèrent en périphérie de réseau. Il en résulte qu'une cybersécurité dont l'approche se fonde sur le périmètre réseau n'est plus adaptée aux institutions financières. Il est plus efficace de penser en termes de zone d'inspection de contenu, à savoir un périmètre virtuel qui couvre les data centers corporate, différents clouds, les objets connectés et le trafic réseau transporté vers l'Internet public.

Les pare-feux de nouvelle génération (NGFW) FortiGate utilisent des processeurs de sécurité conçus sur mesure et la veille sur les menaces des FortiGuard Labs, pour concrétiser une inspection performante du trafic en clair et chiffré. La visibilité et le contrôle, proposés à partir d'une interface unique et sur les environnements sur site et cloud, alimente la productivité opérationnelle et renforce la sécurité. La Security Fabric de Fortinet favorise une intégration de bout en bout des différents outils de sécurité proposés par Fortinet et par des tiers, à l'aide des Fabric Connectors et d'une API ouverte. Une veille sur les menaces robuste et adossée à l'intelligence artificielle alimente la totalité de l'architecture de sécurité, ce qui permet une détection et une réponse en temps réel des menaces.

Une architecture de sécurité intégrée et optimisée par Fortinet présente de multiples avantages :

• Une meilleure productivité opérationnelle grâce à l'élimination des processus manuels de sécurité
• Une maîtrise des coûts issue de la consolidation de la cybersécurité et l'élimination des licences redondantes
• Un reporting de conformité simplifié, qui accélère la préparation des audits
• Une sécurité renforcée avec des workflows automatisés de prise en charge des menaces et une veille en temps réel sur ces mêmes menaces

Face à un trafic réseau qui progresse, notamment vers et à partir des data centers cloud, les institutions financières subissent des coûts supplémentaires pour maintenir un niveau acceptable de performances réseau entre les sites distants et le siège social. Investir dans de la bande passante MPLS supplémentaire s'avère onéreux. Et cette approche ne garantit en rien l'évolutivité face à la demande future du réseau. Parallèlement, les sites distants, ainsi que les dispositifs edge qu'ils hébergent, sont des cibles privilégiées pour les cybercriminels, qui les considèrent comme étant plus simples à pirater.

Le SD-WAN sécurisé de FortiGate permet au trafic réseau d'être acheminé en toute sécurité entre les sites distants et le siège social, notamment via Internet. Le trafic n'a plus à être acheminé via le data center à des fins d'inspection, ce qui prévient les ralentissements résultant de la latence. L'évolutivité est au rendez-vous pour l'infrastructure réseau qui interconnecte les sites distants avec le siège social, ce qui élimine tout investissement futur en bande passante.

Sur les sites distants, Fortinet SD-Branch permet aux acteurs des services financiers d'associer les fonctions réseau et de sécurité pour ces sites, des fonctions administrées à partir d'un seul pare-feu NGFW. Cette solution intègre les commutateurs FortiSwitch, les points d'accès FortiAP, et le module d'extension 4G/WAN FortiExtender, pour assurer un réseau sécurisé et hautes-performances au niveau des sites distants. La solution de contrôle d'accès (NAC) FortiNAC offre une solution qui offre une visibilité et un contrôle sur l'ensemble des dispositifs IoT présent sur la périphérie du réseau.

FortiGate Secure SD-WAN et Fortinet SD-Branch renforcent la sécurité et les performances réseau à l'échelle des réseaux des sites distants en:

• En offrant un réseau orienté sécurité, il devient plus complexe pour les cybercriminels de pénétrer sur ce réseau à partir d'un site distant
• Alimentant la productivité opérationnelle en associant fonctions réseau et de sécurité au sein d'un seul produit et donc pilotées par ce seul dispositif

Les attaques menées par les cybercriminels progressent en volume, en rapidité et en sophistication. Les institutions bancaires comptent parmi les cibles principales. Les équipes de sécurité qui traitent manuellement les menaces sont submergées par le nombre d'alertes et peinent à neutraliser des menaces toujours plus rapides. Parallèlement, les menaces provenant de l'intérieur, qu'elles soient fortuites ou d'origine malveillante, imposent un risque supplémentaire aux acteurs des services financiers, ces derniers constituant une cible de valeur.

Pour neutraliser ces menaces, il s'agit d'opter pour une approche ciblant à la fois les malware et les assaillants. La ligne de défense qui en résulte doit tirer parti d'une veille sur les menaces robuste et en temps réel. Tous les outils de la Security Fabric tirent parti de cette veille adossée à de l'intelligence artificielle, fournie par les Fortinet Labs, et basée sur un réseau de veille parmi les plus importants au monde. L'IA et le machine learning (ML) permettent d'identifier les menaces inconnues et zero-day, de plus en plus communes suite à l'utilisation de techniques évoluées par les cybercriminels, comme les menaces polymorphes.

FortiSandbox déploie une nouvelle couche de protection contre les menaces zero-day. La solution examine les fichiers inconnus au sein d'un environnement cloisonné, en amont de tout accès au réseau. Et puisque 60 % des malware sont désormais chiffrés, l'inspection des flux SSL (secure sockets layer) et TLS (transport layer security) proposée par les pare-feux nouvelle-génération (NGFW) FortiGate permet d'analyser les flux chiffrés, sans peser sur les performances.

Une ligne de défense qui s'adapte aux assaillants déploie un arsenal d'outils pour identifier et neutraliser ceux qui infiltrent le réseau, qu'ils soient au sein ou hors de l'entreprise, ou que leurs intentions soient malveillantes ou pas. FortiDeceptor permet de leurrer les assaillants pour qu'ils se révèlent avant tout dommage perpétré. Enfin, FortiInsight neutralise les menaces internes en assurant un monitoring permanent des utilisateurs et des endpoints, à la recherche de comportements non conformes, suspects ou anormaux qui laissent suggérer une exaction.

Cette approche permet aux entreprises de juguler les menaces évoluées en :

• Déployant une ligne de défense en profondeur qui détecte les menaces zero-day
• Neutralisant les actions des assaillants, en utilisant le même niveau de sophistication technologique et en jugulant leurs campagnes