{"id":279503,"date":"2022-07-26T18:44:41","date_gmt":"2022-07-26T20:44:41","guid":{"rendered":"https:\/\/teknomers.com\/fr\/4-mesures-que-lindustrie-financiere-peut-prendre-pour-faire-face-a-sa-surface-dattaque-croissante\/"},"modified":"2022-07-26T18:44:43","modified_gmt":"2022-07-26T20:44:43","slug":"4-mesures-que-lindustrie-financiere-peut-prendre-pour-faire-face-a-sa-surface-dattaque-croissante","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/4-mesures-que-lindustrie-financiere-peut-prendre-pour-faire-face-a-sa-surface-dattaque-croissante\/","title":{"rendered":"4 mesures que l&#8217;industrie financi\u00e8re peut prendre pour faire face \u00e0 sa surface d&#8217;attaque croissante"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le secteur des services financiers a toujours \u00e9t\u00e9 \u00e0 la pointe de l&#8217;adoption de la technologie, mais la pand\u00e9mie de 2020 a acc\u00e9l\u00e9r\u00e9 la g\u00e9n\u00e9ralisation des applications bancaires mobiles, du service client bas\u00e9 sur le chat et d&#8217;autres outils num\u00e9riques. <a rel=\"nofollow noopener\" href=\"https:\/\/business.adobe.com\/se\/resources\/reports\/digital-trends-2021-in-financial-services.html#:~:text=Digital%20transformation%20has%20been%20taking,the%20first%20half%20of%202020.\" target=\"_blank\"><em>Rapport sur les tendances FIS 2022 d&#8217;Adobe<\/em><\/a><em>, <\/em>par exemple, ont constat\u00e9 que plus de la moiti\u00e9 des entreprises de services financiers et d&#8217;assurances interrog\u00e9es ont connu une augmentation notable du nombre de visiteurs num\u00e9riques\/mobiles au premier semestre 2020. Le m\u00eame rapport a r\u00e9v\u00e9l\u00e9 que quatre dirigeants financiers sur dix d\u00e9clarent que les canaux num\u00e9riques et mobiles comptent pour plus de la moiti\u00e9 de leurs ventes &#8211; une tendance qui ne devrait se poursuivre que dans les prochaines ann\u00e9es.<\/p>\n<p>\u00c0 mesure que les institutions financi\u00e8res \u00e9tendent leur empreinte num\u00e9rique, elles ont plus de possibilit\u00e9s de mieux servir leurs clients, mais elles sont \u00e9galement plus expos\u00e9es aux menaces de s\u00e9curit\u00e9.  Chaque nouvel outil augmente la surface d&#8217;attaque.  Un nombre plus \u00e9lev\u00e9 de failles de s\u00e9curit\u00e9 potentielles peut potentiellement conduire \u00e0 un nombre plus \u00e9lev\u00e9 de failles de s\u00e9curit\u00e9.<\/p>\n<p>Selon le<a rel=\"nofollow noopener\" href=\"https:\/\/ebooks.cisco.com\/story\/2020-ciso-benchmark\/page\/4\/13\" target=\"_blank\"> Enqu\u00eate Cisco CISO Benchmark<\/a>, 17 % des organisations ont eu 100 000 alertes de s\u00e9curit\u00e9 quotidiennes ou plus en 2020. Apr\u00e8s la pand\u00e9mie, cette trajectoire s&#8217;est poursuivie.  2021 a eu une<a rel=\"nofollow noopener\" href=\"https:\/\/www.cvedetails.com\/browse-by-date.php\" target=\"_blank\"> nombre record de vuln\u00e9rabilit\u00e9s et d&#8217;expositions communes<\/a>: 20 141, ce qui a d\u00e9pass\u00e9 le record de 2020 de 18 325.<\/p>\n<p>La principale conclusion est que la croissance num\u00e9rique dans le secteur financier est <strong>ne pas <\/strong>arr\u00eat;  par cons\u00e9quent, les \u00e9quipes de cybers\u00e9curit\u00e9 auront besoin de moyens pour obtenir une visibilit\u00e9 pr\u00e9cise et en temps r\u00e9el sur leur surface d&#8217;attaque.  \u00c0 partir de l\u00e0, identifiez les vuln\u00e9rabilit\u00e9s les plus exploitables et hi\u00e9rarchisez-les pour les corriger.<\/p>\n<h2 style=\"text-align: left\"><strong>Approches traditionnelles de la validation de la s\u00e9curit\u00e9<\/strong><\/h2>\n<p>Traditionnellement, les institutions financi\u00e8res ont utilis\u00e9 plusieurs techniques diff\u00e9rentes pour \u00e9valuer leur posture de s\u00e9curit\u00e9.<\/p>\n<h4 style=\"text-align: left\"><strong>Simulation d&#8217;infraction et d&#8217;attaque<\/strong><\/h4>\n<p>La simulation de violation et d&#8217;attaque, ou BAS, aide \u00e0 identifier les vuln\u00e9rabilit\u00e9s en simulant les chemins d&#8217;attaque potentiels qu&#8217;un acteur malveillant pourrait utiliser.  Cela permet une validation de contr\u00f4le dynamique, mais est bas\u00e9 sur un agent et difficile \u00e0 d\u00e9ployer.  Cela limite \u00e9galement les simulations \u00e0 un playbook pr\u00e9d\u00e9fini, ce qui signifie que la port\u00e9e ne sera jamais compl\u00e8te.<\/p>\n<h4 style=\"text-align: left\"><strong>Test de p\u00e9n\u00e9tration manuel<\/strong><\/h4>\n<p>Les tests d&#8217;intrusion manuels permettent aux organisations de voir comment les contr\u00f4les d&#8217;une banque, par exemple, r\u00e9sistent \u00e0 une attaque r\u00e9elle, tout en fournissant une contribution suppl\u00e9mentaire du point de vue de l&#8217;attaquant.  Cependant, ce processus peut \u00eatre co\u00fbteux et n&#8217;est effectu\u00e9 qu&#8217;une poign\u00e9e de fois par an au mieux.  Cela signifie qu&#8217;il ne peut pas fournir d&#8217;informations en temps r\u00e9el.  De plus, les r\u00e9sultats d\u00e9pendent toujours des comp\u00e9tences et de la port\u00e9e du testeur d&#8217;intrusion tiers.  Si un humain manquait une vuln\u00e9rabilit\u00e9 exploitable lors d&#8217;un test d&#8217;intrusion, elle pourrait rester non d\u00e9tect\u00e9e jusqu&#8217;\u00e0 ce qu&#8217;elle soit exploit\u00e9e par un attaquant.<\/p>\n<h4 style=\"text-align: left\"><strong>Analyses de vuln\u00e9rabilit\u00e9<\/strong><\/h4>\n<p>Les analyses de vuln\u00e9rabilit\u00e9 sont des tests automatis\u00e9s du r\u00e9seau d&#8217;une entreprise.  Ceux-ci peuvent \u00eatre programm\u00e9s et ex\u00e9cut\u00e9s \u00e0 tout moment \u2013 \u200b\u200baussi souvent que souhait\u00e9.  Cependant, ils sont limit\u00e9s dans le contexte qu&#8217;ils peuvent fournir.  Dans la plupart des cas, une \u00e9quipe de cybers\u00e9curit\u00e9 ne recevra qu&#8217;une cote de gravit\u00e9 CVSS (aucune, faible, moyenne, \u00e9lev\u00e9e ou critique) pour chaque probl\u00e8me d\u00e9tect\u00e9 par l&#8217;analyse.  Leur \u00e9quipe portera le fardeau de la recherche et de la r\u00e9solution du probl\u00e8me.<\/p>\n<p>Les scans de vuln\u00e9rabilit\u00e9 posent \u00e9galement le probl\u00e8me de la fatigue des alertes.  Avec tant de <em>r\u00e9el <\/em>menaces \u00e0 g\u00e9rer, les \u00e9quipes de s\u00e9curit\u00e9 du secteur financier doivent pouvoir se concentrer sur les vuln\u00e9rabilit\u00e9s exploitables susceptibles d&#8217;avoir le plus d&#8217;impact sur l&#8217;entreprise. <\/p>\n<h4 style=\"text-align: left\"><strong>Une doublure argent\u00e9e <\/strong><\/h4>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.pentera.io\/what-is-asv\/\" target=\"_blank\">Validation de s\u00e9curit\u00e9 automatis\u00e9e<\/a>, ou ASV, offre une approche nouvelle et pr\u00e9cise.  Il combine les analyses de vuln\u00e9rabilit\u00e9, la validation des contr\u00f4les, l&#8217;exploitation r\u00e9elle et les recommandations de correction bas\u00e9es sur les risques pour une gestion compl\u00e8te de la surface d&#8217;attaque.<\/p>\n<p>L&#8217;ASV offre une couverture continue, qui donne aux institutions financi\u00e8res un aper\u00e7u en temps r\u00e9el de leur posture de s\u00e9curit\u00e9.  Combinant \u00e0 la fois une couverture interne et externe, il fournit une image la plus compl\u00e8te possible de l&#8217;ensemble de leur environnement de risque.  Et, parce qu&#8217;il mod\u00e9lise le comportement d&#8217;un attaquant r\u00e9el, il va beaucoup plus loin qu&#8217;une simulation bas\u00e9e sur des sc\u00e9narios.<\/p>\n<h2><strong>Comment le secteur financier utilise ASV<\/strong><\/h2>\n<p>Il va (presque) de soi que les banques, les coop\u00e9ratives de cr\u00e9dit et les compagnies d&#8217;assurance ont besoin d&#8217;un haut niveau de s\u00e9curit\u00e9 pour prot\u00e9ger les donn\u00e9es de leurs clients.  Ils doivent \u00e9galement respecter certaines normes de conformit\u00e9, telles que FINRA et PCI-DSS.<\/p>\n<p>Alors : comment font-ils ?  Beaucoup investissent dans des outils de validation de s\u00e9curit\u00e9 automatis\u00e9s qui leur montrent leur v\u00e9ritable risque de s\u00e9curit\u00e9 \u00e0 tout moment, puis utilisent ces informations pour cr\u00e9er une feuille de route pour la correction.  Voici la feuille de route que suivent les institutions financi\u00e8res comme Sander Capital Management\u00a0:<\/p>\n<h4 style=\"text-align: left\"><strong>\u00c9tape 1 <\/strong><b>\u2014 <\/b><strong>Conna\u00eetre leur surface d&#8217;attaque<\/strong><\/h4>\n<p>En utilisant Pentera pour cartographier leur surface d&#8217;attaque Web, ils acqui\u00e8rent une compr\u00e9hension compl\u00e8te de leurs domaines, adresses IP, r\u00e9seaux, services et sites Web.<\/p>\n<h4 style=\"text-align: left\"><strong>\u00c9tape 2 <\/strong><b>\u2014<\/b><strong>  D\u00e9fier leur surface d&#8217;attaque<\/strong><\/h4>\n<p>Exploitant en toute s\u00e9curit\u00e9 les actifs cartographi\u00e9s avec les derni\u00e8res techniques d&#8217;attaque, ils d\u00e9couvrent des vecteurs d&#8217;attaque complets &#8211; \u00e0 la fois internes et externes.  Cela leur donne les connaissances dont ils ont besoin pour comprendre ce qui est vraiment exploitable \u2013 et vaut les ressources pour y rem\u00e9dier.<\/p>\n<h4 style=\"text-align: left\"><strong>\u00c9tape 3 <\/strong><b>\u2014<\/b><strong>  Prioriser les efforts de rem\u00e9diation par impact<\/strong><\/h4>\n<p>En tirant parti de l&#8217;\u00e9mulation du chemin d&#8217;attaque, ils peuvent identifier l&#8217;impact commercial de chaque faille de s\u00e9curit\u00e9 et attribuer une importance \u00e0 la cause premi\u00e8re de chaque vecteur d&#8217;attaque v\u00e9rifi\u00e9.  Cela donne \u00e0 leur \u00e9quipe une feuille de route beaucoup plus facile \u00e0 suivre pour prot\u00e9ger leur organisation.<\/p>\n<h4 style=\"text-align: left\"><strong>\u00c9tape 4 <\/strong><b>\u2014<\/b><strong>  Ex\u00e9cution de leur feuille de route de rem\u00e9diation<\/strong><\/h4>\n<p>Suite \u00e0 une liste de mesures correctives rentables, ces organisations financi\u00e8res donnent \u00e0 leurs \u00e9quipes de s\u00e9curit\u00e9 les moyens de r\u00e9soudre les lacunes et de mesurer l&#8217;impact de leurs efforts sur leur posture informatique globale. <\/p>\n<p>Quand cela vient \u00e0 <em>ton <\/em>organisation\u00a0: savez-vous o\u00f9 se trouvent vos maillons les plus faibles afin de pouvoir les r\u00e9soudre avant qu&#8217;un attaquant ne les utilise contre vous\u00a0?<\/p>\n<p>Si vous \u00eates pr\u00eat \u00e0 valider votre organisation contre les derni\u00e8res menaces,<a rel=\"nofollow noopener\" href=\"https:\/\/go.pentera.io\/free-security-health-check\/?utm_source=dark_reading&amp;utm_medium=content&amp;utm_campaign=4-steps-to-know-jan-2022&amp;source=dark_reading&amp;medium=content&amp;campaign=4-steps-to-know-jan-2022\" target=\"_blank\"> demander un bilan de sant\u00e9 gratuit<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/4-steps-financial-industry-can-take-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le secteur des services financiers a toujours \u00e9t\u00e9 \u00e0 la pointe de l&#8217;adoption de la technologie, mais la pand\u00e9mie de 2020 a acc\u00e9l\u00e9r\u00e9 la g\u00e9n\u00e9ralisation des applications bancaires mobiles, du service client bas\u00e9 sur le chat et d&#8217;autres outils num\u00e9riques. Rapport sur les tendances FIS 2022 d&#8217;Adobe, par exemple, ont constat\u00e9 que plus de la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":279504,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,8639,4158,4165,4161,14392,1006,365,3493,4157,4159,4171,4170,3626,4167,659,4160,4163,4162,181,185,3086,4172,4169,4310,4166,4164],"class_list":["post-279503","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-croissante","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dattaque","tag-face","tag-faire","tag-financiere","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lindustrie","tag-logiciel-malveillant-de-ransomware","tag-mesures","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-peut","tag-pour","tag-prendre","tag-securite-informatique","tag-securite-internet","tag-surface","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/279503","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=279503"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/279503\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/279504"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=279503"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=279503"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=279503"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}