Les fournisseurs de services financiers mènent de sérieuses discussions au niveau du conseil d’administration sur l’avenir de la sécurité de la main-d’œuvre. Chaque type de fournisseur de services financiers est confronté au défi d’améliorer la productivité et la satisfaction de la main-d’œuvre tout en maintenant le plus haut niveau de sécurité numérique. Il est difficile de trouver le juste équilibre, surtout si l’on considère que la menace de violations est à son plus haut niveau.
Ce n'est pas un nouveau problème, mais l'urgence de le résoudre continue de s'accélérer. Les institutions de services financiers savent qu'elles ont besoin d'un mécanisme de sécurité robuste pour les employés, qui atténue les risques associés au vol d'informations d'identification et aux attaques de phishing. Cependant, les systèmes existants et la main-d'œuvre hybride compliquent leur paysage de sécurité. Décider des « prochaines étapes » pour sécuriser et activer de manière proactive la main-d'œuvre est intimidant, ce qui amène de nombreuses organisations à réagir de manière réactive.
La sécurité basée sur l'identité peut être l'ingrédient secret de cette prochaine étape, jetant les bases d'une position de sécurité forte, d'une meilleure expérience utilisateur pour les employés et d'une productivité accrue.
Ce blog explique :
- Pourquoi vous devez être proactif dans la lutte contre les vulnérabilités de la sécurité de la main-d’œuvre
- Comment votre solution Identity and Access Management (IAM) solution existante ou personnalisée complique votre réponse
- Comment la sécurité basée sur l'identité peut aider
Les violations sont de plus en plus sophistiquées et coûteuses.
La menace des violations de données n'est pas propre au secteur des services financiers. Toutefois, les institutions financières sont une cible particulièrement intéressante pour la cybercriminalité. Une violation d'un système financier détient les clés de données lucratives : informations personnelles identifiables (PII), mots de passe, données financières et numéros de compte.
De plus, les coûts de la marque et de la fidélité sont particulièrement élevés pour les sociétés de services financiers : le public ne réagit pas favorablement aux institutions qu'il perçoit comme insuffisamment protectrices de son argent et de ses informations personnelles. Selon un Rapport 2023 d'IBM sur le coût d'une violation de données, les sociétés financières perdent environ 5,9 millions de dollars par violation de données, ce qui est 28 % plus élevé que la moyenne des organisations. Les services financiers ont subi les deuxièmes pertes les plus élevées de tous les secteurs en 2023 (les soins de santé ont obtenu l'honneur douteux d'être n° 1).
Danger de l'intérieur : la portée complète des menaces pour les employés
Le phishing et les informations d'identification compromises sont les principales causes de cette menace imminente.
Hameçonnage : L’hameçonnage est la méthode n° 1 utilisée par les criminels pour installer des rançongiciels, qui sont liés à 66 % des attaques dans les services financiers. Le volume global des attaques d’hameçonnage est à son plus haut niveau, avec 36 % de toutes les violations de données provenant de l’hameçonnage.
Vol d'identifiants : En 2023, 86 % de toutes les attaques d'applications ayant entraîné une prise de contrôle de compte et une fraude ont été causées par l'utilisation abusive d'informations d'identification. Les mots de passe sont les principaux responsables. Ils créent un enchevêtrement de problèmes et, comme les utilisateurs ne veulent pas en assurer le suivi pour divers comptes, ils sont souvent faciles à craquer.
Menaces internes: Bien que moins fréquentes, les menaces internes sont également une préoccupation majeure, car elles peuvent infliger le plus de dégâts. En moyenne, les violations internes coûtent 9,8 % de plus que la moyenne mondiale.
L'impact en couches des violations de sécurité :
- Ressources épuisées : Plus une violation compromet les données des clients, plus elle coûte cher. Les violations impliquant 50 à 60 millions d’enregistrements coûtent à leurs établissements plus de 300 millions de dollars en moyenne.
- Marque endommagée : Chaque violation érode la confiance, même les plus petites. Une fois perdue, cette confiance est extrêmement difficile à regagner, ce qui entraîne des effets néfastes à long terme sur la croissance et la fidélité de la clientèle.
- Perspectives plus sombres avec les nouveaux consommateurs : La résilience des établissements de services financiers dépend de leur capacité à conquérir les milléniaux et la génération Z. Cette génération de consommateurs férus de technologie ne touchera pas à un service numérique qu’elle perçoit comme non sécurisé.
En d’autres termes, la protection contre les menaces internes à la sécurité des données doit être une priorité absolue pour les établissements de services financiers. Qu’elle soit malveillante ou bénigne, intentionnelle ou accidentelle, la perte de données de l’intérieur est un énorme fardeau qui pèse sur chaque entreprise.
Obstacles à surmonter
Il y a une raison pour laquelle l’hameçonnage et le vol d’informations d’identification persistent à cette échelle, bien que les établissements de services financiers soient bien conscients de la marée montante de vols d’informations d’identification et d’attaques d’hameçonnage. Trop d’entreprises comptent encore sur des approches de sécurité artisanales ou fragmentées qui ne font pas le poids face à la cybercriminalité sophistiquée et généralisée. La productivité quotidienne de la main-d’œuvre est profondément liée à ces solutions.
Mais, de nombreux dirigeants craignent à juste titre qu'une nouvelle solution ne crée autant de problèmes qu'elle n'en résout. Les sociétés de services financiers ont besoin d'un partenaire de sécurité qui améliore les protections — sans être victime d'écueils courants — pour atteindre un niveau véritablement moderne de protection contre les menaces.
|
La sécurité ne doit pas compromettre l’expérience utilisateur… |
…Et cela ne devrait pas fragmenter les processus métier essentiels. |
|
Chaque entreprise du secteur des services financiers connaît la valeur de la fidélisation et de la productivité des employés. Mais des mesures de sécurité désuètes peuvent introduire des frictions excessives dans les tâches quotidiennes. Par exemple, le bombardement MFA (inonder les travailleurs d’un flot constant de requêtes MFA) réduit la productivité et augmente l’irritation du personnel. |
Les piles technologiques existantes, même celles qui ont été partiellement ou complètement migrées vers le cloud, perpétuent les silos d'entreprise et créent des expériences numériques désordonnées pour les clients et les employés. Le résultat est une expérience numérique lourde qui ralentit la main-d'œuvre et entrave la collaboration entre les unités commerciales. |
|
De plus, les entreprises doivent rester conformes aux marchés du monde entier… |
…Et éviter de surcharger les équipes informatiques et de sécurité qui essaient de faire plus avec moins. |
|
En Amérique du Nord, les lois étatiques sur la confidentialité des données et les décrets fédéraux établissent de nouvelles normes en matière de confidentialité des données, et des mesures réglementaires similaires se mettent en place dans le monde entier. Alors que les sociétés de services financiers continuent d'élargir et d'approfondir leurs liens commerciaux avec leurs partenaires et leurs clients, elles doivent le faire sans enfreindre les nouvelles normes réglementaires. |
Les équipes informatiques et de sécurité en sous-effectif ont du mal à garder une longueur d'avance sur la prochaine grande menace. Les systèmes de sécurité existants –– en particulier ceux qui produisent d'innombrables tickets d'assistance –– rendent ce travail déjà difficile encore plus difficile, affaiblissant ainsi les efforts de sécurité. |
La réponse ? Une approche de la sécurité axée sur l’Identity.
Sécurité basée sur l'identité pour l'avenir des services financiers
La sécurité axée sur l’Identity place les contrôles basés sur l’Identity au centre de l’infrastructure de cybersécurité. Dans les services financiers, cette approche répond aux changements qui sont déjà en cours (par exemple, l’adoption généralisée des services cloud et multicloud et le besoin accru d’accès à distance des employés). Elle permet aux organisations de mettre correctement en œuvre le Zero Trust (NIST SP 800-207 ZT Architecture) tout en accordant la priorité à l’expérience utilisateur, à l’agilité de l’entreprise et à la conformité.
Comment, demandez-vous ?
|
Les infrastructures de sécurité existantes placent le périmètre de sécurité sur le réseau d’entreprise, ce qui conduit à une gestion des identités et des accès (IAM) statique et inflexible qui ne peut pas répondre aux besoins de la main-d’œuvre moderne. |
La sécurité axée sur l’Identity, en revanche, place le contrôle et la surveillance continue de la gestion des accès avec l’utilisateur individuel, permettant ainsi des contrôles continus et contextuels qui répondent aux changements de risque et de confiance tout au long du parcours de l’utilisateur. |
Cette approche basée sur le cloud de Workforce Identity soutient les fondements de « l’accès au moindre privilège » de Zero Trust, ainsi qu’une foule d’avantages commerciaux essentiels :
- Moins d'incidents de violation par rapport aux solutions IAM existantes
- Réduction des coûts concernant les exigences de conformité et d’audit
- De meilleures expériences utilisateur qui offrent la sécurité sans créer de frictions excessives
- Réduction de la pression sur le personnel informatique, ce qui lui permet de s’attaquer à des initiatives plus stratégiques
Alors que le paysage des services financiers continue d'évoluer et que la menace de violations devient plus complexe, les organisations de services financiers doivent adopter un mécanisme de sécurité de la main-d'œuvre qui protège l'institution contre les menaces internes et permet une approche stratégique et agile des affaires. La sécurité basée sur l'identité permet aux institutions de services financiers de rester à l'affût, en favorisant une gestion proactive, moderne et sécurisée de la main-d'œuvre, prête à s'adapter à une nouvelle ère de travail.
Découvrez Okta
Okta est la principale société d'identité pour la connexion et la protection des travailleurs. Les employés, les entrepreneurs, les agents et les partenaires peuvent utiliser Okta pour sécuriser leurs appareils, gérer l'accès et maintenir une gouvernance d'identité forte grâce à une solution de plateforme unifiée.
- Temps de détection et de réponse aux attaques malveillantes 90 % plus rapide (Okta Internal)
- 452 000 $ d’économies annuelles en matière de sécurité grâce à la réduction du risque de violations (compagnie d’assurance)
- Certification SOX obtenue grâce à une sécurité renforcée autour du RBAC, garantissant des autorisations granulaires et minimisant les violations potentielles (Wealthsimple)
Estimations internes d’Okta : Points de données recueillis dans le cadre d’études internes d’Okta qui démontrent la valeur potentielle de l’utilisation des produits Okta.
Vous souhaitez en savoir plus sur la sécurité basée sur l'identité ? Contactez un membre de l'équipe Okta pour planifier une démonstration.
