La numérisation s’apparente à un baptême du feu pour le secteur financier, les institutions financières traditionnelles étant en concurrence avec les nouvelles banques issues du paysage FinTech. Les infrastructures informatiques établies sont confrontées à des modèles d’entreprise innovants. Le cadre SASE et une architecture de sécurité Zero Trust sous-jacente apportent une solution pratique à de nombreux défis que pose la transformation digitale.
L’évolution des exigences des clients, l’engouement pour les services en ligne, les banques directes : la transformation digitale inquiète les institutions financières. Les banques traditionnelles sont parmi les plus durement touchées. Elles se situent entre tradition et modernité ; il en va de même pour leur infrastructure. Les processus informatiques du secteur bancaire s’exécutent généralement sur des réseaux sur site pilotés par des mainframes (ordinateurs centraux) : ils garantissent le bon fonctionnement des processus financiers conventionnels et le respect des réglementations légales. Toutefois, le cloud introduit un nouvel univers informatique dans le quotidien des prestataires de services financiers, caractérisé par de nouvelles méthodes de travail (mobile/à distance), et par des réactions rapides aux demandes des clients, ainsi qu’à toutes les autres exigences de conformité associées au cloud.
Le réseau, le nerf de la guerre
La modernisation de la gestion et de la sécurité des réseaux fait simultanément pencher la balance vers l’harmonisation des diverses exigences du secteur financier. À cet égard, l’accent est moins mis sur un mainframe, des clients ou un serveur, que sur une architecture informatique nouvellement conçue qui prend en charge une extension vers le cloud pour faciliter la transformation digitale, permet la mise en œuvre simple de modèles commerciaux et la réalisation d’initiatives d’un « nouveau mode de travail » à l’avenir. Dans ce contexte, l’architecture existante pose de multiples défis : elle doit prendre en charge les mesures de sécurité, qui sont cruciales pour les banques. Plus encore, elle doit servir des modèles économiques innovants et simultanément satisfaire des attentes élevées en matière d’expérience utilisateur. L’objectif n’est pas ici de remplacer les mainframes du monde bancaire, mais de créer une infrastructure hybride qui répond aux exigences modernes et concilie ce besoin avec l’infrastructure traditionnelle.
Or, c’est précisément là que se pose un problème typique : les connexions entre les collaborateurs distants et l’infrastructure réseau de la banque reposent généralement sur des solutions d’accès à distance telles que les réseaux privés virtuels (VPN). À l’origine, les VPN étaient conçus pour permettre à quelques employés itinérants d’accéder aux données de l’entreprise. Pour répondre aux exigences de sécurité, le trafic doit transiter par de nombreuses appliances telles que des équilibreurs de charge, des pare-feu ou des contrôles DDoS pour permettre l’accès à l’application souhaitée. Il en résulte des temps de latence élevés et une productivité réduite des employés de banque. De plus, les failles de sécurité de la technologie VPN constituent un risque élevé d’infection. Ce risque est encore accru par les défis inhérents aux nouvelles méthodes de travail. Les outils de collaboration hautes performances, tels que Microsoft Teams, Zoom ou Slack, par exemple, pèsent lourdement sur la connectivité. À l’heure de la transformation digitale, une politique d’accès conventionnelle n’est pas en mesure de suivre les évolutions d’un monde du travail mobile/distant. La situation est similaire avec les bureaux virtuels (VDI), fréquemment utilisés dans le secteur financier. Pour des raisons de sécurité, seule une image de l’application réelle est créée sur le bureau. Cependant, la technologie de virtualisation est confrontée à des problèmes de latence qui non seulement en compliquent l’administration, mais la rendent comparativement peu sûre et coûteuse. Elle entrave les solutions cloud innovantes et n’est pas en mesure de s’adapter aux méthodes de travail modernes faute de convivialité.
Microsoft 365 : un catalyseur de la numérisation
Les méthodes d’accès utilisées jusqu’à présent peuvent difficilement fournir les performances requises pour répondre aux exigences techniques de haut niveau du monde numérique. Dans la pratique, Microsoft 365 sert souvent de catalyseur pour repenser les architectures informatiques existantes. La suite cloud requiert des bandes passantes relativement élevées et de faibles latences pour garantir la satisfaction des utilisateurs. Le SASE (Secure Access Service Edge) apporte une solution à ces problèmes : le modèle d’architecture cloud de Gartner réunit les fonctions de réseau, de connectivité et de sécurité en tant que service. En résumé, le SASE permet à des institutions financières, des réseaux et des stratégies de sécurité entières de se réinventer de manière globale. Ce cadre de sécurité a été spécialement conçu pour répondre à une combinaison d’exigences de connectivité et de sécurité induites par le fait que les applications, les appareils et les utilisateurs se trouvent en dehors des périmètres de réseau traditionnels.
Le SASE combine les fonctions de sécurité et de réseau dans un cadre unifié, qui inclut tous les environnements de travail, et préconise que les technologies cloud relient un réseau étendu défini par logiciel (SD-WAN) aux fonctions de sécurité. Outre les pare-feu basés sur le cloud (FWaaS), le cadre SASE comprend des fonctionnalités telles que des passerelles Web sécurisées (SWG), un CASB (Cloud Access Security Broker) et, plus important encore, un accès réseau Zero Trust (ZTNA). Une plateforme de sécurité centrée sur le cloud répond aux exigences de sécurité du secteur financier et bancaire en fournissant une sécurité uniforme basée sur des lignes directrices qui ne sont définies qu’une seule fois, indépendamment des sites, des centres de serveurs, des environnements multicloud ou des bureaux.
Zero Trust : la sécurité dans le cloud
L’accès réseau Zero Trust (ZTNA) est au cœur de la sécurité basée sur le cloud. Il s’agit d’un modèle de sécurité qui ne fait confiance à aucun appareil, utilisateur ou service, qu’il se trouve sur le réseau de l’entreprise ou en dehors. Ce type d’architecture fondé sur un modèle d’accès basé sur le moindre privilège ne fait confiance à aucun utilisateur tant que celui-ci n’a pas été vérifié et validé par les politiques de sécurité mises en place. Le service de sécurité cloud agit en tant qu’intermédiaire ou courtier et connecte un utilisateur vérifié et son appareil à une application. ZTNA consiste en des procédures étendues qui authentifient les utilisateurs et les services tout en surveillant le trafic réseau. Contrairement à l’approche VPN, qui place les utilisateurs sur le réseau, ZTNA permet une microsegmentation au niveau des applications. Pour réaliser cette microsegmentation, ZTNA crée un tunnel sécurisé permettant aux utilisateurs autorisés d’accéder aux applications requises sans utiliser le réseau.
La mise en œuvre d’une approche Zero Trust dans le secteur bancaire réduira le risque d’exposition des réseaux et des applications, excluant ainsi à la fois les menaces externes et tout risque interne potentiel, sans pour autant compromettre l’expérience utilisateur. Le principe du tunnel implique que les applications sont invisibles pour les hackers et que les banques peuvent par conséquent réduire leur surface d’attaque ou, mieux encore, leur vulnérabilité. Cela permet aux utilisateurs d’accéder facilement aux applications depuis l’extérieur de l’environnement bancaire sans avoir à accéder au réseau. Avantage supplémentaire, ZTNA permet aux utilisateurs d’éviter le problème de performances insuffisantes pour les applications VDI. Le trafic réseau n’est plus acheminé vers Internet via un data center, mais envoyé directement vers la plateforme cloud, ce qui réduit la latence. De plus, l’architecture Zero Trust combinée aux technologies VDI procure aux administrateurs une supervision centralisée qui leur permet de contrôler ce à quoi les utilisateurs peuvent ou ne peuvent pas accéder sur le réseau.
Enfin et surtout, un concept Zero Trust peut aider les banques à limiter leurs dépenses d’administration informatique sans compromettre la sécurité. Dans ce cas, la transformation digitale est facilitée par un modèle hybride au sein duquel les processus traditionnels et les applications bancaires typiques peuvent continuer à s’exécuter sur une architecture sur site fiable pour satisfaire aux exigences légales telles que la conformité. Les processus nouveaux et innovants dont les clients et les collaborateurs ont un besoin urgent dans le cadre de la numérisation peuvent être fournis de manière sûre et pratique via le cloud, l’accès direct étant autorisé sans aucun détour. En conclusion, ceci inclut l’utilisation optimale de Microsoft 365 et de tous ses outils de collaboration, la satisfaction des employés et des mesures de sécurité rentables pour tous les éléments stratégiques dans l’environnement financier. Cela signifie que le cloud devient une banque sécurisée pour les innovations numériques.