Le dilemme entre « opérations décentralisées » et « conformité de la sécurité »

Quand la gouvernance, l’innovation et la mise en œuvre de la sécurité sont réparties entre plusieurs entités, le manque de cohésion complique inutilement la conformité. La tâche est encore plus complexe pour ceux qui s’appuient sur des infrastructures héritées. Il s’agit d’un problème fréquent dans les grandes banques du secteur financier.

Points de friction opérationnels

L’ampleur organisationnelle des banques établies crée naturellement un écosystème opérationnel complexe. Cela entraîne souvent une prise de décision fragmentée, différentes équipes gérant des parties isolées de l’environnement technologique et de sécurité. Cet éclatement peut éventuellement renforcer l’expertise métier, il occulte un problème plus important : l’application incohérente de la gouvernance de la sécurité. Or, l’incohérence est une notion à proscrire dans un secteur bancaire hautement réglementé

Sur le plan de la sécurité, les équipes du RSSI, du DSI et du CTO doivent partager certaines responsabilités essentielles : la conformité réglementaire, la gestion des risques et la réponse aux incidents. En tant qu’autorité en matière de gouvernance de la sécurité, le RSSI définit le cadre directeur de l’entreprise. Le DSI et le CTO doivent ensuite en appliquer les exigences dans leurs domaines respectifs : l’infrastructure IT pour l’un, les environnements produits pour l’autre. Même avec un cadre commun, le cloisonnement opérationnel entraîne souvent une mise en œuvre incohérente entre les services. Sans une approche unifiée, l’exposition au risque augmente, dans des environnements traditionnels où la visibilité (qui se connecte, à quoi et quand) n’est pas garantie par défaut.

Le temps et les budgets ajoutent d’autres contraintes de conformité. Avec l’accumulation de réglementations dans les services financiers, la conformité mobilise de plus en plus de ressources. Les audits peuvent durer des semaines, voire des mois, et exigent d’importants moyens humains et technologiques pour ancrer les politiques de sécurité dans les opérations quotidiennes. Dans les environnements traditionnels, cette charge implique une surveillance manuelle et la mise en place de contrôles de fortune sur des systèmes fragmentés. Les dépenses opérationnelles courantes liées au maintien de ces contrôles incombent généralement au DSI et au CTO, qui jonglent déjà avec des budgets serrés pour réduire les dépenses, maintenir la résilience et atteindre les objectifs de transformation. Si la sécurité avait été intégrée dès la conception, les DSI et CTO n’auraient pas à assumer, sur le long terme, le coût de décisions qui échappent à leur contrôle.

Vérifications de la réalité technique

Si les défis de conformité liés aux opérations quotidiennes sont bien connus, que se passe-t-il si les banques tentent d’innover ? Un fossé entre l’optimisme stratégique des dirigeants non techniques et le réalisme des équipes techniques.

Face à l’émergence de nouveaux acteurs, de nombreux PDG de banques associent la compétitivité à l’adoption de technologies émergentes telles que l’IA. Et c’est vrai : l’IA a un fort potentiel pour stimuler l’innovation, la croissance et le leadership commercial. Mais un obstacle majeur persiste : les systèmes traditionnels n’ont pas été conçus pour intégrer l’IA, ce qui augmente le risque d’exposition et la complexité du maintien de la conformité. De plus, l’IA introduit un nouveau domaine opérationnel avec ses propres défis de contrôle et de visibilité. Les infrastructures fragmentées aggravent ces défis, car les données dont dépend l’IA restent enfermées dans des systèmes cloisonnés. Des domaines technologiques autrefois distincts se heurtent désormais à grande vitesse. La pression interne augmente, les équipes tentant d’avancer rapidement tout en préservant la sécurité.

Résoudre les problèmes de sécurité à grande échelle

Comment les banques peuvent-elles unifier la sécurité entre différentes divisions et innover à l’échelle de l’entreprise avec les technologies émergentes ? Nombre d’entre elles se tournent vers l’architecture Zero Trust. 

Contrairement aux approches périmétriques traditionnelles, ce modèle n’accorde aucune confiance implicite au sein du réseau et impose une vérification stricte à chaque point d’accès, quel que soit l’utilisateur, l’appareil ou l’emplacement. Le Zero Trust harmonise les responsabilités du RSSI, du DSI et du CTO. Il centralise l’application des politiques, renforce la visibilité sur les systèmes et allège la complexité de la conformité dans des environnements cloisonnés.

Mais le Zero Trust est plus qu’un cadre de sécurité : c’est un catalyseur stratégique de protection évolutive, comme le démontrent les points suivants : 

• En offrant la sécurité en tant que service et la connectivité à grande échelle, Zero Trust permet aux banques d’adopter rapidement et en toute sécurité de nouvelles technologies.
• Il assure le même niveau de protection, de fonctionnalités et de contrôle, qu’en local ou dans le cloud, apportant une cohérence indispensable dans des environnements hybrides. Les équipes n’ont plus à faire de compromis ou à choisir entre différents usages. Tout fonctionne de manière cohérente, où que se trouvent les données ou les applications.
• Il offre une visibilité sur tous les domaines. Les domaines technologiques peuvent rester segmentés, mais la visibilité et le contrôle, eux, s’exercent de bout en bout. Les équipes de sécurité surveillent et pilotent l’activité sans friction.

La sécurité des données est intégrée au cœur de l’architecture proxy Zero Trust, et pas ajoutée après coup. Les banques peuvent ainsi déployer rapidement de nouvelles intégrations technologiques, même des intégrations aussi avancées que des agents d’IA, sans compromettre la conformité ni l’intégrité opérationnelle. La solution offre aussi des points d’accès tant pour les services existants que pour les nouveaux, étendant la protection à l’ensemble de l’écosystème : la banque elle-même, ses partenaires et les plateformes ouvertes au public.

Langage de sécurité commun

Dans un environnement opérationnel décentralisé, la responsabilité de la sécurité ne se joue pas sur la hiérarchie, mais sur la cohésion. Le Zero Trust fournit ce langage commun, il intègre la conformité dans chaque action, à tous les niveaux, quel qu’en soit le pilote.

PRÊT À SÉCURISER À GRANDE ÉCHELLE ? Les services financiers souhaitent et ont besoin d’une approche moderne de la sécurité pour gérer le présent et anticiper l’avenir. La clé consiste à trouver l’architecture Zero Trust idéale pour sécuriser, simplifier et assurer la conformité en toute confiance. Découvrez la voie à suivre ici.