Cloud hybride & services financiers : comment gérer la transformation numérique, la sécurité et la mise en conformité ?
A10 Networks publie les résultats de son étude menée en association avec Gatepoint Research, auprès des principaux décideurs pour mieux comprendre l'état actuel de la technologie utilisée par les services financiers, ainsi que l'orientation future des organisations de ce secteur.
Les entreprises intervenant dans les services financiers font face à un contexte de rupture commerciale et procèdent à une transformation numérique rapide afin de rester compétitives face à une nouvelle génération de concurrents digital-native. Les environnements cloud hybrides constituent une pièce maîtresse de cette stratégie, ils apportent en effet plus de vitesse, de flexibilité et de visibilité pour l'exécution des applications que les datacenters on-premise, tout en réduisant les coûts.
Toutefois, l'adoption du cloud hybride n'est pas sans défis. Ainsi, tout en élaborant une stratégie de transformation, les entreprises doivent prendre des décisions techniques cruciales, telles que le choix du type de cloud et des formats les mieux adaptés à leur environnement hybride. Elles doivent également réfléchir à la sécurisation des applications web contre des menaces en constante évolution, telles que les logiciels rançon, le vol de données et les attaques de déni de service (DDoS) par le biais de mesures, telles que la protection contre les attaques DDoS et l'application d'un modèle Zero Trust. Dans le même temps, elles doivent veiller au respect des dispositions réglementaires, à la gouvernance et à la mise en place de processus d'audit visant des infrastructures complexes qui évoluent rapidement.
Pour mieux comprendre ces défis, A10 Networks, le spécialiste de la sécurisation des applications pour réseaux 5G et multi-cloud, a récemment mené une étude avec Gatepoint Research. Principaux enseignements.
Paysage actuel des technologies pour les services financiers
Bien que l'adoption de l'infrastructure cloud public soit significative, avec près de la moitié des personnes interrogées hébergeant principalement leurs applications sur le cloud, 58% des participants continuent à s'appuyer principalement sur leur datacenter privé pour l'exécution des applications. 35% des organisations ont présenté leur environnement comme un cloud hybride, avec un rôle majeur du datacenter privé. Cela laisse entendre qu'alors que la transformation se poursuit, les centres de données traditionnels restent prédominants dans la stratégie technologique des entreprises des services financiers.
Toutefois, l'équilibre entre les infrastructures on-premise et cloud pourrait changer très bientôt. Concernant leurs plans pour l'année à venir, 57% des décisionnaires ont indiqué vouloir transférer davantage d'applications vers le cloud.
Inquiétudes relatives aux logiciels rançon et à la sécurité des données personnellement identifiables (PII) des leads
Aujourd'hui, les organisations intervenant dans les services financiers sont confrontées à un large éventail de menaces de sécurité, notamment celles qui visent les données sensibles de leurs clients. L'étude souligne que les principales inquiétudes ou conséquences sont dus aux logiciels rançon (57%), aux vols de données personnellement identifiables (PII - 55%) et à l'hameçonnage ou aux faux sites (49%).
Si les menaces visant les clients et leurs données sont perçues comme le principal risque, les dangers portant sur l'image de marque et la réputation viennent juste après. 38% des responsables ont fait part de leurs préoccupations concernant le piratage et la cyber-défaillance qui dégradent l'image de la marque et génèrent une perte de confiance. Presque autant (37%) sont préoccupés par les attaques DDoS, qui peuvent entacher l'image de l'entreprise chez ses clients en altérant la qualité du service et l'expérience client. D'autre part, les attaques menées de l'intérieur demeurent une préoccupation majeure, citée par 28% des personnes interrogées, même si elles n'atteignent pas le même niveau que la plupart des menaces externes.
Pour faire face à l'évolution du paysage de la sécurité, la plupart des organisations ont lancé des initiatives autour du modèle Zero Trust, dans lequel les concepts traditionnels de zones sécurisées, périmètres et segments réseau prennent un nouveau sens, dans la mesure où les menaces peuvent venir de partout, de l'extérieur comme de l'intérieur de l'organisation. Depuis juin 2020, 41% des personnes interrogées ont également défini un calendrier pour leur initiative de modèle Zero Trust, et 15% d'entre elles ont des projets en cours. Il n'en reste pas moins que près des deux tiers n'ont mis en place aucun plan ou initiative en relation avec le modèle Zero-Trust.
Améliorer la flexibilité, l'agilité, l'évolutivité et de la sécurité
Les attaques DDoS étant une préoccupation majeure, 29% des personnes interrogées ont prévu de déployer ou de remplacer au moins un pare-feu d'application Web (WAF) ou une solution de protection anti-DDoS. Étonnamment, plusieurs années après l'introduction des normes de chiffrement PFS (Perfect Forward Secrecy) et ECC (Elliptical Curve Cryptography) pour améliorer la sécurité, 29% des organisations ont à peine amorcé la mise à niveau des fonctionnalités TLS (Transport Layer Security) pour prendre en charge ces technologies.
Alors que l'adoption du cloud poursuit sa montée en puissance, 5% des décideurs ont l'intention de rapatrier des applications de leurs environnements cloud privés vers leur datacenter privé. Si ce nombre n'est pas élevé, il ne peut pas être ignoré. Étant donné la diversité des formats, des architectures et des méthodes de déploiement disponibles, il est important de s'assurer que l'approche répond aux besoins de l'organisation avant d'aller plus loin.
Adaptation aux exigences du cloud hybride et à l'augmentation de la demande
Pour l'avenir, les décideurs voient les fonctionnalités à risques comme particulièrement importantes pour leurs plateformes financières. Pour les plateformes physiques s'exécutant dans un environnement cloud, le respect des dispositions réglementaires, d'une sécurité exhaustive pour les applications et de mesures de redondance/reprise sur incident sont incontournables.
En complément de l'importance accordée à la redondance/reprise sur sinistre, de nombreux répondants (43%) ont cité la gestion centralisée et l'analyse prédictive comme des capacités importantes. Comme pour l'évolutivité élastique pour les demandes variables/saisonnières (25%), cela démontre l'importance d'un service efficace rendu possible par la redondance, l'évolutivité et une infrastructure solide.
Par comparaison avec les priorités liées aux risques et aux opérations, le coût est un facteur de moindre importance. Si 28% des personnes interrogées pensaient que l'automatisation était importante pour assurer l'efficacité opérationnelle et la réduction des coûts, seuls 18% plaçaient les licences flexibles et le prix en tête de leurs préoccupations.
Bénéfices attendus des nouveaux investissements technologiques
Lors de la planification des nouveaux investissements en technologie, les décisionnaires sont principalement motivés par la réduction des risques, bien plus que par les revenus, l'expérience client et les avantages concurrentiels.
De très loin, la sécurité est le principal facteur de financement des nouvelles technologies. Les considérations opérationnelles viennent juste après, avec notamment les améliorations opérationnelles (65%) et la réduction des coûts (63%). Le respect des dispositions réglementaires, prioritaire pour le cloud hybride, ne l'est plus forcément à la phase de financement, mais reste très important (57%). La génération de revenus n'est citée comme un avantage très important que par 35% des personnes, suivie par la satisfaction des clients à 32%. Dans une industrie en cours de transformation numérique rapide, seuls 32% des décisionnaires citaient l'avantage métier conféré par les nouvelles technologies comme un facteur essentiel, tandis que 17% seulement étaient motivés par la capacité d'accélération du développement.
Les résultats de cette étude permettent de visualiser une industrie en pleine transition, où les décisionnaires cherchent à contrôler à la fois la sécurité et la conformité, tout en maintenant la cohésion opérationnelle et en s'appuyant sur l'agilité et l'évolutivité du cloud. Il apparaît que si la sécurité est importante pour les initiatives de transformation numérique, l'exécution des applications et la gestion des environnements multicloud sont tout aussi importants. Mais surtout, les organisations spécialisées dans les services financiers doivent veiller à la protection de leur réputation et mériter la confiance de leurs clients.
Les firmes doivent prouver qu'elles protègent efficacement les biens de leurs clients, fournir un service d'une fiabilité absolue et réduire les risques menaçant l'entreprise.