Pourquoi il est essentiel de maintenir la sécurité des systèmes existants à jour
Les systèmes existants hébergent des informations essentielles pour les assureurs, mais ils peuvent également présenter un risque pour la sécurité. Plus un système hérité vieillit, moins il est capable de suivre les nouveaux développements technologiques, ce qui le rend vulnérable aux menaces numériques. Les systèmes hérités plus anciens sont également moins susceptibles d’avoir les développeurs d’origine ou la documentation disponibles à titre de référence.
Les systèmes hérités sont ceux qui ne sont plus pris en charge par leurs développeurs ou qui ne peuvent pas répondre aux normes de conformité actuelles, explique Miriam Cihodariu, responsable de la communication et des relations publiques chez Heimdal Security. Il peut s’agir de systèmes d’exploitation ou de plates-formes conçus pour un usage interne, ainsi que de logiciels destinés aux clients.
Les compagnies d’assurance n’ont pas à se débarrasser complètement de leurs anciens systèmes. Les assureurs doivent toutefois s’assurer qu’ils se conforment aux réglementations applicables et protéger les clients et l’entreprise contre l’exposition grâce à une sécurité dédiée aux systèmes existants.
Pourquoi les assureurs doivent s’attaquer à la sécurité des systèmes existants
La cybercriminalité est une activité lucrative. Le piratage et d’autres actes similaires ont coûté 3 000 milliards de dollars à l’économie mondiale en 2015 et devraient coûter jusqu’à 6 000 milliards de dollars par an d’ici 2021, a déclaré Steve Morgan, fondateur de Cybersecurity Ventures. Une étude menée par Michel Cukier , professeur agrégé à l’Université du Maryland, estime que les pirates informatiques attaquent un système informatique quelque part dans le monde toutes les 39 secondes en moyenne.
Les systèmes existants, avec leurs configurations obsolètes ou non conformes, offrent un accès plus facile à ceux qui cherchent à voler les données des compagnies d’assurance ou à causer des méfaits numériques.
Pourquoi les organisations aiment-elles leurs systèmes existants ?
Les systèmes existants sont couramment utilisés dans les entreprises et autres organisations du monde entier. Souvent, les organisations continuent d’utiliser des logiciels obsolètes, car ces derniers servent de support de vie pour les systèmes ou les informations critiques.
Par exemple, lorsque Microsoft a annoncé qu’il ne prendrait plus en charge Windows XP en 2014, le ministère américain de la Défense a demandé de l’aide pendant que le Pentagone passait à Windows 10. Environ 30 % des ordinateurs dans le monde fonctionnaient encore sous Windows XP en 2014, y compris un certain nombre de systèmes militaires américains critiques, selon le journaliste technologique Jeremy Hsu.
Les organisations peuvent également choisir de continuer à utiliser les systèmes existants afin de maximiser la valeur de leur investissement dans le logiciel et sa maintenance. « Lorsqu’elles investissent dans une infrastructure, les organisations le font dans l’espoir d’obtenir une certaine durée du produit. Ce cycle de vie fait partie des budgets amortis pluriannuels et des plans d’affaires dont les agents financiers répugnent à s’écarter à moins que cela ne soit absolument nécessaire », explique Jaime Manteiga, chercheur en sécurité de l’information et fondateur de Venkon.us.
Enfin, les systèmes existants peuvent être maintenus parce qu’il s’agit de logiciels personnalisés qui font exactement ce dont l’entreprise a besoin, ajoute M. Manteiga. Le remplacement de ces systèmes personnalisés peut être coûteux et difficile.
Le fait qu’un système hérité soit commun, précieux ou indispensable ne signifie pas qu’il est sans risque. Souvent, les compagnies d’assurance se retrouvent à utiliser des systèmes hérités qui présentent des risques de sécurité importants, car il n’y a pas de meilleure option. Par exemple, une grande plate-forme peut ne pas avoir de remplacement fonctionnel, ou un logiciel fonctionne mais n’est pas conforme aux dernières lois ou réglementations en matière de sécurité. Dans ces cas, il est indispensable de prêter attention à la sécurité des systèmes existants.
Un facile à entrer.
Il est facile de voir à quel point une sécurité obsolète sur un système hérité peut mettre en péril les informations stockées dans ce système. Cependant, ces systèmes présentent également des risques pour tous les autres systèmes du réseau d’une compagnie d’assurance.
Imaginons par exemple un assureur dont les systèmes d’information comprennent un serveur dont le système d’exploitation date de quinze ans et qui contient une vulnérabilité connue. Cette vulnérabilité, si elle n’est pas corrigée, devient une porte ouverte pour un accès non autorisé.
« Si les attaquants accèdent à cette machine non corrigée (ce qui est beaucoup plus facile que de pirater un serveur moderne et bien corrigé), ils peuvent s’enfoncer latéralement plus profondément dans le réseau », explique Lior Neudorfer, vice-président des produits chez Guardicore, société de sécurité des centres de données et du cloud.
Cet exemple n’est pas tout à fait imaginaire. En mai 2019, Microsoft a publié un correctif pour Windows XP et Windows Server 2003. Alors que les deux systèmes d’exploitation approchent de leur 20e anniversaire, ils sont toujours utilisés dans le cadre des systèmes informatiques de nombreuses organisations, écrivent Daniel Goldberg et Ophir Harpaz de Guardicore.
Les pirates recherchent déjà les nœuds les moins sécurisés d’un réseau afin d’y accéder. Dans un exemple célèbre, les pirates ont utilisé un capteur intelligent d’aquarium pour accéder au réseau d’un casino de Las Vegas, puis ont finalement pénétré dans une base de données contenant des informations sur les clients du casino – des données que le casino pensait sécurisées.
« Quelqu’un a utilisé l’aquarium pour entrer dans le réseau, et une fois qu’il était dans l’aquarium, il a scanné et trouvé d’autres vulnérabilités et s’est déplacé latéralement vers d’autres endroits du réseau », explique Justin Fier, directeur du renseignement et de l’analyse cybernétiques de la société d’IA cybernétique Darktrace.
À l’instar des aquariums, les systèmes existants peuvent représenter la partie la plus faible du réseau d’une compagnie d’assurance, ce qui rend l’ensemble de l’infrastructure informatique vulnérable.
Défis de la sécurité des données sur les systèmes existants
Les systèmes existants sont souvent au cœur des défis de sécurité des données. « Les systèmes informatiques existants sont souvent au cœur des incidents de cyberviolation, et comme la mise hors service n’est généralement pas une option, les professionnels de la sécurité de l’information doivent gérer le risque », déclare Bobby Ford, vice-président et directeur mondial de la sécurité de l’information chez Unilever.
Les systèmes existants posent un certain nombre de défis aux équipes informatiques. Par exemple, les nouvelles mises à jour logicielles, y compris les correctifs de sécurité, sont plus difficiles à appliquer aux systèmes plus anciens. Un système hérité peut également ne pas disposer d’une documentation adéquate de ses contrôles de sécurité existants. Sans cette documentation, les équipes informatiques ont plus de mal à ajouter des pare-feu, des unités de cryptage, des détecteurs de logiciels malveillants et d’autres outils de sécurité, écrit Susan Crozier Cox , ingénieure principale à l’Institut de génie logiciel de l’Université Carnegie Mellon.
En outre, les équipes informatiques sont confrontées à une pression accrue lorsqu’elles tentent de sécuriser un système existant. Non seulement l’équipe doit se tenir au courant des risques et des outils de sécurité en constante évolution, mais elle doit également s’assurer que ces risques et outils sont compris et adaptés correctement dans le contexte d’un système hérité – le même système pour lequel il n’existe peut-être pas de documentation adéquate.
Tous ces défis peuvent rendre la maintenance et la sécurisation des systèmes existants décourageantes. Dans le même temps, les coûts financiers et les inconvénients liés au passage à un système entièrement nouveau peuvent sembler tout aussi décourageants.
Meilleures pratiques pour les mises à jour de sécurité des systèmes hérités
Les systèmes existants jouent souvent un rôle clé dans les activités quotidiennes d’un assureur de dommages. Le respect des meilleures pratiques pour la mise à jour et la préservation de la sécurité des systèmes existants peut aider les compagnies d’assurance à s’assurer qu’elles peuvent utiliser les données de leurs systèmes existants en toute sécurité.
Travaillez en équipe.
La sécurité des systèmes existants nécessite l’aide de professionnels expérimentés de la sécurité informatique, mais le projet ne peut pas être laissé entre leurs mains exclusives. Au lieu de cela, les professionnels de la sécurité et les professionnels des affaires doivent travailler ensemble.
« Le rôle des professionnels de la sécurité est d’évaluer la probabilité et l’impact potentiel d’une cyberattaque, tandis que le rôle des entreprises [professionals] est d’identifier les systèmes et les processus les plus critiques », explique M. Ford.
Élargissez vos horizons de sécurité.
De nombreuses compagnies d’assurance cherchent à créer des écosystèmes commerciaux, en s’associant à d’autres entreprises pour placer l’assureur exactement là où il doit être pour aider les clients à chaque étape de leur parcours de vie.
Un certain nombre de technologies soutiennent la création d’écosystèmes, comme l’utilisation d’interfaces de traitement d’applications (API) pour connecter les logiciels et les systèmes afin d’améliorer le transfert et le partage des données. Cependant, lorsque les systèmes existants sont inclus dans un écosystème piloté par API, le processus devient plus complexe, en particulier en l’absence de directives pour sécuriser la technologie existante, écrit Shuvo G. Roy, responsable des solutions bancaires et des marchés de capitaux chez Mphasis.
Les systèmes existants n’empêchent pas une compagnie d’assurance de construire un écosystème viable. Les assureurs et leurs partenaires de l’écosystème bénéficieront toutefois de la prise en compte des défis de sécurité supplémentaires qui se posent lorsque les systèmes existants entrent dans l’équation.
Adoptez l’efficacité.
Les coûts de mise à niveau vers une nouvelle plateforme peuvent sembler écrasants. Cependant, ils peuvent être considérablement inférieurs aux coûts de continuer à allaiter le long d’un système hérité obsolète.
Par exemple, un rapport du GAO estime qu’environ 80 % du budget informatique de 90 milliards de dollars du gouvernement fédéral est consacré à l’exploitation et à la maintenance de systèmes plus anciens, y compris des systèmes hérités qui peuvent avoir plus de cinquante ans dans certains cas. Au fil du temps, les systèmes hérités consomment une partie du budget d’une organisation qui pourrait être mieux dépensée pour la mise à niveau de nouvelles technologies. Face au coût de la mise à niveau, certaines entreprises se tournent vers les correctifs de firmware pour moderniser les systèmes existants. Bien que les correctifs puissent être efficaces dans certains cas, cette pratique finit souvent par coûter plus cher au fil du temps qu’une mise à niveau, expliquent David Dedinsky et Ricardo Duque de Vertiv.
« Les systèmes ne sont pas optimisés, ce qui conduit à des taux d’utilisation alarmants et à des serveurs zombies inefficaces », écrivent-ils. Les correctifs de micrologiciel peuvent aider un système hérité à se débrouiller, mais ne résolvent pas les problèmes sous-jacents qui font du système hérité un mauvais choix pour un investissement continu.
Des options telles que les systèmes globaux peuvent aider les compagnies d’assurance à améliorer leur efficacité et à continuer à servir les clients pendant qu’elles travaillent sur des mesures de sécurité et des mises à niveau, explique Kumar Utpal, directeur régional des ventes pour la banque et l’assurance chez In2IT. Lorsque la sécurité est prioritaire, les compagnies d’assurance peuvent trouver des moyens d’utiliser leur investissement existant tout en introduisant progressivement des technologies de pointe.
Images par : everythingpossible/©123RF.com, Konstantin Pelikh/©123RF.com, Evgeniy Shkolenko/©123RF.com