Perspective FSI : sécurité, confidentialité et conformité

Ce document du Google Cloud Well-Architected Framework : perspective du secteur des services financiers présente les principes et recommandations permettant de répondre aux exigences de sécurité, de confidentialité et de conformité des charges de travail du secteur des services financiers dans Google Cloud. Les recommandations vous aident à créer une infrastructure résiliente et conforme, à protéger les données sensibles, à préserver la confiance des clients, à vous orienter dans le paysage complexe des exigences réglementaires et à gérer efficacement les cybermenaces. Les recommandations de ce document sont conformes au pilier de sécurité du framework Well-Architected.

La sécurité dans le cloud est une préoccupation essentielle pour les organisations du secteur des services financiers, qui sont très prisées par les cybercriminels en raison des grandes quantités de données sensibles qu'elles gèrent, y compris les informations sur les clients et les données financières. Les conséquences d'une brèche de sécurité sont extrêmement graves. Elles peuvent entraîner des pertes financières importantes, une atteinte durable à la réputation et des amendes réglementaires importantes. Par conséquent, les charges de travail FSI nécessitent des contrôles de sécurité stricts.

Pour garantir une sécurité et une conformité complètes, vous devez comprendre les responsabilités partagées entre vous (organisations du secteur des services financiers) et Google Cloud. Google Cloud est responsable de la sécurisation de l'infrastructure sous-jacente, y compris de la sécurité physique et réseau. Vous êtes responsable de la sécurisation des données et des applications, de la configuration du contrôle des accès, ainsi que de la configuration et de la gestion des services de sécurité. Pour vous aider dans vos efforts de sécurité, l'écosystème de partenairesGoogle Cloud propose des services gérés et d'intégration de sécurité.

Les recommandations de sécurité de ce document sont associées aux principes fondamentaux suivants :

• Mettre en œuvre la sécurité dès la conception
• Mettre en place le modèle zéro trust
• Implémenter la sécurité en amont
• Mettre en œuvre une cyberdéfense préventive
• Utiliser l'IA de manière sécurisée et responsable, et l'utiliser pour la sécurité
• Répondez aux exigences réglementaires, de conformité et de confidentialité
• Hiérarchiser les initiatives de sécurité

Implémenter la sécurité dès la conception

Les réglementations financières telles que la norme PCI DSS (Payment Card Industry Data Security Standard), le Gramm-Leach-Bliley Act (GLBA) aux États-Unis et diverses lois nationales sur la protection des données financières exigent que la sécurité soit intégrée aux systèmes dès le départ. Le principe de sécurité par conception met l'accent sur l'intégration de la sécurité tout au long du cycle de développement pour s'assurer que les failles sont minimisées dès le départ.

Pour appliquer le principe de sécurité dès la conception à vos charges de travail FSI dansGoogle Cloud, tenez compte des recommandations suivantes :

• Assurez-vous que seules les autorisations nécessaires sont accordées en appliquant le principe du moindre privilège grâce au contrôle des accès basé sur les rôles (RBAC) précis dans Identity and Access Management (IAM). L'utilisation du RBAC est une exigence clé dans de nombreuses réglementations financières.
• Appliquez des périmètres de sécurité autour de vos services et données sensibles dans Google Cloud à l'aide de VPC Service Controls. Les périmètres de sécurité permettent de segmenter et de protéger les données et ressources sensibles, et d'empêcher l'exfiltration de données et les accès non autorisés, comme l'exigent les réglementations.
• Définissez les configurations de sécurité en tant que code à l'aide d'outils IaC (Infrastructure as Code) tels que Terraform. Cette approche intègre des contrôles de sécurité dès la phase de déploiement initiale, ce qui permet d'assurer la cohérence et l'auditabilité.
• Analysez le code de votre application en intégrant le test de sécurité des applications statiques (SAST) dans le pipeline CI/CD avec Cloud Build. Établissez des contrôles de sécurité automatisés pour empêcher le déploiement de code non conforme.
• Fournissez une interface unifiée pour les informations de sécurité à l'aide de Security Command Center. L'utilisation de Security Command Center permet une surveillance continue et une détection précoce des erreurs de configuration ou des menaces susceptibles d'entraîner des non-respects de la réglementation. Pour répondre aux exigences de normes telles que ISO 27001 et NIST 800-53, vous pouvez utiliser des modèles de gestion de la posture.
• Suivez la réduction des failles identifiées dans les déploiements de production et le pourcentage de déploiements IaC qui respectent les bonnes pratiques de sécurité. Vous pouvez détecter et afficher les failles et les informations sur la conformité aux normes de sécurité à l'aide de Security Command Center. Pour en savoir plus, consultez la page Résultats concernant les failles.

Mettre en place le modèle zéro confiance

Les réglementations financières modernes mettent de plus en plus l'accent sur la nécessité de disposer de contrôles d'accès stricts et d'une validation continue. Ces exigences reflètent le principe de zéro confiance, qui vise à protéger les charges de travail contre les menaces et les acteurs malveillants internes et externes. Le principe de confiance zéro préconise la vérification continue de chaque utilisateur et de chaque appareil, ce qui élimine la confiance implicite et atténue le mouvement latéral.

Pour mettre en œuvre le modèle Zero Trust, tenez compte des recommandations suivantes :

• Activez l'accès contextuel en fonction de l'identité de l'utilisateur, de la sécurité de l'appareil, de l'emplacement et d'autres facteurs en combinant les contrôles IAM avec Chrome Enterprise Premium. Cette approche garantit une vérification continue avant d'accorder l'accès aux données et systèmes financiers.
• Fournissez une gestion des identités et des accès sécurisée et évolutive en configurant Identity Platform (ou votre fournisseur d'identité externe si vous utilisez la fédération des identités des employés). Configurez l'authentification multifacteur (MFA) et d'autres contrôles essentiels pour implémenter le principe de confiance zéro et assurer la conformité réglementaire.
• Implémentez l'authentification multifacteur pour tous les comptes utilisateur, en particulier ceux ayant accès à des données ou systèmes sensibles.
• Soutenez les audits et les enquêtes liés à la conformité réglementaire en établissant une journalisation et une surveillance complètes de l'accès des utilisateurs et de l'activité du réseau.
• Activez une communication privée et sécurisée entre les services dansGoogle Cloud et les environnements sur site sans exposer le trafic à l'Internet public à l'aide de Private Service Connect.
• Implémentez des contrôles d'identité précis et autorisez l'accès au niveau de l'application à l'aide d'Identity-Aware Proxy (IAP) au lieu de vous appuyer sur des mécanismes de sécurité basés sur le réseau, comme les tunnels VPN. Cette approche permet de réduire les mouvements latéraux dans l'environnement.

Mettre en œuvre la sécurité en amont

Les organismes de réglementation financière encouragent les mesures de sécurité proactives. Identifier et corriger les failles dès le début du cycle de développement permet de réduire le risque d'incidents de sécurité et de potentielles pénalités pour non-conformité. Le principe de la sécurité "shift-left" encourage les tests et l'intégration de la sécurité en amont, ce qui permet de réduire le coût et la complexité de la correction.

Pour implémenter la sécurité shift-left, tenez compte des recommandations suivantes :

• Assurez-vous que les contrôles de sécurité automatisés sont effectués dès le début du processus de développement en intégrant des outils d'analyse de sécurité, tels que l'analyse des failles des conteneurs et l'analyse statique du code, dans le pipeline CI/CD avec Cloud Build.

• Assurez-vous que seuls les artefacts sécurisés sont déployés en utilisant Artifact Registry pour fournir un dépôt sécurisé et centralisé pour les packages logiciels et les images de conteneurs avec analyse des failles intégrée. Utilisez des dépôts virtuels pour atténuer les attaques par confusion de dépendances en donnant la priorité à vos artefacts privés par rapport aux dépôts distants.

• Analysez automatiquement les applications Web pour détecter les failles courantes en intégrant Web Security Scanner, qui fait partie de Security Command Center, dans vos pipelines de développement.

• Implémentez des contrôles de sécurité pour le code source, le processus de compilation et la provenance du code à l'aide du framework SLSA (Supply-chain Levels for Software Artifacts). Appliquez la provenance des charges de travail qui s'exécutent dans vos environnements à l'aide de solutions telles que l'autorisation binaire. Assurez-vous que vos charges de travail n'utilisent que des bibliothèques logicielles Open Source vérifiées en utilisant Assured Open Source.

• Suivez le nombre de failles identifiées et corrigées dans votre cycle de vie de développement, le pourcentage de déploiements de code qui réussissent les analyses de sécurité et la réduction des incidents de sécurité causés par les failles logicielles. Google Cloud fournit des outils pour vous aider à suivre ces métriques pour différents types de charges de travail. Par exemple, pour les charges de travail conteneurisées, utilisez la fonctionnalité d'analyse des conteneurs d'Artifact Registry.

Mettre en place une cyberdéfense préventive

Les établissements financiers sont des cibles privilégiées pour les cyberattaques sophistiquées. Les réglementations exigent souvent des mécanismes robustes de renseignements sur les menaces et de défense proactive. La cyberdéfense préventive se concentre sur la détection et la réponse proactives aux menaces à l'aide d'analyses et d'une automatisation avancées.

Tenez compte des recommandations suivantes :

• Identifiez et atténuez de manière proactive les menaces potentielles en utilisant les services Threat Intelligence, Incident Response et Security Validation de Mandiant.
• Protégez les applications Web et les API contre les failles Web et les attaques DDoS à la périphérie du réseau à l'aide de Google Cloud Armor.
• Agrégez et hiérarchisez les résultats et les recommandations de sécurité à l'aide de Security Command Center, qui permet aux équipes de sécurité de traiter les risques potentiels de manière proactive.
• Validez les défenses préventives et les plans de réponse aux incidents en effectuant régulièrement des simulations de sécurité et des tests d'intrusion.
• Mesurez le temps nécessaire pour détecter les incidents de sécurité et y répondre, l'efficacité des efforts d'atténuation des attaques DDoS et le nombre de cyberattaques évitées. Vous pouvez obtenir les métriques et les données requises à partir des tableaux de bord SOAR et SIEM de Google Security Operations.

Utiliser l'IA de manière sécurisée et responsable, et utiliser l'IA pour la sécurité

L'IA et le ML sont de plus en plus utilisés pour les cas d'utilisation des services financiers, tels que la détection des fraudes et le trading algorithmique. La réglementation exige que ces technologies soient utilisées de manière éthique, transparente et sécurisée. L'IA peut également vous aider à améliorer vos capacités de sécurité. Voici quelques recommandations pour utiliser l'IA :

• Développez et déployez des modèles de ML dans un environnement sécurisé et contrôlé à l'aide de Vertex AI. Des fonctionnalités telles que l'explicabilité des modèles et les métriques d'équité peuvent aider à répondre aux préoccupations liées à l'IA responsable.
• Exploitez les capacités d'analyse et d'opérations de sécurité de Google Security Operations, qui utilise l'IA et le ML pour analyser de grands volumes de données de sécurité, détecter les anomalies et automatiser la réponse aux menaces. Ces fonctionnalités vous aident à améliorer votre stratégie de sécurité globale et à surveiller la conformité.
• Définissez des règles de gouvernance claires pour le développement et le déploiement de l'IA et du ML, y compris les considérations liées à la sécurité et à l'éthique.
• Alignez-vous sur les éléments du framework d'IA sécurisé (SAIF), qui fournit une approche pratique pour répondre aux préoccupations liées à la sécurité et aux risques des systèmes d'IA.
• Suivez la précision et l'efficacité des systèmes de détection des fraudes basés sur l'IA, la réduction des faux positifs dans les alertes de sécurité et les gains d'efficacité grâce à l'automatisation de la sécurité basée sur l'IA.

Répondez aux exigences réglementaires, de conformité et de confidentialité

Les services financiers sont soumis à un large éventail de réglementations, y compris les exigences de résidence des données, les pistes d'audit spécifiques et les normes de protection des données. Pour s'assurer que les données sensibles sont correctement identifiées, protégées et gérées, les organisations du secteur des services financiers ont besoin de règles de gouvernance des données et de systèmes de classification des données robustes. Tenez compte des recommandations suivantes pour vous aider à respecter les exigences réglementaires :

• Configurez des périmètres de données dans Google Cloud pour les charges de travail sensibles et réglementées à l'aide d'Assured Workloads. Cela vous aide à respecter les exigences de conformité spécifiques aux secteurs et aux gouvernements, telles que FedRAMP et CJIS.
• Identifiez, classez et protégez les données sensibles, y compris les informations financières, en implémentant Cloud Data Loss Prevention (Cloud DLP). Cela vous aide à respecter les réglementations sur la confidentialité des données, comme le RGPD et la CCPA.
• Suivez les détails des activités d'administration et de l'accès aux ressources à l'aide de Cloud Audit Logs. Ces journaux sont essentiels pour répondre aux exigences d'audit stipulées par de nombreuses réglementations financières.
• Lorsque vous choisissez des régions pour vos charges de travail et vos données, tenez compte des réglementations locales liées à la résidence des données.L'infrastructure mondiale de Google Cloud vous permet de choisir des régions qui peuvent vous aider à répondre à vos exigences en matière de résidence des données.Google Cloud
• Gérez les clés utilisées pour chiffrer les données financières sensibles au repos et en transit à l'aide de Cloud Key Management Service. Ce chiffrement est une exigence fondamentale de nombreuses réglementations sur la sécurité et la confidentialité.
• Mettez en œuvre les contrôles nécessaires pour répondre à vos exigences réglementaires. Vérifiez que les contrôles fonctionnent comme prévu. Faites valider à nouveau les contrôles par un auditeur externe pour prouver au régulateur que vos charges de travail sont conformes aux réglementations.

Hiérarchiser les initiatives de sécurité

Compte tenu de l'étendue des exigences de sécurité, les institutions financières doivent hiérarchiser les initiatives basées sur l'évaluation des risques et les obligations réglementaires. Nous vous recommandons de procéder par étapes :

1. Établissez une base de sécurité solide : concentrez-vous sur les domaines clés de la sécurité, y compris la gestion des identités et des accès, la sécurité du réseau et la protection des données. Cette approche permet de renforcer la sécurité et d'assurer une défense complète contre les menaces en constante évolution.
2. Respectez les réglementations critiques : privilégiez la conformité avec les réglementations clés comme PCI DSS, le RGPD et les lois nationales pertinentes. Cela permet d'assurer la protection des données, d'atténuer les risques juridiques et d'instaurer la confiance des clients.
3. Mettez en place une sécurité avancée : adoptez progressivement des pratiques de sécurité avancées, comme le modèle "zéro confiance", les solutions de sécurité basées sur l'IA et la chasse proactive aux menaces.