Dans les services financiers,la confiance est plus qu'un mot à la mode. La confiance est l'infrastructure invisible qui soutient tout, du microcrédit et les envois de fonds aux transactions les transactions SWIFT entre banques multinationales. Mais à mesure que les écosystèmes numériques se multiplient et que les mandats de conformité se resserrent, la confiance doit passer d'une promesse passive à un fondement stratégique et évolutif.fondation stratégique et évolutive.
Aujourd'hui, les responsables de la sécurité sont confrontés à cette évolution... en temps réel.
Qu'il s'agisse de transactions instantanées, d'intégration de partenaires fintech ou de systèmes post-fusions-acquisitions, la rapidité d'exécution dépend des éléments suivants d'une couche souvent négligéel'infrastructure à clé publiquePKI qui sous-tend la confiance numérique. confiance numérique.
Ce blog explore la manière dont les plus grandes institutions financières traitent la confiance comme une rampe de lancement (et non comme un handicap !) et pourquoi cela nécessite une visibilité, un contrôle et une préparation post-quantique à grande échelle.
L'infrastructure de la confiance se fissure
Auparavant, la confiance était simple : protéger le réseau, authentifier l'utilisateur, crypter le canal. Aujourd'hui, on attend de la confiance qu'elle soit :
- En continu (disponible 24/7/365)
- Omniprésent (dans chaque API, nuage, application et transaction)
- Prête à l'emploi (pour les auditeurs, les régulateurs et les conseils d'administration)
Mais les systèmes PKI existants n'ont pas été conçus pour une telle échelle ou un tel examen. Ils sont fragmentés en silos, enchevêtrés dans des processus manuels et vulnérables à une faiblesse très humaine : la négligenceet son symptôme, l'expiration.
En janvier 2024, le système de règlement en temps réel CHAPS du Royaume-Uni s'est arrêté en raison de l'expiration d'un seul certificat TLS. s'est interrompu en raison de l'expiration d'un seul certificat TLS perturbant ainsi les paiements de grande valeur sur l'un des marchés financiers les plus importants au monde. Un mois plus tard, la situation s'est reproduite. Microsoft 365 a subi le même sort en juin, mettant hors service les systèmes de collaboration utilisés dans l'industrie.
Il ne s'agissait pas de jours zéro exotiques. Il s'agissait de des défaillances évitables dans la gouvernance fiduciaire.
De l'extérieur, cela ressemble à de la malchance. Mais les responsables de la sécurité le savent mieux que quiconque : ces incidents reflètent des problèmes plus profonds en matière de visibilité, de propriété et de résilience. des problèmes plus profonds de visibilité, d'appropriation et de résilience.
Les raisons de l'échec de la confiance
Tout service numérique repose sur la confiance. Mais en coulisses, de nombreuses institutions financières s'appuient sur :
- Gestion des certificats en silo entre DevOps, équipes applicatives et unités cloud
- Des outils obsolètes boulonnés sur des hiérarchies d'AC vieilles de plusieurs dizaines d'années
- Renouvellements manuels qui ne peuvent pas évoluer à la vitesse du développement cloud-native
En bref, les outils qui ont permis d'établir la confiance hier ne pourront pas la maintenir demain.
Entre-temps, l'innovation dans le domaine des services financiers s'accélère :
- Paiements instantanés et règlement en temps réel
- Détection de la fraude et vérification de l'identité assistées par l'IA
- Consolidation des fusions et acquisitions et convergence des plateformes
- Initiatives "cloud-first" avec des architectures "zéro confiance".
- Applications à haut débit applications demandées par les clients
Chacun de ces éléments introduit de nouvelles dépendances cryptographiques. Mais la plupart des équipes continuent à gérer la confiance comme en 2008.
Des pansements à la résilience des entreprises
Alors, comment les dirigeants transforment-ils la confiance en une rampe de lancement ? Examinons ce que font de vraies institutions.
🏦 M&T Bank : La confiance à l'échelle des environnements hybrides
Après une transformation technologique majeure, M&T Bank avait besoin d'unifier la gouvernance cryptographique dans l'infrastructure existante et les plates-formes modernes. Avec Keyfactor, elle a gagné :
- Visibilité centralisée sur tous les certificats numériques
- Gestion automatisée du cycle de vie dans le nuage et sur site
- Amélioration de la résilience contre les interruptions de service dues à des certificats expirés ou mal configurés
La confiance est devenue un catalyseur stratégique pour un DevOps sécurisé et une modernisation de l'API. Cette étude de cas montre comment Keyfactor est devenu un élément essentiel de l'infrastructure de sécurité de M&T.
💸 EQ Bank : L'innovation Fintech au service de la PKI
EQ Bank, l'une des banques canadiennes les plus avancées sur le plan numérique, a adopté une infrastructure de confiance native dans le nuage pour soutenir ses cycles d'innovation rapides. Elle avait besoin d'une émission de certificats évolutive pour tout prendre en charge, de mTLS entre microservices à l'embarquement numérique.
Grâce à une approche flexible et indépendante de l'autorité de certification, la banque EQ a atteint ses objectifs :
- Agilité cryptographique avec prise en charge des certificats hybrides classiques + PQC
- Automatisation en libre-service pour les équipes de développement
- Contrôles proactifs pour prévenir les pannes et réduire les coûts d'assistance
Pour EQ, l'PKI faisait partie du moteur de livraison des produits. Cette étude de cas démontre que, depuis qu'elle utilise Keyfactor Command, la banque EQ n'a pas connu une seule panne liée à un certificat.
Le pouvoir de l'interopérabilité
Alors, comment ces organisations évitent-elles le piège de l'arrachage et du remplacement ?
Ils utilisent des solutions PKI interopérables, indépendantes de l'autorité de certification PKI et agnostiques qui :
- Travailler dans les environnements existants et modernes
- Prise en charge plusieurs autorités de certificationpubliques ou privées
- Intégrer avec les plateformes cloud, les pipelines DevOps et les outils de sécurité.
- Permettre la visibilité et le contrôle à partir d'une seule vitre
Cette flexibilité est cruciale, en particulier lors des fusions-acquisitions ou des transitions de plateformes. Elle permet aux institutions de se moderniser sans rompre avec ce qui fonctionne aujourd'hui.
Le passage de la confiance à la gestion de la confiance
Le plus grand changement ? Les banques tournées vers l'avenir ne traitent plus l'PKI comme une infrastructure d'arrière-plan. Elles l'intègrent à la gouvernance, au même titre que les réserves de capital, les risques liés aux fournisseurs ou les contrôles des menaces internes.
Il a été dit que la confiance sans gouvernance n'est pas une confiance du tout. Un patchwork d'outils ne suffit pas. En effet, du The Security Leader's Digital Trust Playbook : Financial Services Edition :
"Il n'est pas possible d'assurer la confiance numérique à grande échelle sans traiter l'PKI comme une infrastructure critique. Elle doit être gouvernée, observée, automatisée et conçue pour le changement."
Et de plus en plus, elle doit également être prête à faire face aux menaces post-quantiques. être prête à faire face aux menaces post-quantiques.
La mutation cryptographique à venir
La sélection par le NIST d'algorithmes post-quantiques a donné le coup d'envoi d'une transformation mondiale. On s'attend à ce que les institutions financières :
- Inventaire où algorithmes vulnérables au quantum sont utilisés (RSA, ECC)
- Préparer les systèmes pour les certificats hybrides (classique + CQP)
- Démontrer crypto-agilité aux régulateurs avant 2030
La véritable échéance n'est pas l'arrivée des ordinateurs quantiques, mais le moment où les régulateurs commenceront à vous demander si vous êtes prêts. Que pouvez-vous donc faire dès maintenant ?
- Obtenez un inventaire complet de vos certificats et clés dans tous les environnements
- Établir une politique de propriété et de cycle de vie à travers les équipes et les chaînes d'outils
- Adopter les principes de la crypto-agilité qui vous permettent de changer facilement d'algorithme
- Intégrer l'PKI dans votre stratégie d'entreprise - et pas seulement à votre pile informatique
En s'appuyant sur des bases solides, la confiance devient un avantage stratégiquequi accélère la transformation.
Prochaines étapes : Visibilité et préparation à la CQP
Dans la deuxième partie de cette série, nous étudierons un scénario hypothétique d'atteinte à la sécurité quantique, nous examinerons ce que la crypto-agilité exige réellement et nous partagerons une liste de contrôle simple pour commencer votre parcours de préparation post-quantique. de préparation post-quantique. (Retour en arrière : Il ne s'agit pas seulement de nouveaux algorithmes... il s'agit de visibilité, de gouvernance et de prouver que votre infrastructure est conçue pour la prochaine frontière... alors restez à l'écoute pour la deuxième partie de cette nouvelle série de blogs !)
📥 Vous voulez la feuille de route complète ?
Curieux de savoir à quoi ressemble la préparation ? Télécharger Le guide de la confiance numérique du responsable de la sécurité : Édition Services Financiers dès aujourd'hui. Vous avez des questions à poser à notre équipe de sécurité ? N'hésitez pas à nous contacter ici - nous sommes là pour vous aider !
