Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA

Aider ceux qui ont aidé : pourquoi la protection des services Web est essentielle pour USAA

Par Jason Compton

Toute institution financière comptant des millions de membres dans le monde entier est confrontée à d'importants défis en matière de cybersécurité. En tant que fournisseur exclusif des membres de l'armée américaine, USAA fait face à des difficultés supplémentaires qui découlent directement du travail de ses clients consistant à défendre le pays.

La société basée au Texas offre des services bancaires, d'assurance et d'investissement à 12 millions de militaires actifs et retraités, ainsi qu'à leurs familles. Le personnel militaire étant déployé dans le monde, USAA se doit d'offrir une expérience en ligne rapide et fiable, partout où ces personnes se trouvent, lorsqu'elles en ont besoin.

Parce que beaucoup de militaires actifs font face à des difficultés financières, USAA s'efforce de minimiser l'anxiété concernant les questions d'argent, en s'assurant que tout va bien pour ses membres. Ce besoin se fait pleinement sentir au sein de l'organisation.

Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA
Chez USAA, le CIO et le CSO sont des homologues sur l'organigramme.

Pression sur les militaires

Parce que la disponibilité est une priorité élevée, USAA prend toutes ses décisions de sécurité en pensant à ce point fondamental.

« Comme nous sommes une entreprise digitale, disposer d'un service toujours actif et connecté est primordial pour nous, » explique Gary McAlum, responsable de la sécurité (CSO) d'USAA. « Nous parlons de l'impact sur l'expérience du membre s'il y a une défaillance de la sécurité, qu'elle affecte un membre ou l'ensemble de la communauté. »

Gary McAlum est le premier CSO de la société. Avant de prendre le poste il y a sept ans, il a servi pendant 25 ans dans les Forces aériennes américaines, principalement dans un rôle en lien avec la cybersécurité pour le ministère de la Défense.

Chez USAA, Gary McAlum est chargé de défendre l'entreprise contre toutes les menaces à la sécurité, à la continuité et à la conformité, qu'il s'agisse de cyberattaques d'envergure à des fraudes à petite échelle. Lorsqu'il élabore des protections pour USAA et ses membres, comme un récent déploiement d'authentification multifactorielle, il prend en compte ce que la plupart des membres ont déjà expérimenté.

USAA sait qu'un grand pourcentage de ses membres ont été victimes d'une importante violation de données : plus de 20 millions d'individus fédéraux et militaires ont été touchés par l'attaque contre l'U.S. Office of Personnel Management (Bureau américain de la gestion du personnel). Suite à cette violation, des informations personnelles se sont retrouvées entre les mains de criminels. Ces informations pourraient être utilisées pour exploiter des comptes financiers existants ou pour en ouvrir de nouveaux frauduleusement. Gary McAlum et sa famille figuraient parmi les nombreuses personnes concernées.

« Nous avons tendance à croire que nos membres militaires sont plus vulnérables aux attaques que les autres. Il y a toujours eu un aspect criminel de la société cherchant à escroquer et à exploiter les militaires, » confie-t-il. « Nous nous concentrons donc beaucoup sur la formation et les connaissances, notamment sur la sensibilisation aux attaques d'hameçonnage. »

Résister aux attaques d'envergure

Tout en se défendant contre les escrocs individuels, USAA doit également rester sécurisé et disponible malgré les cyberattaques de grande ampleur bien organisées. USAA a été ciblé par « Operation Ababil », une série de cyberattaques par déni de service distribué (DDoS) contre les institutions financières américaines de 2012 à 2013.

USAA a été informé à l'avance de l'attaque prévue. Après l'évaluation de l'infrastructure du réseau fournie par Akamai, USAA était sûr que l'attaque ne perturberait pas les services aux membres. Cette prédiction s'est avérée correcte. Les protections d'Akamai ont dévié une grande partie du trafic qui aurait sinon pu surcharger les services essentiels.

Les attaques DDoS ciblent souvent des serveurs de noms de domaine (DNS) indépendants qui résolvent des noms de domaine, comme USAA.com, en serveurs d'hébergement. Surchargez le DNS et le trafic légitime verra ses activités bloquées. Répartir le DNS au sein du réseau étendu d'Akamai permet de se protéger contre cette menace.

« Les deux jours d'attaque programmés étaient un non-événement pour nous. Nous avons noté un pic d'activité, puis nous l'avons vu se dissiper, » commente Gary McAlum. « Le réseau d'Akamai nous a procuré une porte d'entrée très large et a été capable de dissiper cette attaque DDoS très facilement. »

Comment la culture dirigeante concerne-t-elle la sécurité

Étant donné que tout responsable de la sécurité a besoin de s'aligner solidement avec les autres dirigeants, USAA a conçu un bureau des CSO totalement indépendant et disposant d'un lien étroit avec les hauts dirigeants au sommet de la hiérarchie.

« Nous voulions un budget, une hiérarchie de responsabilité pour la sécurité, » explique-t-il. « Aujourd'hui, tout, de la sécurité aux enquêtes et à la poursuite des activités, relève du groupe de sécurité que je dirige. »

Chez USAA, le CIO et le CSO sont des homologues sur l'organigramme. Au lieu de se battre pour trouver un terrain d'entente, les deux rôles ont de nombreux points communs, » explique Gary McAlum.

« La culture de notre entreprise, développée par le conseil d'administration, consiste à être disponible pour nos membres, » poursuit-il.

Le partenariat fonctionne : On estime qu'USAA effectue 1,4 milliard de transactions digitales chaque année et continue d'éviter des incidents majeurs.

Contre une menace constante de violations de données de grande envergure, Gary McAlum considère la stabilité de la société et le partenariat unique entre le CSO et le CIO comme un modèle pour les autres.

« Nous continuerons de travailler très étroitement avec l'équipe du CIO, car nous comprenons tous que si nos produits et services sont indisponibles ou compromis, personne n'est gagnant, » explique-t-il.

Jason Compton est écrivain et journaliste. Il a une grande expérience dans la technologie de l'entreprise. Il est l'ancien rédacteur en chef de CRM Magazine.

Related CIO Content