©2025 Akamai Technologies
Lorsque votre activité comporte des composantes de services financiers, de vente au détail et de jeux, il vous faut une approche agile de la sécurité qui combine ressources internes et solutions tierces. L'entreprise de trading en ligne CMC Markets ne fait pas exception.
Dans un récent entretien avec Akamai, Philip Yeo, responsable de la sécurité chez CMC Markets, a expliqué comment l'entreprise combine une vigilance de tous les instants avec des réactions fulgurantes en cas d'incident de type Zero Day.
Il évoque également le rôle d'Akamai dans la protection de son entreprise et la manière dont les régulateurs et les assureurs répondent à la menace permanente des attaques de type Zero Day.
Pour lire l'intégralité de l'entretien, veuillez consulter la transcription ci-dessous.
Natalie Billingham : Je suis heureuse de recevoir Phil Yeo, qui est responsable de la sécurité chez CMC Markets. Phil, voulez-vous vous présenter et nous en dire un peu plus sur ce que vous faites ?
Philip Yeo : Bien sûr, merci. Je suis responsable de la sécurité chez CMC Markets. Nous sommes une entreprise mondiale de trading en ligne. Du point de vue de la sécurité, nous sommes un peu comme le commerce de détail, car de nombreux utilisateurs finaux accèdent à nos services à partir de différents types de terminaux. Nous avons aussi un peu le profil des fintech, car nous sommes réglementés comme les sociétés de services financiers. Et nous avons un peu les mêmes caractéristiques que les sociétés de jeux dans la mesure où une grande partie de l'interaction avec nos utilisateurs est très sensible au facteur temps. Une chute de connexion ou une déconnexion se traduirait par une expérience insatisfaisante.
NB : Comment avez-vous commencé votre parcours auprès d'Akamai ?
PY : CMC Markets existe depuis un certain temps et a développé sa technologie, sa plateforme et ses produits au Royaume-Uni. Nous avons désormais des clients dans nombreux pays d'Asie et d'Europe, ainsi qu'en Australie et au Canada. Ces clients veulent des cours et des graphiques en temps réel et la possibilité de faire des transactions intrajournalières. La qualité de la connexion et les performances globales sont essentielles pour nous.
La mise en œuvre initiale d'un réseau de diffusion de contenu (CDN) d'un autre fournisseur n'a pas été brillante. Mais nous avons appris que nous ne voulions pas nous occuper nous-mêmes des réseaux en bordure de l'Internet. Akamai est également entré en scène au moment où nous mettions en place nos technologies WAF. Les vulnérabilités DDoS et DNS figuraient également sur mon agenda. Lorsque nous nous sommes tournés vers Akamai, nous avons vu que nous pouvions bénéficier de la plateforme de diffusion de contenu, du centre de données, de la protection DDoS, de Site Shield et du WAF en tant que service géré. Le choix s'est fait sans hésitation.
Au départ, nous nous sommes concentrés sur la protection de quelques produits destinés aux marchés britannique et australien. Mais selon les termes du contrat, une fois que nous avons accompli les tâches délicates, la couche de sécurité d'Akamai peut tout protéger. Nous avons décidé que tout ce qui était orienté vers l'Internet et le public devait être géré par Akamai.
Les spécialistes du Web, du marketing et du référencement n'y ont pas vu d'inconvénient, car nos performances étaient plus homogènes et les plaintes de nos clients internes ont diminué. C'était la meilleure chose à faire du point de vue de la sécurité interne. Lorsque les équipes marketing et produits ne se plaignent pas de la sécurité, c'est une victoire !
Les services gérés d'Akamai nous ont également aidés à y parvenir. Lors des ajustements mensuels, ils ont fait preuve d'une parfaite compréhension de notre profil de risque. En particulier lorsqu'ils nous ont aidés à éviter les faux positifs, qui peuvent être un problème majeur si on finit par bloquer un client légitime et de grande valeur.
NB : Lorsque vous réfléchissez à d'autres défis de cybersécurité auxquels le secteur financier est confronté, quels sont les points qui vous viennent à l'esprit ?
PY : Il y a tant de choses qui peuvent mal tourner. La menace que représentent les ransomwares est réelle. Nous essayons d'empêcher les gens de se faire hameçonner et les logiciels malveillants de pénétrer dans notre environnement. De plus, la pression réglementaire est toujours présente, et le régime d'audit semble ne jamais s'arrêter.
NB : Dans le monde des services financiers, vous devez faire face à des pressions particulièrement contraignantes. Sans rien révéler de confidentiel, comment les surmontez-vous ?
PY : Je pense que l'idéologie du Zero Trust est très pertinente. Nous avons envisagé de déployer une sorte de gestion des accès privilégiés, mais c'est beaucoup de travail et il faut plus d'une solution pour y parvenir. Il n'y a pas de solution miracle pour nous. Mais si quelqu'un en connaît une, qu'il me le dise !
La situation est plus positive lorsqu'il y a un développement en interne et des centres de données sur site qui doivent être gérés. En revanche, en cas de transformation avec adoption des technologies cloud et dans une situation où les différentes unités commerciales expédient des produits aussi vite que possible, la sécurité constitue un autre défi.
Comment relever le niveau afin d'obtenir une excellente sécurité ? Et comment y parvenir sans ralentir le cycle de développement ? Il est possible d'intégrer de nombreux éléments à la conformité automatique pour appliquer des politiques de gouvernance et de sécurité à l'ensemble du pipeline de distribution. Nous pouvons ensuite y ajouter la plateforme de périphérie WAF d'Akamai.
NB : Il se passe beaucoup de choses en permanence, surtout lorsque vous êtes à la croisée de tant de marchés et d'activités différentes. Bien que vous soyez dans le secteur des services financiers, comme vous l'avez mentionné, vous êtes proche du secteur des jeux. Comment gérez-vous les événements à forte intensité et les pics d'activité des internautes ?
PY : Nous avons dû donner la priorité à la capacité parce que si l'on n'est pas en ligne, les clients peuvent aller voir ailleurs. Nous avons des collaborateurs très compétents qui s'occupent de la surveillance de la capacité et qui examinent les périodes les plus chargées de la journée, la latence des transactions et la capacité dont nous avons besoin. Nous avons effectué un travail important de modélisation de la capacité, puis nous avons veillé à obtenir une aide extérieure pour le réseau de diffusion de contenu (CDN) et la protection contre les DDoS.
NB : Vous avez mentionné précédemment vos collaborateurs. Nous avons tous constaté, dans le secteur de la sécurité, qu'il est difficile de trouver des personnes compétentes dans ce domaine. Comment Akamai vous a-t-il aidé à libérer des ressources internes afin que vous puissiez vous concentrer sur vos projets prioritaires ?
PY : Avec notre ancien fournisseur, la question était de savoir qui allait gérer les règles pour toutes les applications. Je pensais que nous pouvions le faire. Mais nous sommes arrivés au stade où nous parlions de laisser les équipes de développement gérer certaines de ces règles, et nous avons réalisé que ce n'était pas faisable. C'est à ce moment-là que nous avons opté pour le service géré Kona Site Defender, afin de ne plus avoir à nous soucier des réglages.
Au fil des ans, j'ai beaucoup étudié les fournisseurs d'externalisation et de services gérés avec mon patron. Il faut trouver quelque chose qui nous convienne, car on confie notre sécurité à d'autres personnes.
Nous voulions trouver des domaines dans lesquels nous pourrions externaliser ou nous associer à un prestataire de services qui apporte une valeur ajoutée, mais sans perdre le contrôle dont nous avons besoin pour rester réactifs. S'il y a un problème, nous voulons avoir des interlocuteurs au téléphone immédiatement.
NB : Oui, c'est souvent un sujet que nous abordons avec les clients. Ils recherchent le contrôle, les services et l'intimité avec le client. Mais ils veulent également conserver leur propre agilité et leur capacité d'exécution. À mesure que le système de sécurité devient plus complexe et plus spécialisé, ce partenariat de confiance devient de plus en plus important.
PY : Absolument. Nous constatons la même chose avec certains des autres domaines que nous avons envisagé d'externaliser. Nous voulons être en mesure de remplacer, de déployer ou de revenir en arrière à volonté. Si ce n'est pas possible, ce ne sera pas très pratique. D'autre part, nous n'avons pas les compétences nécessaires pour tous les produits du système.
NB : C'est un excellent conseil. Si d'autres clients d'Akamai se trouvent dans la salle, que doivent-ils nous demander ou demander à un fournisseur pour établir cette confiance ?
PY : Akamai jouit d'une crédibilité mondiale. Un incident s'est produit l'année dernière et, bien qu'il nous ait un peu affectés, la manière dont vous avez géré la situation, le compte rendu de l'incident et la transparence générale sont autant d'éléments qui nous montrent que vous prenez les choses au sérieux. Vous avez également souffert de cet incident.
NB : Lorsque vous considérez l'éventail de vos fournisseurs en matière de sécurité, y a-t-il des domaines sur lesquels vous vous concentrez en particulier ?
PY : Je travaille dans le secteur de l'infosécurité depuis 15 ans et les arguments de vente sont parfois totalement fallacieux. Vous n'offrirez pas une protection de 100 % avec zéro faux positif, c'est tout simplement irréaliste. Ce n'est pas utile. Nous avons besoin que les fournisseurs étayent leurs affirmations ou nous donnent les éléments dont nous avons besoin pour tenter de les évaluer.
NB : Je pense que ce qui compte, c'est de trouver ce qui convient à votre propre entreprise, n'est-ce pas ? Puisque nous abordons ce domaine du conseil, les deux dernières années ont été un peu inhabituelles à bien des égards. Qu'avez-vous appris ? Quels conseils donneriez-vous à vos homologues ?
PY : Rien que vous n'ayez déjà entendu, j'en suis sûr ! Le délai de réponse s'accélère. Nous avons parlé à l'un de nos courtiers en assurance de l'état actuel des choses, et c'était intéressant parce qu'on a parfois l'impression que les régulateurs disent une chose et que les normes en disent une autre. C'est comme si les assureurs payaient pour les attaques de ransomwares et vous savez qu'ils payent. Ils posent des questions assez pointues sur nos mesures de sécurité.
L'une des choses qu'ils ont dit avoir constatées est une réduction massive du temps entre la compromission d'un réseau et la survenance d'une catastrophe. On doit réagir plus rapidement.
On doit détecter une intrusion le plus tôt possible. Et si on ne peut pas réagir dans un délai raisonnable, ce n'est pas une bonne chose. Le temps imparti pour limiter les dégâts est de plus en plus court.
Il est préférable de s'appuyer sur la sagesse de la communauté élargie des spécialistes de l'infosécurité. Twitter se révèle parfois utile à cet égard. Qui a été touché en premier ? Avez-vous compris la situation ? Avez-vous établi une règle pour cela ? Puis-je la déployer ? Log4J est un bon exemple de situation difficile. Mais nous avions déployé notre WAF d'Akamai et nous vous avons téléphoné, ce qui nous a donné un peu de répit.
NB : Cela représente beaucoup de choses à gérer, n'est-ce pas ? Faire preuve de réactivité, notamment en ce qui concerne les ransomwares. Surtout avec le temps de réponse qui diminue et les assureurs qui vous talonnent.
PY : Et pendant la pandémie, tout le monde a travaillé sans compter. On se lève plus tôt, on travaille toute la journée et puis les gens ont commencé à réaliser, « Attendez, il faut tenir compte de l'élément humain ». Nous structurons nos équipes de manière à ce qu'elles puissent réagir rapidement et être sur la brèche en permanence. Mais nous devons aussi prendre des mesures pour ne pas épuiser les gens.
NB : Et comment vous y prenez-vous ?
PY : Je continue d'en discuter avec la direction. Je leur dis : « Combien de fois peut-on s'en sortir avec un accident évité de justesse grâce à quelques personnes qui agissent comme des superhéros ? » Nous devons donner plus de moyens à nos collaborateurs, les former, les encadrer et apprendre des autres.
NB : C'est logique. En ce qui concerne l'avenir, que voyez-vous à l'horizon ?
PY : Les erreurs de base sont toujours d'actualité. Il n'y a aucune restriction d'accès à la profession de développeur Web. Les mêmes erreurs commises il y a 30 ans se produisent encore. Le haut du panier devient plus difficile, plus complexe.
Vous parlez de cyberassurance et de sécurité, ce qui est étrange car dans le monde physique, on se dit : « Ne devrais-je pas m'inquiéter de me faire cambrioler sans pouvoir rien y faire ? » Mais quels sont les gouvernements qui s'unissent pour changer la donne ? En fait, beaucoup d'entreprises technologiques mènent le bal, ce qui est intéressant. Mais voulez-vous vraiment que vos règlements soient établis par les entreprises technologiques ? Je ne sais pas.
NB : Oui, il y a un important travail d'élaboration des politiques publiques. Et puis les réglementations sont différentes entre l'UE, le Royaume-Uni et les États-Unis. C'est un domaine fascinant en ce moment, compte tenu de la situation actuelle avec la guerre en Ukraine. Y a-t-il des technologies particulières que vous envisagez d'utiliser à l'avenir ?
PY : Cela dépend de ce que nous envisageons. Si j'avais un projet entièrement nouveau, je recommencerais de manière très différente. Je pense beaucoup au Zero Trust, en particulier à la microsegmentation. J'ai envie de discuter des possibilités offertes par les charges de travail sans serveur.
NB : Est-ce que quelqu'un dans l'audience a des questions à poser à Phil ?
L'audience : En ce qui concerne l'automatisation et l'intelligence artificielle, à quel point êtes-vous à l'aise avec l'automatisation ? Jusqu'où peut-elle aller dans votre environnement de sécurité ?
PY : Nous n'en avons pas du tout peur. Nous évoquons des modèles heuristiques d'apprentissage automatique qui ne sont que des approximations mathématiques. Si on sait ce qu'on utilise et où on l'utilise, alors cela peut être judicieux, ou pas. Cela dépend de la situation. On peut avoir une règle rigide ou une règle plus complexe. La correspondance de modèle est une bonne idée dans certaines situations et une mauvaise idée dans d'autres.
Ce que nous faisons en interne en tant qu'entreprise restera notre propriété exclusive. Mais nous recherchons des fournisseurs qui peuvent approfondir la question et nous former. Nous passons des heures à essayer de repérer les anomalies, et c'est une aide réelle en matière de prévention des pannes et de capacité.
Un de mes collègues a conçu un grand nombre d'outils de surveillance qui recherchent les anomalies. Nous n'avons pas eu besoin de modèles d'apprentissage automatique classiques pour y parvenir. Je pense donc qu'il y a encore un certain engouement autour de cette technologie. Mais dans l'ensemble, je n'aurais pas peur d'un service qui utilise l'apprentissage automatique.
L'audience : Vous avez mentionné la façon dont vous communiquez avec d'autres personnes dans des situations de crise en utilisant Twitter. Quelle sera, selon vous, l'importance de cette communauté à l'avenir, et quel sera le rôle d'un fournisseur comme Akamai ?
PY : Twitter est formidable. Je ne suis pas un utilisateur particulièrement actif, mais je communique avec des connaissances en utilisant ces canaux. J'adore quand quelqu'un trouve quelque chose, comme une chaîne malveillante, qu'il peut partager avec le reste de la communauté. Il y a des fournisseurs qui rassemblent des informations et font ce qu'ils peuvent. Beaucoup d'analystes de sécurité sont excellents. Ils sont au courant de tout. Je veux tirer des enseignements de tous ceux qui ont déjà résolu un problème. De notre côté, nous voulons partager toute information qui pourrait profiter à la communauté.
NB : Phil, merci d'avoir pris le temps de vous entretenir avec nous, nous vous en sommes très reconnaissants.
PY : Merci.