S’il existe un secteur en pleine transformation numérique fortement structurelle, c’est bien le secteur bancaire. De nombreuses banques abandonnent leurs agences physiques au profit de services en ligne plus rapides et réactifs par rapport aux attentes des clients, et disponibles 24h/24. Cependant, des groupes de cybercriminels s’infiltrent dans les systèmes de ces entreprises à travers leurs sites Internet transactionnels à l’aide d’outils sophistiqués et s’en prennent à des applications stratégiques pour se frayer un chemin vers les données.
Selon le rapport Data Breach Investigations Report 2016 de Verizon, 82 % des atteintes à la sécurité des services financiers résultent d’attaques à l’encontre d’applications Web, et un grand nombre d’applications bancaires mobiles restent également vulnérables.
Il s’agit pourtant d’un des secteurs les plus réglementés au monde, avec notamment des cadres législatifs tels que la directive DSP2 sur les services de paiement. L’entrée en vigueur le 25 mai prochain du règlement général européen sur la protection des données, pousse également grandement à sécuriser les investissements et les données personnelles de ces clients. Est-ce pour autant suffisant ?
Des bonbons ou un sort ?
Aujourd’hui, les banques et les startup fintechs proposent des services en ligne innovants qui ont tout pour séduire la génération Y. Chatbots et assistants virtuels, applications mobiles et notifications bancaires par messagerie instantanée font partie des outils utilisés pour « humaniser » l’expérience bancaire et élargir l’offre de services financiers.
En novembre 2017, la banque mobile allemande N26 a étendu son activité grâce à son compte premium baptisé « N26 Black ». Grâce à cette application, les clients bénéficient d’avantages tels que des notifications en temps réel, le détail des dépenses et paiements en temps réel. En janvier 2018, le groupe HSBC a lancé Amy, un assistant virtuel disponible 24 h/24, 7 j/7, à Hong Kong. Revolut, quant à elle, est la première banque digitale britannique à avoir franchi son seul de rentabilité en février 2018. Le modèle de banque sans agences, dans lequel les solutions privilégiant la mobilité prennent le pas sur une infrastructure de services financiers traditionnelle, progresse rapidement.
Les consommateurs s’attendent par conséquent à ce que leurs données personnelles soient protégées par les processus et technologies les plus robustes, quel que soit le mode d’accès à leurs services (applications en ligne, smartphones, tablettes ou Cloud). La cybersécurité de l’ensemble des processus transactionnels est donc la priorité.
En général, une société de services financiers type traite chaque jour des dizaines de millions de transactions complexes via d’immenses datacenters et une multitude de fournisseurs Cloud tiers.
Ce secteur exerce du coup un véritable pouvoir d’attraction sur les bots automatisés malveillants. Les cybercriminels ciblent en priorité les données des consommateurs, ce qui leur permet d’exploiter des comptes vulnérables et de revendre les informations personnelles au prix fort sur le Dark Web ou le marché noir.
Initialement découvert en 2016, TrickBot est un exemple de cheval de Troie financier visant les clients des grandes banques. Il se retrouve principalement dans des campagnes de phishing qui incitent les utilisateurs à saisir leurs informations d’identification sur des sites Web bancaires frauduleux, et de phishing se présentant sous la forme de services légitimes. En fait, les hackers peuvent désormais développer ou se procurer des outils très rapidement, ce qui complique non seulement leur détection, mais facilite aussi le piratage de systèmes au moyen de malwares et de ransomware sophistiqués.
Gestion responsable
En vertu du RGPD, chaque citoyen européen concerné dispose d’un droit fondamental à la protection et au contrôle de ses informations personnelles, où qu’elles soient traitées.
De nombreux établissements financiers déploient donc des solutions avancées et intégrées de sécurité des applications web pour se protéger contre toutes les formes de piratage, les tentatives d’intrusion et les attaques de type déni de service. Ils peuvent ainsi sécuriser les protocoles de transport, effectuer des tests certifiés et sûrs dans le cadre du développement d’applications, appliquer des correctifs en toute sécurité et journaliser les accès administrateur. Autant d’éléments qui répondent aux exigences du RGPD concernant la « protection des données dès la conception et par défaut ».
Ces processus sécurisés aident les entreprises à tirer parti des avancées du multi-Cloud évolutif, et à déplacer les applications et données de manière dynamique. La capacité à réagir immédiatement aux tentatives d’atteinte à la sécurité renforce non seulement la volonté des entreprises d’assurer une gestion proactive et sécurisée des données personnelles de leurs clients, mais facilite aussi le respect des réglementations.
Le dernier classement de l’OWASP en 2017 montre sans surprise que les attaques par injection SQL ou par Cross-site Scripting (XSS) sont encore dans le top 10 des vulnérabilités à l’encontre des sites transactionnels. Un pare-feu avancé pour applications Web permet aux entreprises d’adapter leur stratégie de sécurité aux applications Web et mobiles, que ce soit sur site ou dans le Cloud, tout en se défendant contre les bots et exploits malveillants. Les pare-feu AWAF empêchent par ailleurs les malwares de dérober les informations d’identification sur les terminaux des victimes, et stoppent les attaques par force brute ou de type « credential stuffing ». Ils détectent en outre l’altération des applications mobiles et neutralisent les attaques DDoS au niveau de la couche applicative.
Relation de confiance
Les consommateurs ont tout naturellement besoin de savoir que leur argent est en sécurité, et qu’un système d’assurance bancaire, combiné à des systèmes de sécurité à la pointe de la technologie, est là pour y veiller. Toutefois, si sur un plan technologique les banques semblent avoir pris la mesure des enjeux, il reste aux clients de s’assurer de l’usage et du partage que font ces entreprises de leurs données personnelles. L’avenir du marché financier est clair : établir et maintenir une relation de confiance avec le client concernant ses données privées et sensibles au travers de la technologie mais également en étant conforme aux processus, règles et nouveaux principes du RGPD.