lundi 18 novembre 2019    || Inscription
BannierePresse
 
 

Les changements liés à l’évolution du secteur FinTech pourraient ouvrir la voie à de nouvelles attaques à l’encontre des entreprises et des particuliers.

Rueil-Malmaison, le 23 septembre 2019, Trend Micro, entreprise japonaise parmi les leaders mondiaux en matière de solutions de sécurité informatique, publie ce jour une étude démontrant que les nouvelles directives bancaires entrées en vigueur au sein de l’Union Européenne pourraient considérablement élargir la surface d’attaque des entreprises de services financiers ainsi que leurs clients.

Cette nouvelle étude détaille l'impact de la nouvelle Directive Européenne sur les services de paiement (DSP2), dont l'objectif est de permettre aux utilisateurs de contrôler davantage leurs données financières, tout en leur permettant de les partager avec une nouvelle génération d'entreprises innovantes en matière de technologie financière (FinTech). Un phénomène qui se développe également à l’échelle mondiale sous le nom d'« Open Banking ».

« Le secteur financier a toujours été une cible très attrayante pour les cybercriminels. Mais la DSP2 et l'Open Banking vont offrir aux hackers encore plus de possibilités pour subtiliser des informations personnelles et financières sensibles », souligne Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Nous craignons que le secteur ne soit pas entièrement prêt à faire face à l’extension considérable de la surface d’attaque. C'est pourquoi nous voulions évaluer les risques avant qu'ils ne se concrétisent, de façon à pouvoir accompagner efficacement les entreprises de la FinTech et les prêteurs traditionnels dans la protection de leurs ressources. »

Le rapport met en évidence plusieurs scénarios d'attaque possibles dans le cadre du nouveau régime réglementaire :

• Attaques contre les API : les API publiques sont au cœur de l'Open Banking, et permettent à des tiers agréés d'accéder aux données bancaires des utilisateurs pour proposer de nouveaux services financiers innovants. Les failles de mise en œuvre de ces API permettront aux pirates d'exploiter les serveurs de back-office pour dérober des données.

• Attaques contre les entreprises de la FinTech : les utilisateurs seront contraints d'établir une nouvelle relation de confiance avec des prestataires ne disposant pas nécessairement les mêmes garanties en matière de protection des données ni autant de ressources que leurs banques. Lors d'une brève enquête auprès des entreprises de la FinTech intervenant dans le domaine de l'Open Banking, Trend Micro a constaté que ces dernières comprennent 20 salariés en moyenne, mais aucun professionnel dédié à la sécurité. Elles constituent donc des cibles idéales pour les hackers, qui peuvent profiter des éventuelles failles de sécurité de leurs applications mobiles, API, techniques de partage de données et modules de sécurité, en cas de mise en œuvre incorrecte.

• Attaques contre les applications et plateformes mobiles : la plupart des services d'Open Banking seront déployés sous forme d'applications mobiles, une cible de choix pour les attaquants. En mettant la main sur le nom de l'utilisateur, son mot de passe ou les clés de chiffrement dans l'application, un hacker peut récupérer des données bancaires et usurper une identité. Même si les applications ne permettent pas d'effectuer des paiements, elles peuvent contenir des données relatives à des transactions. Un hacker peut ainsi établir un profil très précis de ses victimes.

• Attaques contre l'utilisateur : les nouvelles applications d'Open Banking s’apprêtant à devenir le principal moyen pour les utilisateurs d'accéder aux données et aux services financiers, les attaques de phishing pourraient devenir très fructueuses pour les pirates.

Le rapport apporte par ailleurs un éclairage sur la façon dont les établissements financiers peuvent renforcer leur cyber-résilience pour se préparer à l'évolution de leur environnement, notamment en s'assurant que les URL ne contiennent jamais d'informations sensibles, en privilégiant les protocoles sécurisés et en éliminant les pratiques à risque.

Les développeurs et propriétaires d'applications d'Open Banking doivent adopter simultanément une approche sécurisée dès le stade de la conception, avec notamment des audits logiciels réguliers.

Pour en savoir plus sur les risques cyber associés aux nouvelles règles d'Open Banking, consultez le rapport Trend Micro « Ready or Not for PSD2: The Risks of Open Banking » : https://www.trendmicro.com/vinfo/fr/security/news/cybercrime-and-digital-threats/the-risks-of-open-banking-are-banks-and-their-customers-ready-for-psd2


A propos de Trend Micro
Leader mondial de solutions de cybersécurité, Trend Micro a pour mission de sécuriser les échanges d’informations numériques d’aujourd’hui et de demain. S’appuyant sur notre stratégie de sécurité XGen™, nos solutions innovantes pour le grand public, les entreprises et les organisations gouvernementales, déploient une sécurité multicouche pour les data centers, les environnements Cloud, les réseaux et les Endpoints.
Optimisées pour les principaux environnements du marché - parmi lesquels Amazon Web Services (AWS), Microsoft® et VMware®- nos solutions permettent aux entreprises de faire face aux menaces actuelles via une protection automatisée de leurs informations sensibles. Offrant une visibilité et un contrôle centralisés, notre stratégie de défense connectée facilite le partage d’informations sur les menaces, renforçant ainsi la protection des entreprises.





Partenaires Mag-Securs