GlobalSign Blog

Comment protéger vos applications bancaires des violations de sécurité

Comment protéger vos applications bancaires des violations de sécurité

En pleine crise du COVID-19, il est absolument indispensable de protéger vos applications bancaires des violations de sécurité. Dans une ère où le cybercrime est florissant, vous devez protéger votre entreprise et les données de vos clients.

En dehors de toute considération sanitaire, il serait judicieux de reconsidérer votre stratégie de sécurité actuelle. Comme le souligne CSO Online, près de 28 % des entreprises subiront une violation de données dans les deux prochaines années. Vu les effets dévastateurs de ce type d’incidents, vous ne pouvez espérer protéger vos applications en améliorant seulement la sécurité de votre réseau et de vos terminaux.

Malheureusement, les applications web et mobiles sont particulièrement exposées aux cyberattaques. C’est pourquoi les entreprises en général, et les établissements financiers en particulier, doivent prendre des précautions supplémentaires pour renforcer la sécurité de leurs applications.

Sans de telles mesures, les outils de sécurité traditionnels comme les pare-feu et logiciels antivirus resteront largement inefficaces. Par chance, il ne tient qu’à vous de protéger vos applications contre la rétro-ingénierie et les manipulations non autorisées, et ce, pour un budget fort raisonnable.

Pourquoi les applications bancaires sont-elles vulnérables ?

L’une des failles les plus critiques des applications bancaires réside dans leur architecture. Concrètement, ces applications sont des logiciels reliés au système back-end de la banque par le biais d’interfaces de programmation (ou « API ») fondées sur des normes.

Ces API possèdent généralement un code source ouvert, ce qui est très utile pour les développeurs. Elles créent cependant des failles de sécurité que les outils de sécurité traditionnels comme les pare-feu standards ou les pare-feu d’applications web ne peuvent résoudre ou maîtriser. 

Par exemple, les API et applications bancaires mobiles communiquent par des interactions chiffrées de machine à machine sur le réseau. Les attaquants peuvent créer des API « parallèles » qui ne déclencheront aucune alerte de compromission, et profiter ainsi de ces interactions. Les hackers passent ainsi sous les radars des filtres réseau en prenant l’apparence d’utilisateurs approuvés.

Modèle de responsabilité partagée

La question de la responsabilité est un autre facteur limitant dans la protection des applications bancaires. En règle générale, la responsabilité se partage entre un acteur interne et un acteur externe à la banque.

Dans la plupart des secteurs, un responsable métier transmet au département IT un cahier des charges de l’application. Après quoi l’équipe Dev s’occupe principalement de la conception tandis que l’équipe Ops se charge du déploiement.

Dans le secteur bancaire, les responsables métier assument une part de la responsabilité liée aux applications mobiles aux côtés du département informatique et d’une entité externe chargée du développement applicatif et de la gestion des API.

Ce partage tripartite des responsabilités n’est pas sans poser quelques problèmes en matière de sécurité, d’autant que les équipes ne sont jamais à l’abri d’un dysfonctionnement. 

Face à un incident de sécurité, des différends peuvent surgir quant à l’équipe responsable de sa résolution.

Utilisation inadéquate des plateformes mobiles

Les OS mobiles comme Android et iOS offrent à leurs utilisateurs des fonctionnalités de sécurité uniques avec des systèmes de permission et de lecture d’empreinte digitale. Toutefois, une utilisation incorrecte de ces outils peut placer la confidentialité et les données personnelles des utilisateurs à la merci des hackers.

Stockage de données non sécurisé

Toute application nécessite de l’espace pour le stockage des données. Pour protéger leurs informations sensibles, les utilisateurs doivent miser sur des solutions de stockage hautement sécurisées, y compris pour le stockage interne. C’est en fait la première ligne de défense contre les fuites de données.

Sans la mise en place d’un stockage sécurisé, les hackers auront tôt fait d’exploiter vos données sensibles dans leur propre intérêt.

Vulnérabilité des communications

Les applications mobiles ont besoin de communiquer avec des sources de données externes comme des serveurs, des terminaux NFC ou des appareils Bluetooth. Si ces communications sont indispensables pour permettre aux applications d’exprimer leur plein potentiel, elles ouvrent cependant la voie à d’éventuelles fuites de données.

Conséquences de la DSP2 pour les banques

La directive révisée sur les services de paiement (DSP2) a pour premier objectif de remédier aux activités frauduleuses et malveillantes dans le cadre des paiements en ligne. Le texte entend promouvoir l’utilisation de documents digitaux et renforcer la sécurité des paiements électroniques. La DSP2 encourage également un modèle de banque ouverte et favorise la concurrence au sein du secteur financier.

Sous cette directive, les banques doivent fournir à des tiers habilités un accès automatisé aux comptes de transaction de leurs clients individuels et professionnels. Elles travaillent ainsi en étroite collaboration avec des prestataires de services de paiement tiers (PSP tiers), parmi lesquels des fintechs, des banques et des grandes entreprises. Enfin, la DSP2 s’efforce d’améliorer la sécurité des paiements électroniques et l’expérience globale des consommateurs.

Comment prévenir les violations de sécurité sur vos applications bancaires ?

Les banques devront appliquer des mesures de sécurité robustes pour protéger leurs applications des violations de données et de sécurité. Voici une liste des meilleures solutions à leur disposition :

  • Miser sur différentes tactiques comme l’analyse continue des applications et des vulnérabilités pour contourner les problèmes de confidentialité des données sur les applis Android et iOS.
  • Inciter les utilisateurs à toujours employer des connexions Internet sécurisées avant de consulter leurs comptes depuis leur mobile, surtout lorsqu’ils utilisent des réseaux Wi-Fi publics.
  • Faire participer l’ensemble des parties prenantes aux processus de conception et de déploiement pour identifier les défauts de sécurité avant le lancement de l’application.
  • Investir dans l’intelligence artificielle pour renforcer la sécurité des applications mobiles. Les banques seront ainsi mieux armées pour garder à l’abri l’argent de leurs clients mobiles.
  • Appliquer de bonnes pratiques de sécurité pour protéger les plateformes mobiles.
  • Sensibiliser les clients à l’utilisation sécurisée des plateformes mobiles.
  • Déployer des algorithmes sécurisés pour protéger les données des applications stockées sur la mémoire interne.
  • Protéger les communications des applications avec des outils de sécurité adaptés comme les algorithmes de chiffrement.
  • Enfin, les banques, PSP et autres parties prenantes doivent suivre la DSP2 pour sécuriser leurs mécanismes de paiement en ligne avec des certificats QWAC (Qualified Website Authentication Certificate) et QSealC (Qualified electronic Seal Certificate).

En résumé

Pour protéger leurs données financières des menaces en ligne, les banques et leurs clients doivent être sur la même longueur d’onde. En particulier, les établissements financiers doivent régulièrement analyser les vulnérabilités de leurs applications, d’une part pour améliorer leurs performances en matière de sécurité et de confidentialité, d’autre part pour garantir leur conformité aux directives et réglementations sur la confidentialité comme la DSP2.

Les clients doivent également assumer leur part de responsabilité dans la protection de leurs applications bancaires et de leurs données financières. Ici, les VPN et logiciels antivirus pour mobile constituent un bon point de départ.

NB : Cet article a été rédigé par un contributeur externe en vue d’offrir à nos lecteurs une plus grande variété de contenus. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.

Share this Post