Ces dernières années, l’adoption des technologies financières (fintechs) a considérablement progressé dans le monde. Les périodes de confinements pendant la pandémie ont contribué à cet essor, avec des utilisateurs plus enclins à faire appel aux solutions fintechs pour l’ensemble de leurs besoins financiers.
Les fintechs ont rejoint la pléiade de secteurs et d’industries aux prises avec des cybercriminels créatifs et déterminés. Ces derniers visent en effet les entreprises alors qu’elles tentent de s’adapter à l’environnement post-Covid. Au tout début de la pandémie, Finastra – une fintech établie au Royaume-Uni qui compte parmi sa clientèle la plupart des grandes banques à travers le monde – a essuyé une attaque spectaculaire.
Face aux dangers, les entreprises de technologies financières doivent mettre davantage l’accent sur la sécurisation de leurs systèmes. Nous évoquerons ci-après les principaux problèmes et les thématiques de sécurité actuelles sur lesquels les fintechs doivent se pencher dans le cadre d’un renforcement de leurs défenses.
Approuver l’authentification intelligente
Le secteur des fintechs contribue à rendre le monde de la finance plus accessible et inclusif. Plateformes de paiement numérique, cryptomonnaies, alternatives aux établissements de crédit traditionnels… toutes ces solutions, et bien d’autres encore, permettent de répondre aux besoins de populations traditionnellement sous-bancarisées. Leur succès en fait, sans surprise, une cible de plus en plus visible pour les cybercriminels.
L’accès aux comptes des clients des fintechs motive tout particulièrement ces cyberdélinquants. En effet, c’est le moyen idéal pour un hacker de mettre rapidement la main sur des actifs. Or, même si l’utilisation des applications de technologies financières explose – le nombre de startups de la finance a plus que doublé ces quatre dernières années – les hackers peuvent encore trop facilement accéder aux données d’identification des utilisateurs. C'est regrettable.
La mauvaise hygiène numérique des utilisateurs de technologies financières, notamment en matière de mots de passe, constitue le principal point d’accès pour les hackers. Les fintechs ont donc besoin de méthodes de gestion des identités plus strictes que le traditionnel binôme « nom d’utilisateur/mot de passe ». C’est là que les outils d’authentification intelligents entrent en jeu.
L’authentification intelligente fait référence à toute une gamme d’outils de gestion de l’identité et de processus qui lient une tentative de connexion à un utilisateur spécifique de manière plus stricte. Outre les outils comme l’authentification multifacteur, la biométrie et la localisation des adresses IP, l’authentification intelligente s’appuie de plus en plus sur les signatures numériques.
De l’ouverture de comptes aux demandes de crédit et de prêt, en passant par la confirmation des transferts et paiements, les signatures numériques peuvent être utilisées de bien des façons par les fintechs. Utiles pour les opérations en lien avec les clients, elles constituent en outre un levier d’efficacité clé pour les politiques et les pratiques internes en matière de gestion des identités et des accès.
Protéger les maillons de la chaîne d’approvisionnement
Les attaques visant la chaîne d’approvisionnement ont bénéficié d’une large couverture ces deux dernières années, la plus emblématique étant sans doute l’attaque par rançongiciel de Colonial Pipeline. Lorsque l’on parle « d’attaque de la chaîne d’approvisionnement », on imagine généralement les chaînes d’approvisionnement physiques. Les professionnels IT pousseront l’analyse un cran plus loin et s’intéresseront à la chaîne d’approvisionnement logicielle. Mais peu de personnes penseront à associer fintechs et attaques de la chaîne d’approvisionnement.
Or, les fintechs ont défini des chaînes d’approvisionnement susceptibles d’être attaquées et de [constituer] des cibles extrêmement séduisantes pour les cybercriminels. Plutôt que les flux de biens physiques ou de livraison d’applications, les chaînes d’approvisionnement fintechs traitent de flux et de biens qui figurent parmi les plus sensibles. Et pour cause, on parle là d’informations financières personnelles et de transferts d’actifs. Or, avec l’accélération de l’usage des technologies financières depuis la pandémie, ce trésor de données grossit de manière exponentielle.
De la collecte des données clients jusqu’au traitement des paiements ou autres transferts d’actifs, la chaîne d’approvisionnement fintech peut être piratée à chaque étape. Et pour compliquer la donne, dans leur démarche de sécurisation, les fintechs doivent également prendre en compte les vulnérabilités de la chaîne d’approvisionnement logicielle. Toute technologie financière doit intégrer par défaut des systèmes de paiement conformes à la norme PCI-DSS et le chiffrement des flux de données — c’est le b.a.-ba de la sécurité financière.
Se défendre contre les attaques D-I-Y
De nombreux cybercriminels sont à la fois ingénieux et consciencieux. Mais aujourd’hui, il n’est malheureusement pas très compliqué de devenir hacker et de générer des revenus substantiels. Il suffit d’un accès au Dark Web.
Pour ceux qui seraient tentés par le piratage, mais ne souhaitent pas consacrer du temps ni dépenser leur énergie à développer leurs propres exploits, le Dark Web propose des kits de piratage en mode « do-it-yourself » et d’autres outils qui simplifient le processus. On trouve toutes sortes de kits, les kits de rançongiciels étant très répandus et abordables. Même les pirates les plus avancés peuvent rapidement se constituer un arsenal avec ces outils de piratage préfabriqués.
Au bout du compte, les résultats des exploits classiques et de ceux basés sur des kits sont identiques. Les organisations doivent donc comprendre quels sont les principaux types d’attaques vendus sur le Dark Web afin de mettre en place les défenses adéquates.
La course aux talents spécialisés dans la sécurité IT
Selon une récente enquête, 70 % des entreprises peinent à faire face à la pénurie de talents spécialisés dans la sécurité IT. Loin de se résorber, l’écart tendrait au contraire à se creuser.
Pour de nombreuses organisations, ces difficultés de recrutement dans la sécurité IT représentent un cercle vicieux. D’un côté, les entreprises luttent pour doter leurs équipes de sécurité de personnel suffisant, et de l’autre, les pirates informatiques prolifèrent à haute vitesse — tout comme les attaques au quotidien. En tentant de pallier les manques de personnel, les membres des équipes en poste sont en surcharge et souffrent d’épuisement professionnel.
Les besoins sont particulièrement marqués pour la sécurité du cloud. En opérant leur transformation numérique, les entreprises ont transféré de plus en plus d’actifs vers le cloud. Mais pour les équipes de sécurité, cette transition se révèle difficile à gérer, car la sécurisation du cloud est loin d’être simple. Étant donnée l’ampleur des ressources et la rapidité des changements à mener dans le cloud, les paradigmes traditionnels de sécurité sur site ne peuvent s’appliquer à l’environnement cloud. Les équipes de sécurité déjà surchargées doivent donc dégager du temps en plus pour se former aux nouveaux outils de sécurité.
Les solutions pour résorber la pénurie de talents dans le domaine de la sécurité vont devoir s’écarter des voies de recrutement traditionnelles. Le recours à la technologie permettra de combler les manques. Ainsi, l’application des outils d’intelligence artificielle et d’apprentissage automatique viendra appuyer les équipes de sécurité pour le traitement et l’analyse au quotidien de quantités massives de données. Utilisés efficacement, ces outils peuvent rapidement passer au crible les données de trafic et de configuration, en écartant davantage de fausses alertes que les outils précédents. Les équipes peuvent alors prioriser leurs efforts et se concentrer sur les points les plus urgents.
Conclusion
Les fintechs continueront à évoluer jusqu’à prédominer dans les services financiers, mais devront, en corollaire, s’atteler à détourner l’attention indésirable que leur portent les cybercriminels. Certains outils permettraient aux fintechs de renforcer la sécurité de leurs systèmes, tout en proposant des solutions financières utiles et pratiques à leurs clients. Il ne reste plus à ces entreprises qu’à s’en emparer.
Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign
