Comment les entreprises de services financiers réduisent le risque de violation de données grâce à la sécurité des applications

À mesure que les entreprises accélèrent leur transformation numérique et que les consommateurs exigent un accès numérique permanent, les statistiques continuent de s'accumuler : 

• 37 % des dirigeants des secteurs des services financiers et de l'assurance interrogés affirment que le numérique et le mobile représentent actuellement la moitié ou plus de leurs ventes – et ce chiffre est en constante augmentation (Rapport 2021 d'Adobe sur les tendances des services financiers et des assurances) 

• Le coût total moyen d'une violation de données est de 4.35 millions de dollars américains (Rapport IBM sur le coût d'une violation de données 2022) 

• 39 % des violations de données étaient dues à des vulnérabilités d'applications (Rapport d'enquête Verizon Data Breach 2021) 

Le secteur des services financiers, qui englobe les banques, les assurances et les sociétés d'investissement, est une cible privilégiée des cybercriminels. Logique, puisque c'est là que se concentre l'argent. Mais à mesure que les services financiers développent leur présence numérique, leur vulnérabilité aux cybercriminels s'accroît considérablement. Cette expansion a été alimentée par la transformation numérique, la demande croissante de praticité des clients et la pandémie de COVID-19. Chaque jour, un nombre croissant de clients utilisent des applications mobiles et web pour accéder à leurs comptes, ce qui a considérablement augmenté la surface d'attaque. 

Parallèlement, la méthode Agile a raccourci les délais de développement et DevOps Les délais de déploiement ont été considérablement réduits, passant de plusieurs semaines à quelques jours, voire quelques heures dans certains cas. Les institutions financières peuvent ainsi accélérer le déploiement de leurs nouvelles applications ou la mise à jour de celles-ci. L'utilisation de code open source complexifie toutefois la sécurité des applications. 

Le résultat ? De État des lieux 2021 de Contrast Security Application Security dans le rapport sur les services financiers : 

• 67 % des entreprises interrogées présentent 20 vulnérabilités critiques ou plus par application en développement. 

• 48 % des applications en production présentent 10 vulnérabilités critiques ou plus. 

• 98 % ont subi au moins trois exploitations réussies de leurs applications au cours de l'année écoulée. 

Les développeurs sont soumis à une forte pression pour fournir en continu de nouvelles fonctionnalités. Leur priorité est donc ces nouveautés, et non la sécurité. Par conséquent, la sécurité est reléguée au second plan, plus tard dans le cycle de développement. 

Nous avons interrogé notre vice-président produit, Mike WoodardIl a commenté cette situation et voici ce qu'il a déclaré :

Votre équipe développe une nouvelle application publique. Elle a exécuté les outils d'analyse choisis par un membre de votre organisation pour s'assurer que vous ne lancez pas un projet catastrophique (une étape pénible, mais nécessaire). L'environnement de production est opérationnel et les outils de sécurité réseau sont en place (ce qui engendre des coûts et des délais supplémentaires). Vous pouvez créer des comptes utilisateurs et vos tests montrent que tout fonctionne comme prévu. Le marketing a fait son travail et le monde entier attend le lancement. Vous êtes sur le point d'obtenir les résultats escomptés… du moins, c'est ce que vous croyez. 

Compte tenu du nombre potentiel d'utilisateurs et de l'intérêt préliminaire du marché, vous avez attiré l'attention de personnes discrètes. Pour une fraction de votre investissement, elles espèrent elles aussi profiter de vos efforts. Elles ont travaillé d'arrache-pied ces derniers temps, analysant votre dernière version bêta à la recherche de failles. Et puisque votre application fonctionne, elles ont un exemple concret du fonctionnement attendu de l'interaction avec vos serveurs (et elles apprécient cela, soit dit en passant). Après avoir désassemblé le code, analysé le flux de contrôle et observé le comportement de l'application face à des entrées inhabituelles, elles attendent la date de lancement avec autant d'impatience que vous.

Le problème qui vous causera des soucis à l'avenir, c'est que vous ignorez tout de leurs agissements. Vous ne réalisez pas qu'ils connaissent désormais parfaitement le fonctionnement de votre application. Ils peuvent ainsi peaufiner leur attaque avec patience, car les petites erreurs qu'ils provoquent passent inaperçues parmi les nombreux autres utilisateurs qui testent votre application en toute sécurité. Ils peaufinent donc méthodiquement, encore et encore, jusqu'à ce que leur faille de sécurité apparaisse comme une statue surgie du marbre. Dès lors, le vol d'informations de paiement, de données personnelles et de adresse IP commence (désolé de vous décevoir, ce n'est rien de personnel). 

Si vous n'avez pas encore vécu ce scénario catastrophe, imaginez-le et renforcez vos protections. Intégrez l'obfuscation pour compliquer l'analyse. Mettez en place des mécanismes anti-falsification pour détecter et réagir automatiquement aux environnements et modifications non standard. Ajoutez des fonctionnalités de reporting et de surveillance pour observer leurs actions en temps réel et corriger les failles de sécurité.

Nous aurions tous préféré que de telles mesures ne soient pas nécessaires, mais la boîte de Pandore est ouverte, et il est impossible de revenir en arrière. Autrefois, nous n'avions pas besoin d'alarmes de voiture ni d'authentification à deux facteurs, mais les temps ont changé, et nous devons tous nous adapter sous peine d'en subir les conséquences. 

J'aime me dire, et dire aux autres : « La réalité est votre alliée ! » Vos espoirs quant à la réalité du monde ne vous aideront pas à prendre de bonnes décisions. Alors, portez un regard réaliste sur votre situation et décidez si vous pouvez accepter votre niveau de risque actuel. Dans le cas contraire, ajustez votre stratégie jusqu'à obtenir une issue plus favorable.

Aucune entreprise de services financiers ne souhaite faire la une des journaux pour de mauvaises raisons, surtout si cela peut être évité. Découvrez comment protéger vos applications sans impacter votre calendrier de publication. Voici comment procéder : 

• Découvrez comment des personnes mal intentionnées peuvent déconstruire votre application pour en consulter le code source et identifier les vulnérabilités dans ce webinaire à la demande de 30 minutes. Comment créer un plan pour un logiciel sécurisé 

• Ou contactez-nous Planifiez un appel avec l'un de nos experts en sécurité 

Visitez notre page page de solutions pour en savoir plus.