(Cio Mag) – Les meilleures Fintech n’auraient pas de solides dispositifs de cybersécurité, relève une étude d’ImmuniWeb, la plateforme spécialisée dans la cybersécurité des applications. L’étude publiée le 20 août 2019 a porté sur les 100 meilleures Fintech au monde. Selon ImmuniWeb, 98% de ces Fintech sont sous la menace de phishing (hameçonnage), d’attaques web et d’application mobile. L’étude est partie du rapport 2018 de CB Insights sur les meilleures startups 2018.
« Cette recherche a pour objectif de faire la lumière sur l’état général de la sécurité Web et des applications des sociétés Fintech et de le comparer aux résultats des banques traditionnelles », a déclaré ImmuniWeb. Elle avait déjà publié le même type de rapport sur la vulnérabilité des 100 plus grandes banques en juin 2019.
Sites web et applications défaillants
L’étude a porté sur la sécurité et les normes de conformité des FinTech à travers le monde. Elle a conclu à une vulnérabilité de la totalité des entreprises évaluées au niveau de la sécurité, de la confidentialité et de la conformité. « 8 principaux sites Web et 64 sous-domaines des sociétés présentent au moins une vulnérabilité de sécurité à risque moyen ou élevé révélée publiquement et exploitable », souligne le rapport. Les vulnérabilités XSS (Cross-Site Scripting, OWASP A7), Sensitive Data Exposure (OWASP A3) et Security Misonfiguration (OWASP A6) étaient les plus courantes relevées sur les sites web.
Pire, « 100% des applications mobiles contiennent au moins une vulnérabilité de sécurité d’un risque moyen, 97% présentent au moins deux vulnérabilités de risque moyen ou élevé. 56% des systèmes d’applications mobiles (API REST / SOAP) présentent de graves problèmes de configuration ou de confidentialité liés à la configuration SSL / TLS et un renforcement insuffisant de la sécurité des serveurs Web », selon ImmuniWeb.
Outre les défaillances de sécurité, la population de FinTech sondée présente des manquements de conformité. 64% ont des sites web qui ne répondent pas aux normes du règlement général sur la protection des données personnelles (RGPD).
Sécurité web : deux champions détectés
Il y a quand même deux exemples à suivre dans le lot. Deux FinTech ont décroché la palme de sécurité web. Brex Inc et N26 Gmbh ont vu leur site web principaux qualifiés de sécurisé avec des notes plus élevées. ImmuniWeb explique que leurs sites ont le meilleur cryptage SSL et la sécurité des sites répondait aux « exigence de conformité (PCI DSS et GDPR) applicables ».
Au Total, 100 FinTech de 17 pays dans six régions au monde ont été la cible de cette étude : Afrique, Asie, Australie, Europe, Amérique du nord et du sud. 100 noms de domaines, 3580 sous-domaines, 61 applications mobiles, 1444 API ont été passés à la loupe pour arriver à la conclusion selon laquelle : 98% des meilleures FinTech au monde sont vulnérables aux cyberattaques.
Souleyman Tobias