Rejoignez-Nous sur

Alors que la Fintech se prépare, les mesures de cybersécurité suivent-elles?

andre francois 557694

News

Alors que la Fintech se prépare, les mesures de cybersécurité suivent-elles?

L'essor des produits et services virtuels dans le secteur bancaire révolutionne le secteur financier dans le monde entier. Du coup, les gens qui n'ont jamais eu accès aux services financiers se retrouvent désormais avec une pléthore d'options disponibles en quelques clics sur leur smartphone.

Par exemple, les données du Fonds monétaire international publié en septembre 2019 montre qu'en Afghanistan, «où moins de 200 adultes sur 1 000 ont un compte bancaire» indique que l'argent mobile a quadruplé au cours des cinq dernières années «pour atteindre 1,2% du PIB en 2018».

Et le phénomène ne se limite pas aux pays en développement ou même uniquement au secteur financier lui-même – du coup, les entreprises de tous les côtés s'intéressent à offrir des services financiers à divers titres à leurs utilisateurs dans leur recherche de nouvelles sources de revenus et de nouvelles façons de servir leurs clients.

En fait, PriceWaterhouseCoopers, dans son «Financial Services Technology 2020 and Beyond: Embracing Disruption» rapport, a déclaré que partout dans le monde, «les start-ups finTech empiètent sur les marchés établis, menant avec des solutions conviviales développées à partir de zéro et sans encombrement par les systèmes existants».

Cela a provoqué une certaine inquiétude parmi les acteurs de l'industrie établis qui sont soucieux de pouvoir suivre le rythme de l'innovation technologique. 70% des répondants au Global CEO Survey de l’entreprise ont déclaré que «la rapidité des changements technologiques était une préoccupation» en ce qui concerne la concurrence.

Cependant, être en mesure de correspondre à l'agilité des banques challenger et des startups fintech n'est peut-être pas la seule raison de s'inquiéter du rythme de l'innovation dans les technologies financières.

En effet, l'accélération de l'innovation technologique présente un ensemble nouveau et unique de risques de sécurité pour les utilisateurs des plateformes de banque virtuelle et de fintech.

Quels sont ces risques? Et le développement de solutions de cybersécurité et de filets de sécurité va-t-il aussi vite que le développement de ces plateformes fintech?

Les problèmes dans l'APAC pourraient être un indicateur pour le reste du monde

La question a été un sujet de préoccupation dans les régions du monde où la banque virtuelle a pris une place particulièrement prolifique.

En effet, dans son dernier Global Fintech Adoption Index, la multinationale de services professionnels Ernst & Young (ou EY) a constaté que le La région APAC avance en termes de prolifération des plateformes fintech.

"En seulement deux ans, les taux d'utilisation des services FinTech par les consommateurs ont doublé, et dans certains cas triplé, sur les principaux marchés d'Asie-Pacifique", indique le rapport. Cela comprend Hong Kong, Singapour et la Corée du Sud, qui ont chacun atteint 67% d'adoption FinTech; L'Australie suit de près avec 58%.

Pourtant, le rapport indique qu'à 87% de pénétration, la Chine est le leader incontesté de l'adoption des technologies financières – "à l'exception de l'Inde, qui est désormais presque liée à la première puissance numérique de l'Asie".

Mais avec le taux d'adoption rapide est venu l'introduction rapide de nouveaux types de risques pour la sécurité. Dans un rapport intitulé «eKYC rationalise les services bancaires numériques: une perspective Asie-Pacifique», Jumio a trouvé que 78% des banques de la région APAC affirment que l'introduction de choses comme les plateformes de paiement en temps réel dans leur pays d'origine a entraîné une augmentation des pertes liées à la fraude. Les escroqueries d'ingénierie sociale ont été désignées par 40% des banques comme la principale forme d'attaques d'acteurs frauduleux.

De même, dans son rapport mondial sur l'identité et la fraude 2019, la société a constaté que 50% des entreprises de l'APAC avaient vu une augmentation des pertes de fraude au cours des 12 derniers mois en raison du vol d'identité et des prises de contrôle de compte. Le rapport a également révélé que 67% des entreprises ont signalé une augmentation de leur préoccupation pour les pertes par fraude depuis 2018.

Les risques – et les retombées qu'ils provoquent – sont des problèmes mondiaux

Bien que le taux d’adoption accru de l’APAC ait pu rapprocher les risques associés à l’adoption des technologies financières, les problèmes sont similaires ailleurs dans le monde.

dave klein
Dave Klein, directeur principal de l'architecture et de l'ingénierie de la firme israélienne de sécurité cloud Guardicore.

Dave Klein, directeur principal de l'architecture et de l'ingénierie de la société israélienne de sécurité cloud Guardicore, a déclaré Magnates des finances que dans le monde entier, «les banques et les sociétés de services financiers sont les principales cibles de la cybercriminalité» et que «les cyberattaques coûtent plus cher aux institutions financières qu'aux entreprises de tout autre secteur, soit 50% de plus que toutes les autres combinées».

«De nombreux groupes malveillants ont visé leurs efforts pour tirer directement parti des réseaux bancaires», a expliqué M. Klein.

Les retombées de ces cyberattaques ne se limitent pas spécifiquement à la seule perte de fonds. Peter Berg, vice-président du développement commercial et de la stratégie chez Very Good Security (VGS), a déclaré Magnates des finances que «la sécurité des données – et de plus en plus, la confidentialité des données – est une question urgente dans tous les coins de l'industrie financière. "

En effet, «la peur des violations de données crée un défi à multiples facettes», a-t-il expliqué. «Premièrement, les clients perdent confiance dans les institutions qui ne peuvent pas protéger leurs données sensibles. Deuxièmement, cela crée une hésitation de la part des institutions financières de longue date à travailler avec des fintechs et des startups innovantes. Troisièmement, cela pousse chaque entreprise à créer des systèmes de conformité et de sécurité à partir de zéro, ce qui est incroyablement gourmand en temps et en ressources. »

Les exigences réglementaires ajoutent une autre couche de complexité au problème

Essentiellement, «d'autant plus que les systèmes passent à des systèmes distants et en ligne, les données sont passées d'un actif à un passif», a expliqué M. Berg.

En effet, d’une certaine manière, la présence de tant de plateformes en ligne a offert aux criminels opportunistes une pléthore de nouvelles opportunités pour se retrouver dans les comptes des utilisateurs et accéder à des informations sensibles.

peter berg
Peter Berg, vice-président du développement commercial et de la stratégie chez Very Good Security (VGS).

«L'explosion des services financiers numériques combinée aux initiatives de cloud computing et aux nouveaux modèles de livraison d'applications a élargi la surface d'attaque que les criminels peuvent exploiter», a expliqué M. Berg. "Il est ressenti le plus grand dans les transactions de paiement et dans les parties de la confidentialité qui tournent autour des données client."

Ce type d '«étalement des données» est au centre du problème – par conséquent, «limiter l'étalement des données est plus pertinent et difficile que jamais».

M. Klein a également déclaré que le problème est aggravé par le fait que les banques et les plateformes de fintech sont "soumises à de nombreuses exigences réglementaires complexes".

"Pour les grandes banques, la conformité réglementaire vient de la conformité des transactions monétaires internationales appelée SWIFT", a-t-il déclaré. «Ils doivent également se conformer à la conformité PCI pour les transactions par carte de crédit.»

Dans le même temps, «les lois sur la vie privée fleurissent partout».

Articles suggérés

Coronavirus: vaincre l'effondrement mondialAller à l'article >>

En effet, «les consommateurs l'exigent», a-t-il déclaré. "C'est devenu la nouvelle norme", a-t-il poursuivi. «Si les banques font des affaires dans l'UE, il y a le RGPD, à NY il y a le SHIELD. En même temps, «en Californie (il y a) CCPA et au Mexique, il y a la loi fédérale sur la protection des données». La liste continue.

Le problème devient plus ou moins complexe selon l'endroit où ces banques et entreprises opèrent. «Pour les petites banques communautaires qui dépendent du traitement des chèques par la Réserve fédérale et des cartes de crédit, des services de transfert d'argent et des services ATM de tiers, elles doivent se conformer aux exigences ad hoc de chaque fournisseur avec lequel elles travaillent.»

Résoudre un problème à plusieurs volets

Alors, quelle est la solution?

Idéalement, les sociétés et les banques de technologies financières devraient viser à adopter une approche qui protège efficacement les clients et répond au plus grand nombre d'exigences de conformité possible, tout en évitant de surcharger les utilisateurs avec les étapes d'intégration.

Jumio recommande l'adoption de solutions électroniques Know-Your-Customer (eKYC) et anti-blanchiment d'argent (AML) qui acquièrent les données clients en toute sécurité et en toute conformité sans imposer une charge supplémentaire aux clients. (Il convient de noter que Jumio fournit lui-même les services eKYC et AML.)

En effet, Jumio a déclaré que trouver ce type de solution est un «délicat équilibre»: d'une part, «donner la priorité à la détection de la fraude ajoute des frictions supplémentaires pour atteindre des niveaux plus élevés d'assurance d'identité».

D'un autre côté, cependant, «si vous avez trop de friction, les taux de conversion chutent et vous vous retrouvez avec des perspectives privées».

Alexey Khitrov, co-fondateur et président de la société de vérification d'identité ID R&D, a également noté cette tendance dans un e-mail à Finance Magnates. "Alors que les services bancaires numériques nécessitent une sécurité élevée, les clients ne sont pas prêts à sacrifier la facilité et la vitesse", a déclaré M. Khitrov.

alexey photo
Alexey Khitrov, co-fondateur et président de la société de vérification d'identité ID R&D.

Par conséquent, «Il est important que les institutions financières accordent une attention particulière à l'expérience utilisateur et prennent des mesures pour éliminer les frictions dans la mesure du possible. Par exemple, dans Digital Onboarding, nous constatons un abandon accru des applications lorsque la vérification d'identité oblige les utilisateurs à effectuer des actions difficiles à suivre afin de prouver leur vivacité. »

Les solutions doivent être conçues sur mesure en fonction des besoins d'une entreprise, mais elles doivent répondre à un certain ensemble de problèmes

En d'autres termes, avec des problèmes de cybersécurité, de conformité et de convivialité, le problème de cybersécurité des fintech est très complexe – et en tant que tel, il nécessite probablement des solutions complexes. Cela pourrait signifier la création de solutions locales qui tentent de traiter chaque aspect de la vérification d'identité et de la cybersécurité, ou l'utilisation d'un certain nombre de solutions tierces différentes qui traitent séparément divers aspects du problème.

Dans les deux cas, il n’existe pas de réponse unique: la solution de chaque entreprise devra être conçue sur mesure, d’une manière ou d’une autre.

Pourtant, M. Klein affirme qu'il existe un ensemble directeur de principes de «confiance zéro» que les entreprises adaptent de plus en plus pour former les infrastructures de sécurité et de conformité qu'elles utilisent.

"En réponse à ces menaces, les institutions financières adoptent de plus en plus des stratégies Zero Trust et des mesures de défense actives pour protéger les systèmes financiers critiques comme l'infrastructure de paiement SWIFT, les environnements de données des titulaires de carte (CDE) et les PII des clients pour réduire la surface d'attaque et répondre aux exigences de protection des données et de conformité, », A déclaré M. Klein.

Ces infrastructures «Zero-Trust» réduisent les risques en prenant des mesures pour décentraliser les données clients, ce qui rend plus difficile pour un acteur malveillant d'y accéder.

En d'autres termes, cette «micro-segmentation» permet aux entreprises de noter les données KYC en un seul endroit, tandis que les données de transaction et les données d'accès au compte peuvent être stockées séparément. Par conséquent, si un pirate informatique accède à un ensemble de données, il peut ne pas être en mesure d'accéder à d'autres éléments.

«Une architecture Zero-Trust abolit l'idée d'un réseau de confiance à l'intérieur d'un périmètre d'entreprise défini», a-t-il expliqué. «Au cœur de Zero-Trust se trouve l'application de« micro-périmètres »de contrôle autour des ressources de données sensibles.»

«Ces« micro-périmètres »nécessitent une micro-segmentation et une segmentation définie par logiciel pour segmenter les systèmes bancaires critiques, réduire la surface d'attaque et rationaliser la conformité dans n'importe quel environnement», a déclaré M. Klein.

Cela signifie que «les institutions financières peuvent réduire la surface d'attaque des systèmes financiers critiques et empêcher l'exfiltration de données sensibles en appliquant la micro-segmentation pour un contrôle d'accès à grain fin».

Construire une infrastructure «Zero-Trust»

À quoi ressemble ce type d'infrastructure Zero-Trust au niveau pratique? M. Klein a dit Magnates des finances «Les institutions qui cherchent à adhérer aux principes de Zero Trust doivent exploiter avec succès des solutions de sécurité spécialement conçues pour fournir les éléments suivants:

Visibilité totale. Capacité historique et en temps réel de visualiser et de cartographier les dépendances et les flux des applications à travers les systèmes financiers. Cette visibilité est essentielle pour produire des politiques de micro-segmentation sans erreur, précises, granulaires et strictes.

Capacités d'application autour de ces politiques de micro-segmentation qui incluent le processus, l'utilisateur et le nom de domaine complet. Ces capacités permettent aux équipes de réduire la surface d'attaque et de limiter l'exposition aux applications des joyaux de la couronne.
Satisfaire aux exigences de conformité. Mappez et séparez rapidement les systèmes et infrastructures liés à la conformité tels que SWIFT, PCI, CCPA, SHIELD, GDPR, Mexico FDPL, et cetera.

De plus, ces systèmes «doivent fonctionner dans un environnement bancaire complexe et hétérogène, des systèmes hérités aux charges de travail virtualisées, en passant par les conteneurs, sans serveur et les clouds».

Regardant vers l'avenir, M. Klein a déclaré qu'en général, «les banques et autres organisations d'entreprises doivent faire plus pour consolider les fruits bas dont les attaquants profitent. Ils doivent répondre à des problèmes tels que le mauvais contrôle des mots de passe et l'authentification à deux facteurs, la gestion des certificats, l'exécution des charges de travail sous le moindre privilège (sans droits d'administrateur), le contrôle de la gestion des comptes, l'évaluation de la vulnérabilité et les correctifs. »

Que pensez-vous de la fintech et de la cybersécurité? Faites-le nous savoir dans les commentaires ci-dessous.





Traduction de l’article de Rachel McIntosh : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top
Praesent dapibus dolor venenatis, tempus elit. eleifend consequat. Curabitur id