Divers tests non intrusifs de sécurité, de respect de la vie privée et de conformité ont été effectués par la Communauté ImmuniWeb : test de sécurité SSL, test de sécurité du site Web, test de sécurité de l'application mobile, test de conformité PCI DSS… Résultat : de gros progrès restent à faire !
L’étude « State of Application Security at S&P Global World’s 100 Largest Banks » que vient de publier ImmuniWeb montre à quel point il y a un gouffre entre les annonces et la réalité
Alors que le cabinet Gartner affirme que le secteur bancaire est en tête des dépenses mondiales en matière de cybersécurité, cette étude donne des résultats édifiants :
- 7 % applications web e-banking contiennent des vulnérabilités connues et exploitables. La plus ancienne vulnérabilité non corrigée connue et rendue publique date de 2011 (CVE-2011-4969 impactant jQuery 1.6.1) ;
- 92 % des applications de services bancaires mobiles contiennent au moins une vulnérabilité de sécurité à risque moyen ;
- 100 % des banques ont des vulnérabilités de sécurité ou des problèmes liés à des sous-domaines oubliés.
Quant à la conformité, ce n’est pas mieux :
- 85 % des applications e-banking a échoué au test de conformité du RGPD ;
- La moitié (49 %) applications web e-banking a échoué au test de conformité PCI DSS.
Seuls trois sites principaux sur 100 ont décroché les notes les plus élevées « A+ » à la fois pour le cryptage SSL et la sécurité du site Web : www.credit-suisse.com(Suisse), www.danskebank.com (Danemark) et www.handelsbanken.se (Suède).
ImmuniWeb a aussi testé 55 applications bancaires en se référant au Top 10 des problèmes de sécurité et de confidentialité de Mobile OWASP. Là aussi, cela laisse à désirer :
- 100 % des applications contiennent au moins une vulnérabilité de sécurité à faible risque ;
- 92 % des applications contiennent au moins une vulnérabilité de sécurité à risque moyen ;
- Pire, 20 % des applications contiennent au moins une vulnérabilité de sécurité à haut risque.
On peut se demander si les banques prennent vraiment au sérieux la sécurité informatique. En 2015, au Black Hat Asia, un expert Français avait démontré les failles des applications bancaires ! Des vulnérabilités qui avaient également été présentées un an plus tôt à la Chaos Computer Conference…
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE