L’étude « State of Application Security at S&P Global World’s 100 Largest Banks » que vient de publier ImmuniWeb montre à quel point il y a un gouffre entre les annonces et la réalité
Alors que le cabinet Gartner affirme que le secteur bancaire est en tête des dépenses mondiales en matière de cybersécurité, cette étude donne des résultats édifiants :
- 7 % applications web e-banking contiennent des vulnérabilités connues et exploitables. La plus ancienne vulnérabilité non corrigée connue et rendue publique date de 2011 (CVE-2011-4969 impactant jQuery 1.6.1) ;
- 92 % des applications de services bancaires mobiles contiennent au moins une vulnérabilité de sécurité à risque moyen ;
- 100 % des banques ont des vulnérabilités de sécurité ou des problèmes liés à des sous-domaines oubliés.
Quant à la conformité, ce n’est pas mieux :
- 85 % des applications e-banking a échoué au test de conformité du RGPD ;
- La moitié (49 %) applications web e-banking a échoué au test de conformité PCI DSS.
Seuls trois sites principaux sur 100 ont décroché les notes les plus élevées « A+ » à la fois pour le cryptage SSL et la sécurité du site Web : www.credit-suisse.com(Suisse), www.danskebank.com (Danemark) et www.handelsbanken.se (Suède).
ImmuniWeb a aussi testé 55 applications bancaires en se référant au Top 10 des problèmes de sécurité et de confidentialité de Mobile OWASP. Là aussi, cela laisse à désirer :
- 100 % des applications contiennent au moins une vulnérabilité de sécurité à faible risque ;
- 92 % des applications contiennent au moins une vulnérabilité de sécurité à risque moyen ;
- Pire, 20 % des applications contiennent au moins une vulnérabilité de sécurité à haut risque.
On peut se demander si les banques prennent vraiment au sérieux la sécurité informatique. En 2015, au Black Hat Asia, un expert Français avait démontré les failles des applications bancaires ! Des vulnérabilités qui avaient également été présentées un an plus tôt à la Chaos Computer Conference…
Dans l'actualité
- Les données de santé : un vrai business pour les cybercriminels
- Awen Collective : des logiciels pour réduire les cybermenaces dans les entreprises
- Cybersécurité : l’Europe la joue « collectif »
- Cybersécurité : la multiplication des menaces
- Cybersécurité : le marché de l’emploi va encore grandir
- Failles dans les puces : la performance au détriment de la sécurité informatique
- L’Intelligence artificielle au secours de la sécurité informatique
- Sécurité informatique : quelles solutions pour remplacer le mot de passe ?
- La France manque d’experts en sécurité informatique
- Le B-A BA de la sécurité informatique selon Edward Snowden
- Le volume de données ne cesse d’augmenter, les fuites aussi !
- En images : le chapelet connecté du Vatican victime d’une faille de sécurité
- La protection des données personnelles est renforcée en Californie
- Cybersécurité : l’Anssi annonce ses mesures et ambitions au FIC
- Le ransomware au coeur des cyberattaques 2019
- L’informatique quantique : une réelle menace pour la sécurité des connexions
- Google met à disposition un scanner de vulnérabilités
- Ransomwares : un business très rentable
Dans les ressources documentaires