Blog OneSpan

Les conditions du marché et les menaces mobiles croissantes mettent à l'épreuve les banques concurrentes basées sur les applications mobiles

Sécurité des applications mobiles
Samuel Bakken, août 6, 2020
Dave Mobile App Security

Fin juillet 2020, la startup fintech Dave, soutenue par Mark Cuban, a signalé un incident de sécurité ayant entraîné l'exposition d'informations personnelles identifiables de millions de ses utilisateurs, notamment des dates de naissance, des numéros de téléphone, des adresses électroniques et des adresses physiques, ainsi que des numéros de sécurité sociale cryptés et des mots de passe clients hachés. Dave propose des prêts d'avance sur salaire et une protection contre les découverts pour les comptes bancaires et les comptes chèques. Il fait partie de la cohorte des "challenger banks", aux côtés d'entreprises telles que Chime, Current, Space, Cleo, N26, Empower Finance, Level, Step, Moven, etc.

L'application mobile Dave elle-même n'a pas été attaquée, et Dave a affirmé qu'il n'y avait aucune preuve que les informations personnelles avaient été utilisées pour obtenir un accès non autorisé aux comptes des utilisateurs. Dave attribue la responsabilité de la violation des données à un fournisseur de services tiers, Waydev, qui affirme que l'une de ses bases de données a été violée. Mais comment leurs utilisateurs vont-ils réagir ? Les consommateurs se soucient-ils de savoir qui est responsable de la violation des données ? Comment cet incident pourrait-il affecter la perception du marché des pratiques de sécurité de Dave ?

Dans certains cas, une violation de données peut être fatale, et ces challengers bancaires doivent, si ce n'est déjà fait, prendre au sérieux la sécurité de leurs applications mobiles, de leurs institutions et de leurs clients. Leurs activités pourraient vivre ou mourir en fonction de leur capacité à mettre en œuvre une sécurité mobile à laquelle les consommateurs font confiance. Investir correctement dans une sécurité multicouche, en mettant l'accent sur la protection des canaux mobiles, peut faire la différence entre survivre à la pandémie et abandonner.

Menaces mobiles en hausse pour les banques traditionnelles, les banques "challenger" et les Fintechs

Tout récemment, le FBI a averti les consommateurs qu'une augmentation de l'activité des chevaux de Troie bancaires basés sur des applications mobiles était attendue en raison de l'augmentation de l'activité bancaire mobile due à une pandémie. Les données montrant que les transactions mobiles frauduleuses provenant d'applications mobiles ont doublé au premier trimestre 2020 viennent corroborer cette prédiction. Dans le même ordre d'idées, l'éditeur de solutions de cybersécurité Kaspersky Labs a signalé une multiplication par près de 3 des détections de chevaux de Troie bancaires mobiles au premier trimestre 2020 par rapport au trimestre précédent.

On pourrait penser qu'une partie malveillante se concentre sur les banques les plus grandes et les plus connues afin de maximiser le potentiel de profit de ses stratagèmes, mais des campagnes de chevaux de Troie bancaires mobiles récemment révélées montrent que les applications mobiles de banques fintech et de banques challengers moins connues sont également sous le feu des critiques. Par exemple, le cheval de Troie bancaire mobile EventBot a ciblé non seulement les banques traditionnelles telles que Barclays, CapitalOne, HSBC et Santander, mais aussi des applications telles que Revolut, Monese, Monzo, N26 et celles d'autres fintechs et banques challengers.

Les incidents de sécurité sont des coûts que les banques Challenger pourraient ne pas être en mesure d'absorber

Les canaux mobiles des banques "Challenger" sont tout aussi menacés que ceux de leurs homologues plus établies. Malheureusement, les banques challengers sont probablement moins à même d'absorber les coûts d'un incident de sécurité majeur. Une étude récente publiée par IBM et le Ponemon Institute estime à 50 millions de dollars le coût moyen d'une violation exposant de 1 à 10 millions de données

Ce n'est pas une somme négligeable. Pour les banques challengers et les entreprises fintech en devenir, l'acquisition de nouveaux utilisateurs est la priorité absolue. Sachant qu'un incident de sécurité pourrait accroître la difficulté d'acquérir de nouveaux utilisateurs en raison d'une réputation entachée et d'une perception négative de leurs pratiques de sécurité, la banque challenger avisée investit dans une sécurité proactive telle que des tests de sécurité automatisés, des tests de pénétration et une protection in-app. Ces coûts sont dérisoires comparés aux 50 millions de dollars que coûte un incident de sécurité. Et, le risque d'un incident de sécurité mobile étant atténué, des fonds supplémentaires peuvent être investis dans l'acquisition de clients.

L'atteinte à la réputation est une considération cruciale lorsqu'il s'agit d'investir correctement dans les technologies de sécurité - demandez à Twitter. Dans le formulaire 10-Q qu'elle a récemment déposé auprès de la SEC, la société a fait les commentaires suivants concernant la violation récente des comptes de plusieurs utilisateurs très connus :

"Cette faille de sécurité peut avoir porté préjudice aux personnes et aux comptes affectés par elle. Cela peut également avoir un impact sur la perception par le marché de l'efficacité de nos mesures de sécurité, et les gens peuvent perdre leur confiance en nous, diminuer l'utilisation de nos produits et services ou cesser d'utiliser nos produits et services dans leur intégralité... Chacun de ces effets pourrait avoir un impact important et négatif sur nos activités, notre réputation et nos résultats d'exploitation."

La pandémie est un vent contraire, mais certaines banques Challenger finiront par connaître un succès fou

Bien que certaines banques challengers rencontrent des vents contraires, les avantages associés à leurs offres restent convaincants pour les consommateurs (par exemple, des frais faibles ou nuls, des taux d'intérêt plus élevés et une meilleure expérience utilisateur). Ainsi, même si les taux de croissance peuvent diminuer en général pendant un certain temps, comme dans n'importe quel secteur, les banques "challenger" en général ne cesseront pas d'exister - mais il y aura probablement des gagnants et des perdants.

La banque challenger Monzo, basée sur une application, indique que malgré ses 4,4 millions d'utilisateurs, elle a perdu 113,8 millions de livres sterling au cours de l'année écoulée. Moven, l'une des premières banques challengers américaines, a fermé ses portes en avril. Mais les banques "challenger" qui peuvent continuer à innover et à améliorer l'expérience de la banque à distance conserveront leur avantage sur le marché. En outre, ceux qui font les bons investissements pour garantir la sécurité des expériences des utilisateurs à distance, et surtout mobiles, renforceront leur position. En d'autres termes, en termes de couverture des risques, ce n'est pas le moment de lésiner sur la sécurité.

En conclusion : Quelle est la meilleure stratégie en matière de sécurité des applications mobiles ?

Pour sécuriser les applications bancaires mobiles, qu'elles soient Android ou iOS, les challengers banks et les fintechs doivent investir dans les éléments suivants :

  • Renforcement de l'application contre les menaces mobiles dans les environnements non fiables (c'est-à-dire les appareils des utilisateurs) grâce à une protection intégrée à l'application, notamment la technologie de protection de l'application et d'autoprotection des applications d'exécution (RASP)
  • Tests périodiques de pénétration approfondie de l'application mobile
  • Tests de sécurité réguliers et automatisés pendant le développement
  • Intégrer la sécurité dans les exigences du produit
  • Formation/enseignement sur le code sécurisé pour les développeurs

Avec un accent particulier sur la rapidité de mise sur le marché et l'acquisition de clients, la sécurité peut être un point faible pour certaines startups. Dans le secteur des services financiers, où les consommateurs accordent la priorité à la confiance et à la sécurité des données dans leurs critères d'achat, il n'est pas possible de lésiner sur la sécurité. Les banques traditionnelles, les banques challengers et les fintechs doivent toutes accorder une attention particulière à leurs canaux mobiles pour protéger les données des clients. Non seulement pour créer une expérience utilisateur digne de ce nom, mais aussi pour assurer la sécurité de l'application mobile, car la meilleure expérience client est celle qui est sécurisée.
 

Mobile App Shielding
White Paper

Mobile App Shielding: How to Reduce Fraud, Save Money, and Protect Revenue

Discover how app shielding with runtime-protection is key to developing a secure, resilient mobile banking app.

Download Now
sécurité des applications mobiles
Sam Bakken
Samuel Bakken

Sam est Senior Product Marketing Manager responsable du portefeuille de sécurité des applications mobiles OneSpan et possède près de 10 ans d'expérience dans le domaine de la sécurité de l'information.

Haut de page