Pourquoi toute nouvelle « super application » financière a besoin d’une sécurité à toute épreuve

Remarque : certains des liens menant vers d'autres pages sont uniquement disponibles en anglais.

Elles n’ont pas encore gagné en popularité aux États-Unis, mais les « super applications » comme WeChat et Alipay dominent le marché en Chine et dans d’autres pays d’Asie, en plus d’être répandues en Amérique latine. Les super applications sont des applications pour téléphones intelligents qui combinent un grand nombre des applications les plus populaires qu’une personne peut utiliser — qu’il s’agisse de médias sociaux, de magasinage, de paiements et de services financiers ou de diffusion de médias et de divertissement en continu — en une seule application globale. Souvent, les « super applications » sont décrites comme un écosystème fermé de nombreuses applications, ou un marché regroupant plusieurs services mobiles différents en une seule application populaire.  

Dernièrement, des entreprises américaines tournées vers l’avenir ont commencé à entreprendre le développement de leurs propres super applications, dans l’espoir qu’elles deviennent « le WeChat de l’occident ». PayPal, Facebook, Walmart et de nombreuses autres sociétés se sont lancées dans une course à la création d’une super application financière qui pourra servir de guichet unique pour répondre à tous les besoins financiers d’un client, qu’il s’agisse de services bancaires, de transferts de fonds, de paiements P2P, de financement ou d’assurance. Et ce ne sont pas seulement les chefs de file du secteur des technologies ou les géants du commerce de détail qui prennent les devants pour créer la première super application financière aux États-Unis : les banques traditionnelles se joignent à la course. Elles reconnaissent qu’à une époque de concurrence accrue, le fait d’offrir une expérience mobile plus attrayante fournissant plus de services dans une seule application peut les aider à mobiliser et fidéliser davantage leurs clients. 

Cependant, les super applications peuvent aussi comporter des risques plus importants en matière de sécurité. Les attaques de maliciels sur les appareils mobiles sont en hausse; 156 710 chevaux de Troie visant les services bancaires mobiles ont été identifiés en 2020 seulement, et de nombreuses banques sont mal préparées à gérer ces risques. Pour pouvoir lancer avec succès la première super application financière sur le marché aux États-Unis, les banques devront renforcer la sécurité de leurs applications mobiles, en intégrant de nouvelles technologies et techniques pour garantir que la sécurité de ces applications soit prise en compte dès leur conception.

Quels sont les avantages des super applications financières?

Les services bancaires et financiers sont devenus un secteur de plus en plus concurrentiel et saturé au cours des dernières années. Les banques traditionnelles sont confrontées à la concurrence féroce d’une liste — qui semble interminable — de nouvelles entreprises de technologies financières en démarrage et de néobanques, qui ont toutes la réputation d’offrir une meilleure expérience client mobile que leurs entreprises homologues traditionnelles. Les banques présentent l’avantage d’avoir la confiance de leurs clients; or, pour rester concurrentielles en cette ère numérique, elles doivent investir dans de nouvelles technologies mobiles, élargir leurs offres mobiles et améliorer leur expérience mobile de manière à attirer et conserver de nouveaux clients. 

Une personne moyenne passe plus de quatre heures par jour à utiliser des applications sur son téléphone intelligent, mais la vaste majorité de ce temps est consacrée à une petite poignée seulement des applications les plus populaires. Les banques sont conscientes que si elles peuvent faire de leur application un guichet unique incontournable pour toutes les activités financières d’une personne — qui offre non seulement des services bancaires de base, mais aussi des paiements mobiles, des services P2P, des portefeuilles numériques, du financement, des placements et des services d’assurance — elles pourront saisir une plus grande partie de cet engagement des utilisateurs avec leurs applications, ce qui mènera à une adoption accrue, une meilleure fidélité de leur clientèle et une croissance plus robuste de leur marque. Même s’il ne s’agit pas d’exemples provenant des États-Unis, des tentatives de super applications ont récemment été lancées par des banques européennes comme Belfius et la KBC; cette dernière a élargi la portée de son application bancaire pour y inclure des services de télécommunications et une billetterie pour des événements de divertissement.     

Les super applications présentent aussi des avantages pour les consommateurs, puisqu’elles offrent une meilleure expérience mobile qui combine en un seul endroit pratique tout ce dont une personne a besoin. Je suis certain de ne pas être le seul à m’impatienter de devoir créer des identifiants distincts pour de nombreuses applications ou de passer par plusieurs écrans sur mon téléphone intelligent pour trouver l’application que je cherche. Lorsque toutes les fonctions financières les plus importantes sont consolidées en une seule super application, les consommateurs peuvent profiter d’un seul ensemble d’identifiants pour s’authentifier, éviter d’installer des applications distinctes pour chaque service, et gagner à la fois du temps et de l’espace de stockage sur leur téléphone.

Un environnement de menaces d’une super envergure

Malgré le côté pratique et les avantages des super applications à la fois pour les institutions financières et leurs clients, ces applications présentent aussi de nouveaux risques. Au fur et à mesure que les banques s’associent à des tiers pour ajouter plus de services et d’offres à leurs applications mobiles, la « superficie d’attaque » augmente, ce qui introduit des vulnérabilités potentielles dont les cybercriminels pourraient tirer profit. De plus, dans leur course pour mettre en marché de nouvelles offres et fonctionnalités mobiles, les développeurs relèguent parfois la sécurité aux oubliettes. Les cybercriminels le savent et ciblent leurs attaques de manière à ce qu’elles profitent pleinement de ces vulnérabilités. Par conséquent, lorsque les banques travaillent sur le développement de leurs super applications, elles doivent s’assurer d’intégrer dès le départ une sécurité d’application mobile robuste.

Comment protéger les super applications contre les menaces mobiles

Bien que les banques se soient forgé une réputation d’entreprises de confiance en ce qui a trait à une sécurité robuste en ligne au fil des ans, elles ont éprouvé des difficultés avec la sécurité des applications mobiles. En ce qui concerne les applications Web, seule une petite partie (le code du côté client) est exposée aux utilisateurs; ainsi, les banques ont beaucoup plus de contrôle sur la sécurité de l’application. En revanche, pour les applications mobiles, le code de l’application est entreposé sur l’appareil de l’utilisateur et la banque n’a aucun contrôle sur la robustesse de la sécurité de cet appareil. Par exemple, l’appareil pourrait être débridé, infecté par des maliciels mobiles, ou en retard sur les mises à jour régulières de sécurité.

Pour cette raison, il est essentiel que les banques protègent leurs applications du côté client à l’aide de technologies modernes comme le blindage des applications mobiles et la protection d’exécution. Le blindage d’application mobile protège efficacement les applications mobiles contre les menaces, même si elles sont utilisées sur un téléphone débridé ou infecté : il renforce la résistance d’une application contre l’intrusion, les altérations et la rétro-ingénierie. Lorsqu’elles combinent le blindage d’application mobile à une authentification biométrique et à d’autres technologies, les banques peuvent s’assurer que leurs super applications financières sont protégées contre la fraude et contre les menaces comme les attaques de l’intercepteur, tout en préservant une expérience client agréable et sans friction. En plus du blindage des applications mobiles, les banques doivent aussi mettre l’accent sur l’intégration native d’une authentification robuste dans leurs applications. Les outils comme la vérification numérique de l’identité, la reconnaissance faciale, la reconnaissance vocale, les lecteurs d’empreintes digitales et la biométrie comportementale permettent aux banques d’authentifier rapidement les utilisateurs et d’accueillir les nouveaux clients de façon sécuritaire.    

Pour que les banques puissent livrer efficacement concurrence aux nouveaux acteurs entrant sur le marché et aux entreprises novatrices axées sur les applications mobiles, elles doivent investir pour élargir leurs offres mobiles dans le but d’améliorer l’expérience mobile qu’elles fournissent. Elles doivent trouver leur super application financière. En rassemblant tous les services bancaires et financiers et tous les services de paiement sous un même toit, les banques peuvent se positionner comme étant « l’application incontournable ». Mais pour y parvenir, elles devront s’assurer d’intégrer une conception robuste à l’application dès le début. Grâce à des technologies comme le blindage des applications financières, la biométrie et d’autres technologies, les banques novatrices peuvent mettre au point la super application financière que les clients souhaitent avoir tout en protégeant les données financières sensibles de ces clients contre les menaces mobiles.

Blindage d’applications mobiles
White Paper (anglais)

Blindage des applications mobiles: comment réduire la fraude, économiser de l'argent et protéger les revenus

Découvrez comment la protection des applications avec protection à l'exécution est essentielle pour développer une application bancaire mobile sécurisée et résiliente.

Télécharger

Ce blogue, rédigé par Samuel Bakken, directeur du marketing de produits à OneSpan, a été publié pour la première fois dans SCMagazine le 25 novembre 2021.

Sam est Senior Product Marketing Manager responsable du portefeuille de sécurité des applications mobiles OneSpan et possède près de 10 ans d'expérience dans le domaine de la sécurité de l'information.