La sécurité et la conformité applicatives des 100 plus grandes banques mondiales laissent à désirer, selon une étude divulguée par ImmuniWeb (High-Tech Bridge).
La plateforme suisse de tests a étudié les applications web externes, API et applis mobiles des plus grandes institutions financières mondiales figurant dans la liste S&P Global.
La plupart de ces programmes renferment des vulnérabilités.
En témoignent les points clés à retenir de l’étude :
– 85 applications web d’e-banking (banque en ligne) ont échoué au test de conformité au RGPD (Règlement général sur la protection des données) ;
– 49 ne sont pas en conformité avec la norme de sécurité de l’industrie des cartes de paiement PCI DSS (Payment Card Industry Data Security Standard) ;
– 25 ne sont pas protégées par un parefeu d’applications web ou WAF (Web Application Firewall). Un parefeu qui protège le serveur d’applications web à travers l’analyse des paquets de requête HTTP /HTTPS et des modèles de trafic.
– 7 applications web d’e-banking (banque en ligne) intègrent des vulnérabilités connues et exploitables ;
– La plus ancienne vulnérabilité non corrigée est connue et divulguée depuis 2011 ;
– Toutes les banques du top 100 ont des problèmes liés à des sous-domaines oubliés.
Seuls 3 sites web officiels de banques sur 100 affichaient la note la plus élevée « A+ » pour le chiffrement SSL et la sécurité des sites web :
– credit-suisse.com (Suisse)
– danskebank.com (Danemark)
– handelsbanken.se (Suède)
Pour ces sites, « aucun problème [de sécurité] ou de configuration » n’a été identifié.
– Toutes les applications bancaires mobiles contiennent au moins une vulnérabilité de sécurité à faible risque ;
– 92% contiennent au moins une vulnérabilité de sécurité à risque moyen ;
– 20% abritent au moins une faille de sécurité à haut risque.
La tendance se vérifie dans d’autres secteurs, dont celui du transport aérien.
(crédit photo de une © i3d – shutterstock)
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
