La sécurité et la conformité applicatives des 100 plus grandes banques mondiales laissent à désirer, selon une étude divulguée par ImmuniWeb (High-Tech Bridge).
La plateforme suisse de tests a étudié les applications web externes, API et applis mobiles des plus grandes institutions financières mondiales figurant dans la liste S&P Global.
La plupart de ces programmes renferment des vulnérabilités.
En témoignent les points clés à retenir de l’étude :
– 85 applications web d’e-banking (banque en ligne) ont échoué au test de conformité au RGPD (Règlement général sur la protection des données) ;
– 49 ne sont pas en conformité avec la norme de sécurité de l’industrie des cartes de paiement PCI DSS (Payment Card Industry Data Security Standard) ;
– 25 ne sont pas protégées par un parefeu d’applications web ou WAF (Web Application Firewall). Un parefeu qui protège le serveur d’applications web à travers l’analyse des paquets de requête HTTP /HTTPS et des modèles de trafic.
– 7 applications web d’e-banking (banque en ligne) intègrent des vulnérabilités connues et exploitables ;
– La plus ancienne vulnérabilité non corrigée est connue et divulguée depuis 2011 ;
– Toutes les banques du top 100 ont des problèmes liés à des sous-domaines oubliés.
Seuls 3 sites web officiels de banques sur 100 affichaient la note la plus élevée « A+ » pour le chiffrement SSL et la sécurité des sites web :
– credit-suisse.com (Suisse)
– danskebank.com (Danemark)
– handelsbanken.se (Suède)
Pour ces sites, « aucun problème [de sécurité] ou de configuration » n’a été identifié.
– Toutes les applications bancaires mobiles contiennent au moins une vulnérabilité de sécurité à faible risque ;
– 92% contiennent au moins une vulnérabilité de sécurité à risque moyen ;
– 20% abritent au moins une faille de sécurité à haut risque.
La tendance se vérifie dans d’autres secteurs, dont celui du transport aérien.
(crédit photo de une © i3d – shutterstock)
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…