Les « fintechs » sont des cyber-cibles assez faciles

par Groupe services-conseils en gestion des risques

Original, tel qu’il apparaît sur Finance et Investissement – https://www.finance-investissement.com/

En 2017, les fintechs sont des cibles de choix des cybercriminels. Souvent, les fintechs sont des entreprises en devenir, essayant de limiter les investissements tout en maximisant leur communication. Exposées et, comme leur catégorisation l’indique, conceptuellement technologiquement avancées, elles tirent des deux bords les cyberrisques, habituellement identifiés dans les entreprises « traditionnelles ».

 

Attention, ne généralisons pas !

Je ne dis pas que toutes les fintechs sont sujettes à des attaques par manque de sécurité informatique. Non ! Je dis juste que leur situation et le contexte de cybercriminalité actuel les rendent plus vulnérables et exposées naturellement aux cybermenaces modernes.

Qu’est-ce que cela veut dire ? Dans mes précédents articles, je vous parlais de l’Eldorado qu’étaient nos données privées pour les cybercriminels.

En effet, l’anonymat n’existant pas réellement sur Internet, il est plus simple pour un criminel d’usurper l’identité numérique d’une personne lambda pour effectuer des actions illégitimes. Ainsi, les données de santé et les données financières sont celles qui sont les plus ciblées, mises à la vente sur le Darkweb et les plus prisées par ces cybermalfaiteurs.

Il me semble important de rappeler que ce n’est pas la taille d’une entreprise qui détermine sa valeur, mais bien les données qu’elle contient : les données des employés, des clients, des partenaires, les données bancaires, de facturation, de paie, etc. On est bien loin de l’ancienne compréhension que seules les entreprises qui stockent ou gèrent des données de cartes de crédit ou de la propriété intellectuelle secrète sont visées. Toute entreprise est une cible intéressante.

Ainsi, une entreprise disposant d’une équipe informatique, voire d’une équipe de cybersécurité, sera moins intéressante à attaquer qu’une fintech qui, certes est technologiquement avancée, mais n’a pas forcément les moyens d’appliquer les meilleures pratiques de sécurité. Ces mêmes fintechs se serviront de leurs clients, prospects ou partenaires d’affaires pour tester leur prototype de nouveau portail, d’application web ou mobile en créant des projets « pilotes » sur des données réelles et confidentielles. Une véritable aubaine pour ces pirates qui peuvent s’attaquer à des données financières, bancaires ou patrimoniales sans se soucier des protections et surveillances de cybersécurité maintenant devenues monnaie courante au sein de banques. Il s’agit des mêmes types de données, mais plus accessibles, et plus simples à aller chercher.

Ces mêmes fintechs ne sont pour l’instant pas trop inquiétées par les régulateurs d’un point de vue risques et obligations opérationnelles liées à leurs actif technologique. Les courtiers non plus d’ailleurs. Cela s’explique par le peu de moyens disponibles pour forcer la régulation et vérifier la conformité de ces organisations, souvent jugées trop complexes.

Pourtant en 2017, il est simple de se protéger correctement à l’aide de produits de sécurité « open source ». Il est possible de faire son « due care » et « due diligence » de cybersécurité, sans entrer dans des investissements de temps et de ressources inconsidérés. L’hygiène de sécurité est faisable pour tous, depuis les courtiers indépendants jusqu’aux fintechs, en passant par nous-mêmes en tant qu’individus. C’est une question de volonté.

Nous pouvons tous mettre en place ces outils de surveillance, de protection et de suivi de cybersécurité en 2017. Je ne dis pas que ces outils « open source » présentent toutes les mêmes fonctionnalités et la même efficacité que des outils commerciaux. Toutefois, leur utilisation initiale couvrira le 80/20 de vos besoins. En plus d’être le suivi de bonnes pratiques initiales organisationnelles, ces initiatives pourraient présenter un avantage concurrentiel certain.