Les FinTechs gagnent en popularité auprès des consommateurs et des organisations criminelles

Les consommateurs se préparent à injecter dans l’économie numérique un montant estimé à « 843 à 859 milliards de dollars cette année, soit plus du double de ce qu’ils étaient en 2002, lorsque les ventes totales des fêtes de fin d’année n’atteignaient que 416,4 milliards de dollars ».

En fin de compte, tout cela passera par les institutions de services financiers. Que les paiements soient traités via Apple Pay ou Venmo, PayPal ou une carte de débit, il y a toujours une implication avec un compte dans une institution de services financiers.  

Cela conduit naturellement à des tentatives d’acteurs malveillants pour accéder à ces comptes, notamment via les FinTechs. Qu'il s'agisse d'escroqueries, comme celles subies par les utilisateurs de Zelle ou les employés du service client de Robinhood , ou directement par le biais du bourrage d'identifiants ou de la force brute, les attaques peuvent rapporter gros à ceux qui persistent dans leurs efforts.

La plupart des violations réussies dont nous entendons parler aujourd’hui sont exécutées directement contre les interfaces utilisateur d’une institution de services financiers : une application Web, un SMS ou un e-mail. Il est donc troublant de considérer l’impact potentiel de la croissance explosive des API qui alimentent l’écosystème financier numérique – et les implications des risques tiers associés, que les organisations criminelles reconnaissent rapidement comme un vecteur d’attaque lucratif.

Les API sont de plus en plus attractives pour les organisations criminelles

Les consommateurs d’aujourd’hui se voient proposer un écosystème de paiement de plus en plus diversifié pour financer leurs dépenses de fin d’année :

• Plus de 2 acheteurs de la génération Z sur 3 prévoient de faire leurs achats via des canaux non traditionnels tels qu'Instagram, WhatsApp et les diffusions en direct pendant cette période des fêtes. 
• Selon une enquête NPD de juin 2021 , plus de 50 % des consommateurs déclarent avoir effectué des achats via Instagram ou Facebook. 15 % de ces consommateurs ont cité TikTok comme une plateforme de médias sociaux où ils découvrent et s'informent sur les produits. (Source: Statistiques et tendances du commerce électronique pour les achats des fêtes de fin d'année 2021
  

Un écosystème de paiement florissant repose sur l’utilisation d’API pour faciliter les transactions financières numériques. La normalisation répond au besoin de transactions rapides et sécurisées pour répondre à la nature impatiente des consommateurs et à la capacité d’une entreprise numérique à s’adapter et à se développer. La norme leader aujourd'hui est FDX (Financial Data Exchange) et, en septembre 2021, elle comptait 22 millions de comptes consommateurs utilisant l'API FDX pour le partage ouvert de données financières. Cela a notamment entraîné une augmentation significative du volume des appels API, qui a grimpé à près de 2 milliards par mois. (Source: FinExtra )

Un rapport récemment publié par le Bureau du CTO de F5, « Continuous API Sprawl » : « Défis et opportunités dans une économie axée sur les API », note la prolifération rapide des API et les risques de gouvernance et de sécurité que cela pose. 

L'étude a révélé que les API, qui alimentent tout, des paiements numériques aux services de divertissement et permettent des marchés robustes, sont actuellement au nombre d'environ 200 millions. D’ici 2030, ce chiffre pourrait atteindre 1,7 milliard.

Si l’on tient compte des résultats de l’étude de F5 Labs qui montrent que le nombre d’incidents de sécurité des API, dont beaucoup sont liés à des tiers comme les FinTechs, augmente chaque année, les institutions financières ont bien plus à craindre que le risque d’une action réglementaire imminente et des forces concurrentielles.

Défendre l'économie numérique

La sécurisation des API et la protection des consommateurs et des entreprises contre la fraude constituent une priorité de plus en plus importante pour les entreprises numériques de tous les secteurs, mais particulièrement celles du secteur des services financiers.

En outre: « Différentes équipes de développement travaillant sur plusieurs applications utilisent souvent des ensembles d’outils disparates. Cela signifie que les équipes de sécurité traditionnelles ne disposent peut-être pas d’un point de contrôle centralisé pour renforcer la sécurité. Cela nécessite un ensemble standard d’outils pour intégrer les bons contrôles dans les processus de développement et de gestion des API. » (Source : Renuka Nadkarni, CTO Security de F5, Sécurisez l'API FDX pour défendre les données dans l'Open Banking )

Le guide des solutions bancaires ouvertes F5 fournit une approche complète des solutions F5 pour l'open banking. En outre, Nadkarni note que « FDX a publié des conseils complets concernant les contrôles qui devraient être mis en œuvre afin de protéger les informations des comptes consommateurs et l'intégrité des services contre les menaces et les risques. » Ces contrôles comprennent :

• Sécurité logicielle : contrôle des 10 principales vulnérabilités logicielles de l'OWASP et autres, y compris le déploiement d'un pare-feu d'application Web (WAF)
• Sécurité des réseaux et des systèmes
• Sécurité opérationnelle
• Sécurité physique
• Continuité des activités et reprise après sinistre
• Sécurité des fournisseurs
• Modèles de conception pour authN/authZ, y compris les contrôles pour le bourrage d'informations d'identification
• Modèles pour une architecture de passerelle sécurisée (SGA), y compris les contrôles de sécurité API intégrés à la passerelle API

Enfin, il est important de noter que la défense des données financières, qu’elles soient en fuite ou au repos, est de plus en plus importante dans une économie numérique par défaut. Si le risque de fraude pour les entreprises est certes considérable, le risque pour les consommateurs est encore plus grand.