La sécurité et la conformité applicatives des 100 plus grandes banques mondiales laissent à désirer, selon une étude divulguée par ImmuniWeb (High-Tech Bridge).
La plateforme suisse de tests a étudié les applications web externes, API et applis mobiles des plus grandes institutions financières mondiales figurant dans la liste S&P Global.
La plupart de ces programmes renferment des vulnérabilités.
En témoignent les points clés à retenir de l’étude :
– 85 applications web d’e-banking (banque en ligne) ont échoué au test de conformité au RGPD (Règlement général sur la protection des données) ;
– 49 ne sont pas en conformité avec la norme de sécurité de l’industrie des cartes de paiement PCI DSS (Payment Card Industry Data Security Standard) ;
– 25 ne sont pas protégées par un parefeu d’applications web ou WAF (Web Application Firewall). Un parefeu qui protège le serveur d’applications web à travers l’analyse des paquets de requête HTTP /HTTPS et des modèles de trafic.
– 7 applications web d’e-banking (banque en ligne) intègrent des vulnérabilités connues et exploitables ;
– La plus ancienne vulnérabilité non corrigée est connue et divulguée depuis 2011 ;
– Toutes les banques du top 100 ont des problèmes liés à des sous-domaines oubliés.
Seuls 3 sites web officiels de banques sur 100 affichaient la note la plus élevée « A+ » pour le chiffrement SSL et la sécurité des sites web :
– credit-suisse.com (Suisse)
– danskebank.com (Danemark)
– handelsbanken.se (Suède)
Pour ces sites, « aucun problème [de sécurité] ou de configuration » n’a été identifié.
– Toutes les applications bancaires mobiles contiennent au moins une vulnérabilité de sécurité à faible risque ;
– 92% contiennent au moins une vulnérabilité de sécurité à risque moyen ;
– 20% abritent au moins une faille de sécurité à haut risque.
La tendance se vérifie dans d’autres secteurs, dont celui du transport aérien.
(crédit photo de une © i3d – shutterstock)
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…