Les tests d'intrusion en tant qu'élément essentiel de PSD2
Avec les nouvelles opportunités offertes par les opérations bancaires numériques, les cybercriminels disposent d'une nouvelle surface d'attaque pour commettre fraude et vol. Les institutions financières sont depuis longtemps outillées pour supporter le coût monétaire des poursuites pénales contre leurs clients, mais les cyberattaques ont un coût beaucoup plus élevé en termes d'atteinte à la réputation et à la marque.
Qu’est-ce que PSD2 (directive sur les services de paiement) ?
La Second Payment Directive (PSD2) constitue une évolution significative de la réglementation en vigueur pour l’industrie du paiement et les prestataires de services de paiement. Il vise à accroître la concurrence dans un secteur déjà concurrentiel, à intégrer de nouveaux types de services de paiement, à renforcer la protection et la sécurité des clients et à étendre la portée de la directive.
La mise à jour PSD2 vise à donner plus de flexibilité et de liberté aux utilisateurs, les clients pouvant essentiellement combiner des solutions individuelles sans avoir à transférer de l'argent de leurs comptes d'origine pour en créer de nouveaux. Par exemple, les entreprises qui encaissent des paiements peuvent vérifier les fonds d’un compte de payeur avant le début du paiement, ce qui entraîne une réduction des échecs. Les consommateurs peuvent avoir recours à un fournisseur de services d'informations sur les comptes pour consulter toutes leurs finances en un coup d'œil en temps réel, les informations étant extraites directement de leurs comptes.
Cependant, cette flexibilité accrue pose des problèmes de sécurité majeurs. L'utilisation d'interfaces de programmation d'applications (API) essentielles pour permettre à différentes applications et systèmes de communiquer crée également de nouvelles opportunités pour les cybercriminels.
L'importance des tests de sécurité pour PSD2
Les API sont populaires auprès des développeurs car ils peuvent être facilement intégrés à des logiciels pour effectuer des tâches complexes. Dans le contexte de la banque, de l’assurance et de la finance, les API permettent aux différentes applications de communiquer avec les serveurs d’autres banques, ainsi qu’avec d’autres applications et services. Cependant, les API peuvent également fournir aux attaquants les clés nécessaires pour accéder aux systèmes.
Dans son « Projet de lignes directrices sur les mesures de sécurité pour les risques opérationnels et de sécurité des services de paiement dans le cadre du PSD2 », l’Autorité bancaire européenne (ABE) a souligné les menaces suivantes :
- La protection insuffisante des canaux de communication utilisés pour les paiements.
- Les systèmes et dispositifs insuffisamment sécurisés, y compris, mais sans s'y limiter, les applications, les serveurs et les dispositifs de paiement des utilisateurs.
- Les comportement dangereux des utilisateurs ou du personnel du prestataire de services de paiement.
- La complexité accrue de l'environnement des paiements.
- Les avancées technologiques et les outils disponibles pour les fraudeurs potentiels ou les attaquants malveillants.
Comment les tests d'intrusion s'intègrent-ils à mon projet PSD2?
L’ABE a déclaré que, dans le but de gérer les risques opérationnels et de sécurité liés à la fourniture de services de paiement, les prestataires de services de paiement devraient définir et mettre en œuvre des mesures de sécurité visant à prévenir, à réprimer et à corriger les utilisations, les divulgations, les accès, les modifications, dommages ou pertes malveillants de leurs actifs logiques et physiques, y compris les données de l'utilisateur du service de paiement, leurs données de paiement sensibles et les informations d'identification de sécurité personnalisées fournies par un fournisseur de services de paiement à l'utilisateur du service de paiement pour l'utilisation d'un instrument de paiement.
Les applications devant dominer les services financiers, les développeurs doivent les protéger des attaquants cherchant à les attaquer pour voler des clés cryptographiques ou procéder à un reverse engineering.
Discuter avec un expert
Notre équipe de consultants en sécurité est à votre disposition pour discuter de vos problèmes de tests d'intrusion.