Les « Fintech », quelle appréhension des risques à l’heure de la révolution digitale ?

Cybersécurité et confiance numérique

Publié le

Le phénomène Fintech est en pleine croissance, dans le monde et également en France où de nombreuses start-ups se font remarquer. En Juin 2015 l’association France Fintech  a été créée dans le but de fédérer et promouvoir l’activité des différents acteurs du secteur en les mettant en relation avec les clients, investisseurs, pouvoirs publics ainsi qu’avec l’écosystème bancaire.

 

Un marché en pleine croissance

A l’échelle mondiale, les investissements dans le secteur des Fintech ont été multipliés par 10 entre 2010 et 2015 pour atteindre 22 Milliards de dollars. Le montant des investissements réalisés sur l’année 2016 sont quant à eux estimés à 36 Milliards de dollars, constituant une large augmentation suite à l’arrivée de plusieurs acteurs financiers majeurs souhaitant prendre leur part dans ce marché plus que prometteur.

Source : Visual Capitalist


La commission Européenne a par ailleurs adopté en Octobre 2015 la directive PSD2, offrant un cadre légal promouvant l’utilisation de solutions innovantes et disruptives pour les services bancaires et de paiement. En effet cette nouvelle directive a fait évoluer la définition d’une « institution de paiement » en la rendant plus souple et permettant à de nouveaux tiers d’accéder au marché des services bancaires, représentant une réelle opportunité pour les acteurs de la Fintech.

Cette directive s’applique depuis le 1er Janvier 2016 à tous les pays de l’Union Européenne et a considérablement modifié le rôle de ces nouveaux entrants dans le paysage bancaire. En effet, cette nouvelle réglementation impose aux banques de s’ouvrir à ces nouveaux entrants en développant des API permettant aux Fintech d’interagir avec leurs applications bancaires et d’avoir accès à certaines de leurs données client. Ce nouveau contexte perçu initialement comme une menace pour les institutions financières historiques s’est transformé en opportunité pour les banques qui ont accéléré leur processus de digitalisation.

Effectivement, la stratégie de transformation digitale des institutions bancaires a embrassé ce changement et de grandes banques n’ont pas hésité à créer des partenariats ou acquérir des start-ups de la Fintech, à l’exemple de la Société Générale qui a racheté Fiduceo ou de la BNP qui s’est associée avec le projet de Xavier Niel, Station F, le plus grand campus de start-up du monde situé à Paris. La disruption constatée de l’industrie bancaire par les Fintech vient à la fois de l’évolution et de la simplification des services aux clients grâce à une expérience utilisateur et une flexibilité améliorées mais également des nouvelles technologies qui vont être le support de ces services novateurs.

 

Les Smartphones : Pilier des Fintech

L’évolution des Fintech a été propulsée ces dernières années grâce à deux facteurs majeurs qui ont été les catalyseurs du développement de ce secteur.

D’une part, la crise financière de 2008 : les marchés s’effondrent, les grandes banques d’investissement font faillite. Les investisseurs ne font plus confiance aux grandes institutions financières qui accusent les pertes ; un certain nombre d’entre eux préfèrent alors se tourner vers les entreprises digitales et prometteuses de la Silicon Valley.

Second facteur : l’année 2008 a également été l’année de création de la Blockchain, c’est aussi l’année de l’avènement des Smartphones, suite la révolution initiée par Apple en 2007 avec la sortie de l’iPhone. Les solutions proposées par les Fintech se voulant disruptives et basées sur la flexibilité et la simplicité d’utilisation, leur croissance s’est vu boostée par la généralisation des smartphones, devenus indispensables au quotidien. L’expansion des Fintech a donc été favorisée par le gain de maturité des smartphones et des applications qu’ils hébergent ce qui leur a permis de développer et diffuser leurs services au plus proche des utilisateurs.

Le smartphone est également un vecteur majeur de la transformation des moyens de paiement, consenti comme un des secteurs à être le plus remodelé par les Fintech. Le Smartphone est à la fois le terminal permettant d’accéder aux services mais devient également un moyen de paiement matériel avec les puces NFC, au même titre qu’une carte bancaire. Des applications telle que Lydia permettent également aux utilisateurs de transférer de l’argent gratuitement à leurs contacts sans avoir à passer par le traditionnel virement bancaire.

La sécurité des Smartphone est donc primordiale pour protéger les fonds des utilisateurs, ce qui n’est pas une mince affaire. Dès le lancement de Apple Pay sur I’iPhone, des vulnérabilités dans la conception de la fonction avaient engendré un taux de 6% d’opérations frauduleuse en 2016 car il était possible d’utiliser n’importe quel numéro de carte sans le CVV et sans vérification d’identité de l’utilisateur pour effectuer des paiements.

Cependant, la sécurisation des Fintech ne peut reposer uniquement sur celle des smartphones et doit prendre en compte l’ensemble des maillons de la chaîne : depuis la conception du service jusqu’au data center où l’entreprise héberge ses infrastructures.

 

La maîtrise des technologies et la sécurité des terminaux : facteurs de risques majeurs

La programmation, les infrastructures utilisées et le terminal de l’utilisateur sont autant d’éléments critiques pour la fiabilité, la robustesse, la sécurité et l’intégrité d’un service financier. Chacun de ces éléments possède des faiblesses particulières qu’il est important de sécuriser avec des moyens appropriés qui répondent à la fois aux réglementations référentes ainsi qu’aux risques externes et internes. Les principales failles identifiées pour les éléments sur lesquels se reposent les services des Fintech sont les suivantes :

1) Les Terminaux

Comme évoqué précédemment, la majorité des services financiers proposés par les Fintech sont accessibles par les utilisateurs depuis leurs propres terminaux (PC, tablettes, smartphones…). La sécurité des opérations réalisées est donc fortement dépendante du niveau de sécurité du terminal utilisé. En 2016, il s’est avéré que les smartphones au même titre que les ordinateurs étaient la cible de malwares de type cheval de Troie permettant de récupérer les identifiants de connexion des utilisateurs sur les pages d’accueil de leur banque en ligne. Cette faiblesse intrinsèque au système d’exploitation du Smartphone n’est généralement détectée que trop tard et est alors déjà exploitée par les attaquants. En ce qui concernent les Fintech, la solution la plus utilisée afin de se prémunir contre les opérations frauduleuses suite au vol d’identifiants de connexions est l’authentification à facteurs multiples. Cette méthode déjà largement utilisée par les entreprises est maintenant de plus en plus répandue aux particuliers pour se connecter à une application sensible en ligne. Les seconds facteurs sont généralement un code envoyé par SMS ou générés par une application dédiée ou encore une authentification biométrique grâce aux capteurs d’empreintes intégrés dans les smartphones. Cependant même une identification à deux facteurs avec envoi d’un code par SMS peut être inefficace face à des attaquants déterminés qui pourraient intercepter les SMS s’ils compromettent le smartphone au préalable.

Les fabricants œuvrent donc à la sécurisation de leur terminaux mobiles et en font même une priorité avec des mise à jour de sécurité régulières ayant pour but de couvrir les vulnérabilités qui sont détectés. Chaque faille découverte dans le système d’exploitation d’un terminal est largement médiatisée et pourrait avoir un impact significatif sur les ventes dans ce marché très compétitif où une sensibilisation naissante pour la sécurité chez les clients peut influer sur l’achat final. Les smartphones récents sont donc généralement considérés comme étant moins vulnérables qu’un ordinateur portable vieillissant.

2) La programmation

Le cas du fond d’investissement participatif et mutualisé The DAO , basé sur la Blockchain « Ethereum », réseau utilisant une monnaie cryptographique décentralisée, est un exemple intéressant pour illustrer comment une erreur de programmation peut mener à une importante perte financière. En effet une erreur présente dans le code permettant de réaliser de fausses transactions a résulté au détournement de 50 Millions de dollars appartenant aux différents « actionnaires » de The DAO.

Ce risque de piratage via une faille de programmations est omniprésent pour les entreprises développant des applications et autres services web. Il est cependant possible de limiter les risques dus à ces failles de programmation en réalisant des audits sur les codes sources et en utilisant des scanners de vulnérabilités sur les applications.

En 2016 le chercheur Vincent Haupert a réussi à pirater l’application mobile de la néo-banque allemande 100% en ligne N26  sans compromettre le smartphone mais en se basant sur des faiblesses dans l’architecture de l’application. Il a pu en prendre le contrôle total et effectuer des transactions illicites. A la suite de cette découverte la banque a lancé une campagne de « Bug Bounty », opération visant à rémunérer les personnes qui signaleraient des failles de sécurité. De nombreuses entreprises telles que les GAFA, mais également de taille plus modeste, ont déjà eu recours à ce type de campagne pour détecter de potentielles failles au sein de leurs produits.

Les Fintech doivent donc mettre la sécurité au cœur de leurs préoccupations pour le développement de leurs services est donc en l’intégrant dès la conception. D’autant plus, le secteur financier est la cible privilégiée pour les attaquants qui cherchent à exploiter toutes les failles qu’ils peuvent identifier afin de détourner des montants importants. Les Fintech se développant en accéléré, la course à la croissance prime parfois sur la sécurisation des produits.

3) Les infrastructures

Telles Treezor et Mangopay, certaines start-ups choisissent de déléguer l’hébergement de leurs applicatifs et de leurs données à des fournisseurs Cloud pour se concentrer sur leurs cœurs de métiers. Mais le Cloud n’est pas infaillible, par exemple, le 28 Février 2016, des milliers de sites internet et d’applications web appartenant à différentes grandes entreprises dont Apple ont été inaccessibles et ce dans le monde entier, suite à une panne du Cloud Amazon.

Le choix des fournisseurs pour les services Cloud en IaaS et PaaS n’est donc pas à négliger pour les entreprises fournissant des services sensibles telles que les Fintech. Ces dernières sont soumises à de nombreuses réglementations bancaires comme la norme PCI DSS pour la protection des données de comptes ou bien européennes avec la GDPR (Règlement général pour la protection des données) qui entrera en vigueur en Mai 2018 et exposera les entreprises à des sanctions financières très dissuasives (jusqu’à 4% du CA mondial).

Les entreprises doivent donc pouvoir s’assurer que le niveau de sécurité ainsi que les processus associés mis en place par leurs fournisseurs sont conformes à ces réglementations auxquelles elles sont assujetties. Dans le but d’aider les entreprises à aborder la décentralisation de leurs infrastructures, l’ANSSI a sorti fin 2016 son référentiel visant à certifier les prestataires Cloud de confiance avec le label Franco-Allemand : European Secure Cloud.

Dans le contexte plus spécifique de la Fintech, l’ANSSI s’est également invitée autour de la table pour apporter ses recommandations. En effet l’ANSSI est devenue partenaire du Forum FinTech créé par l’Autorité des marchés financiers (AMF) et l’Autorité de contrôle prudentiel et de résolution (ACPR). Ce forum a pour but de favoriser l’émergence de ces nouveaux acteurs du secteur financier en évaluant les enjeux associés à leur développant aussi bien qu’il s’agisse de risques ou d’opportunités.

Les agences nationales, conscientes des challenges liés à la transformation du secteur financier, œuvrent dans le but d’apporter plus de transparence aux entreprises vis-à-vis de leur écosystème global mais également pour la cybersécurité.

 

Des risques bien difficiles à couvrir pour les Fintech

Ainsi, les risques cybers omniprésents pour toute entreprise, sont d’autant plus critiques pour les Fintech. Les infections virales et autres cryptolockers, les attaques d’applications web et le DDoS (Distributed Denial of Service) pour ne citer que les plus fréquents, peuvent impacter aussi bien les terminaux, les applications ainsi que les infrastructures comme détaillé ci-dessus.

La lutte contre ces risques, inévitables pour une entreprise dont les applications sont exposées sur Internet, nécessite des compétences en sécurité spécifiques ainsi que la mise en place de plans de réponse à incident afin de garantir l’intégrité et la qualité des services. Pour répondre à ces challenges, les banques disposent de moyens considérables tels que des équipes assurant une supervision continue des infrastructures digitales et investissent plusieurs dizaines de millions d’euros par an uniquement afin d’assurer leur cybersécurité. A l’heure actuelle, les Fintech ne sont pas toujours en mesure de mettre en place des moyens financiers et humains comparables, cependant leur avantage réside dans l’agilité et le peu d’historique et d’obsolescence de leurs infrastructures permettant de mettre en place des moyens de sécurité efficaces plus rapidement et à moindre coût. De plus la collaboration de plus en plus intime entre les grands acteurs historiques et les Fintech leur permet de bénéficier de leur maturité en termes de sécurité, tout l’enjeu étant de trouver l’équilibre entre sécurité et flexibilité, un des facteurs du succès des Fintech.