Les fintechs, abréviation de "financial technology" companies, sont une race relativement nouvelle d'entreprises centrées sur le numérique qui proposent un ensemble restreint de services financiers répondant à des problèmes particuliers, par exemple dans le domaine de la banque mobile, des prêts P2P ou du robo-conseil, pour n'en citer que quelques-uns.
Lorsque l'on envisage de travailler avec une fintech, il est facile de se concentrer sur les caractéristiques intéressantes ou les nouvelles possibilités qu'elle offre. Une sécurité des données supérieure peut sembler aller de soi pour une entreprise opérant dans le secteur financier, qui est très réglementé dans pratiquement tous les pays développés.
Cependant, les réglementations financières ne tiennent souvent pas compte des nuances des technologies de pointe. Il existe un risque réel qu'un fournisseur de services fintech donne la priorité à l'innovation au détriment d'une solide sécurité des données.
Vue d'ensemble : Les données financières restent une cible privilégiée pour les pirates, quelle que soit leur localisation
En matière de cybersécurité, la première chose à savoir sur les fintechs est qu'elles travaillent avec les mêmes types de données que les institutions financières traditionnelles. Ces informations très sensibles sont très attrayantes pour les cyberattaquants.
L'assureur mondial AON a identifié les cyberattaques et les violations de données comme les principaux risques auxquels sont confrontées les institutions financières.. En 2023, IBM a constaté que les violations de données dans le secteur financier étaient les deuxièmes plus coûteuses, tous secteurs confondus, et qu'elles coûtaient en moyenne $5,9 millions d'euros par incident.. Et en 2022, INTERPOL a classé la criminalité financière et la cybercriminalité - qui sont de plus en plus liées, les malfaiteurs cherchant à exploiter les technologies numériques pour blanchir de l'argent - au premier rang des préoccupations policières mondiales.
Les criminels recherchent en permanence les faiblesses des systèmes de sécurité des technologies financières. Sur l'ensemble des violations de données traitées par Kroll, spécialiste du conseil et du renseignement en matière de risques, en 2023, les plus nombreux se trouvaient dans l'industrie financière. Kroll a mis en évidence plusieurs cas de banques régionales de petite ou moyenne taille touchées par des attaques de ransomware qui ont volé les données des clients des partenaires tiers des banques. Bien que Kroll n'ait pas divulgué de détails sur ces partenaires, il convient de noter que de nombreuses fintechs entrent dans cette vaste catégorie d'entreprises avec lesquelles les institutions financières partagent des données.
Quatre questions simples à poser aux fintechs en matière de cybersécurité
Quelles mesures pouvez-vous prendre pour vous protéger lorsque vous vous aventurez dans le monde de la fintech ? Surtout si vous n'avez pas de connaissances techniques ? Voici quatre questions simples (qui devraient donner lieu à des réponses compréhensibles) à poser à un fournisseur de services fintech :
01 Où êtes-vous basé ?
L'emplacement du siège social d'une fintech - ou de sa succursale avec laquelle vous serez en contact - peut être un indicateur clé des exigences légales régissant ses pratiques en matière de confidentialité et de sécurité des données.
Par exemple, toutes les entreprises qui traitent avec des citoyens de l'UE doivent se conformer au règlement général sur la protection des données (RGPD), qui exige des mesures de traitement et de protection des données personnelles contre l'utilisation et l'accès non autorisés.
Un autre exemple est la deuxième directive de l'UE sur les services de paiement (PSD2). Cette directive exige que les institutions financières basées dans l'UE facilitent le partage sécurisé des données relatives aux paiements des clients avec des fournisseurs tiers autorisés (comme certaines fintechs) par le biais de connexions de données correctement sécurisées, connues sous le nom d'interfaces de programmation d'applications (API). Ce partage ne se fait qu'avec le consentement explicite du client.
N'oubliez pas que les exigences légales visant à garantir la confidentialité et la sécurité des données financières sont loin d'être universelles dans le monde. À bien des égards, l'Union européenne a ouvert la voie dans ce domaine, et plusieurs autres juridictions ont intégré des politiques similaires dans leur législation locale. La loi fédérale suisse sur la protection des données est un exemple majeur. Il convient de noter que les législateurs américains ont proposé des règles de type GDPR au niveau fédéral, mais qu'aucune mesure officielle n'a été prise jusqu'à présent.
Si la fintech que vous évaluez est basée en dehors de l'UE et qu'elle transmettra les données d'un citoyen de l'UE, vous voudrez certainement poser une question complémentaire pour savoir si sa technologie s'aligne sur des normes de sécurité des données similaires à celles établies dans l'UE - en particulier en ce qui concerne les API. Ces connexions de données jouent un rôle crucial dans les modèles opérationnels de nombreuses fintechs, qui impliquent souvent la collecte d'informations telles que l'historique des transactions, les soldes des comptes et les informations sur les prêts auprès des institutions d'origine. Bien que la DSP2 soit spécifique à l'UE, elle représente une référence mondiale pour la sécurisation des connexions de données financières.
02 Pouvez-vous expliquer en termes simples votre approche globale de la cybersécurité ?
Selon la Harvard Business Review, l'erreur humaine est responsable de plus de 80% des incidents de cybersécurité. Les pirates informatiques ciblent souvent les employés mal formés pour exploiter les vulnérabilités.
Un moyen simple de juger des efforts déployés par une fintech pour former les membres de son équipe à la cybersécurité est d'évaluer les efforts qu'elle déploie pour former les membres de son équipe à la cybersécurité. vous à ce sujet.
Lors de l'évaluation d'un fournisseur de services fintech, demandez une vue d'ensemble de ses mesures de sécurité technologique. Bien que cette vue d'ensemble puisse impliquer des concepts techniques complexes, ils doivent être expliqués de manière simple et compréhensible.
N'oubliez pas : La fintech en question existe pour servir des personnes comme vous. Si les dirigeants de la fintech n'accordent pas la priorité à l'accessibilité de leurs pratiques de sécurité, cela peut être le signe de difficultés similaires dans les efforts de formation interne de l'organisation.
03 Prenez-vous en charge plus de deux facteurs d'authentification de l'accès ?
En termes simples, les facteurs d'authentification de l'accès sont les obstacles qu'un utilisateur doit franchir avant d'utiliser un service numérique. Un facteur peut être un mot de passe en ligne, tandis qu'un autre peut être un code généré par une application d'authentification sur téléphone portable ou envoyé par SMS.
Il est fort probable que vos fournisseurs de services financiers actuels utilisent déjà au moins l'authentification à deux facteurs (2FA), qui est monnaie courante dans le secteur.
La prise en charge de l'authentification à trois facteurs (3FA) indique qu'une fintech fait un effort supplémentaire pour protéger les données de ses clients. Le troisième facteur peut être - et c'est le cas chez Altoo - un certificat installé sur l'appareil de l'utilisateur et vérifié à chaque fois que l'utilisateur se connecte au système avec cet appareil particulier.
04 Possédez-vous tout votre matériel de stockage de données ?
Chaque fintech dispose d'un large éventail d'options en matière de stockage des données. Chaque option implique une combinaison de logiciels (systèmes de gestion des données) et de matériel (machines physiques hébergeant les logiciels).
Les fintechs n'ont pas nécessairement besoin de posséder du matériel pour profiter de logiciels de stockage de données sophistiqués et hautement sécurisés. Elles peuvent louer des serveurs appartenant à un fournisseur de services en cloud (CSP). Cette option est souvent plus rentable que la possession et la maintenance de matériel.
Les CSP se donnent beaucoup de mal pour garantir la sécurité et la fiabilité. Le partenariat avec un CSP introduit toutefois un niveau de risque supplémentaire que la fintech a du mal à maîtriser totalement.
Par conséquent, la décision d'une fintech d'utiliser exclusivement son propre matériel de stockage de données témoigne d'un engagement remarquablement fort - et donc plus coûteux - en faveur de pratiques complètes de sécurité des données.
EN BREF
- Les fintechs sont dans la ligne de mire des hackers : Les Fintechs utilisent les mêmes types de données très sensibles que les institutions financières traditionnelles, qui sont des cibles privilégiées pour les pirates informatiques.
- Vous pouvez vous charger de l'audit préalable de base en matière de cybersécurité dans le domaine de la fintech : Il n'est pas nécessaire d'être un expert technique pour poser quatre questions simples à une fintech. Les réponses de la fintech en diront long sur son engagement en matière de cybersécurité.
