Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Étude : L’état de la sécurité des applications parmi les 100 premières start-up mondiales fintech

août 2019 par ImmuniWeb

La société de sécurité Web ImmuniWeb a mené une étude sur la sécurité des applications dans les startups mondiales fintech les plus importantes et les mieux financées, identifiées par CB Insights.

Immuniweb a révélé que 98 des 100 entreprises étaient vulnérables au phishing et aux attaques sur applications web et mobiles.

Principales constatations : sécurité

ImmuniWeb a effectué diverses vérifications de sécurité, de confidentialité et de conformité non intrusives afin d’identifier les failles de sécurité potentielles sur les principaux sites Web et sous-domaines des 100 startups fintech :

• 100% ont des problèmes de sécurité, de confidentialité et de conformité liés aux applications Web, API et sous-domaines abandonnés ou oubliés.

• 8 sites Web principaux et 64 sous-domaines présentent au moins une vulnérabilité à risque moyen ou élevé révélée publiquement et exploitable.

• Les vulnérabilités de sites Web les plus courantes étaient « XSS (Cross Site Scripting, OWASP A7), Sensitive Data Exposure (OWASP A3) et Sécurité de configuration erronée (OWASP A6) ».

• La vulnérabilité non corrigée la plus ancienne est CVE-2012-6708, affectant jQuery 1.7.2.

• 100% des applications mobiles contiennent au moins une vulnérabilité d’un risque moyen, 97% présentent au moins deux vulnérabilités de risque moyen ou élevé.

• 56% des serveurs d’applications mobiles (REST / SOAP API) ont d’importants problèmes de configuration ou de confidentialité liés à la configuration SSL / TLS et un renforcement insuffisant de la sécurité des serveurs Web.

Principales constatations : conformité

• 62% des principaux sites Web des entreprises ont échoué au test de conformité PCI DSS. La cause principale était un open-source expiré et un logiciel commercial avec ses composants obsolète (Exigence 6.2).

• De même, 64% des principaux sites Web des entreprises ont échoué au test GDPR. Après les logiciels vulnérables, la deuxième raison la plus fréquente est l’absence « cookie disclaimer » et le manque de « security flags » sur des cookies transférant du tracking, PII ou autres informations sensibles. La troisième cause est la politique de confidentialité manquante ou inaccessible.

Ilia Kolochenko, PDG et fondateur d’ImmuniWeb, a commenté : « L’étude met en avant la spirale croissante des problèmes de cybersécurité auxquels font face à la fois des entreprises fintech et des institutions financières bien établies. À première vue, le secteur de la fintech s’en tire relativement mieux. Cependant, si nous établissons une corrélation entre la quantité et la complexité des systèmes informatiques gérés par organisation, la conclusion peut différer sans équivoque en faveur des banques. Néanmoins, les chiffres de la recherche soulignent de manière positive un niveau décent de cybersécurité parmi les entreprises fintech, mettant en évidence leur engagement et leur attention. »

« L’étude souligne également que le manque de visibilité est l’un des obstacles les plus répandus, préjudiciables et parfois presque insurmontables à la sécurité cohérente et globale de l’information. Compte tenu de la prolifération croissante des technologies cloud et containers, la sous-traitance de processus stratégiques critiques et le partage de données avec de nombreux tiers avec une visibilité incomplète demeurera probablement le talon d’Achille de la sécurité de l’information. »




Voir les articles précédents

    

Voir les articles suivants