Êtes-vous à la traîne face à l’évolution rapide du mouvement de l’open banking ? Les entreprises FinTech accélèrent la mise sur le marché et favorisent l’innovation souhaitée par vos clients.
L’utilisation d’API tierces révolutionne la façon dont les clients interagissent avec les institutions financières.
Mais les volumes massifs d’appels d’API générés peuvent entraîner des problèmes de sécurité, en plus d’augmenter les coûts dans les environnements hérités. De plus, garantir le respect de réglementations strictes, telles que la directive européenne PSD2 (Payment Services Directive 2) relative aux services de paiement électronique, devient chaque jour de plus en plus difficile.
Saisir l'opportunité de croissance de l'Open Banking mondial
L’open banking est propice à l’innovation en matière d’API. Apprenez les 8 principaux impératifs pour réussir.
Il ne fait aucun doute qu’il est impossible d’avoir un système bancaire ouvert sans une efficacité de sécurité élevée, mais de nombreuses banques et organisations de services financiers se demandent si leurs solutions de sécurité actuelles sont prêtes à faire face aux risques croissants associés à l’open banking. Cette préoccupation a été mise en évidence dans une enquête menée en 2020 auprès de responsables d’entreprises BFSI. Lorsqu'on leur a demandé de classer les « quatre facteurs les plus importants à prendre en compte avant l'intégration avec une API », la sécurité (71,0 %) s'est classée en tête.2
L'essor des attaques API et leur impact sur la sécurité de l'open banking
Les données sur les services financiers font partie des types de données les plus recherchées par les cyberattaquants. Gartner a prédit que d’ici 2022, les abus d’API seront le vecteur d’attaque le plus fréquent contre les applications Web d’entreprise, entraînant des violations de données. C’est pourquoi il est plus important que jamais de sécuriser les API et de protéger vos applications et les données qu’elles contiennent, sans pour autant freiner l’innovation.
Comment sécuriser correctement les API ?
Les recherches menées par F5 Labs montrent que les API sont très vulnérables aux cyberattaques. L'OWASP a même établi une liste des 10 principales vulnérabilités des API, car selon ses propres termes, « sans API sécurisées, une innovation rapide serait impossible ». Le problème le plus fréquent est l’absence totale d’authentification devant les points de terminaison de l’API, suivie d’une authentification rompue et d’une autorisation rompue.
Livre électronique sur la sécurité des application Web d'O'Reilly Media
Disponible avec les compliments de F5, cet eBook d'O'Reilly Media présente des conseils de sécurité pratiques qui peuvent faire économiser des millions à votre entreprise en cas de violation de données et des conseils que vos équipes de développement et de sécurité peuvent utiliser immédiatement.
Les défis réglementaires de l'Open Banking reposent sur la sécurité
Bien que les États-Unis n’aient pas encore expérimenté d’intervention réglementaire dans le domaine de l’open banking, d’autres régions du monde ont déjà mis en œuvre de telles initiatives. En Europe, l’UE a promulgué la deuxième directive sur les services de paiement (DSP2), qui oblige les banques à créer des mécanismes (le plus souvent des API) pour fournir des données rapidement, en toute sécurité et de manière fiable à des fournisseurs tiers avec le consentement de leurs clients. D’autres pays, comme le Royaume-Uni, le Canada, Hong Kong, le Japon, le Mexique et l’Australie, progressent également dans la mise en place de normes bancaires ouvertes. La conformité aux défis réglementaires nécessite un investissement pour atténuer le risque de non-conformité qui peut entraîner des amendes coûteuses.
La matrice de maturité Open Banking de Twimbit cartographie la position relative de 22 grands pays selon deux critères distincts : les initiatives réglementaires et les initiatives du marché.
La série d'infographies sur l'Open Banking mondial par Twimbit
Twimbit, avec l'aide de F5, a examiné le monde de l'open banking : son fonctionnement, les opportunités disponibles, les principaux acteurs mondiaux, les défis réglementaires, etc.
D'autres vecteurs d'attaque ajoutent du stress à l'open banking : OFX et le screen scraping
Les API standard ne sont pas la seule surface de menace qui nécessite une attention urgente dans l’open banking. Traditionnellement, les tiers et les agrégateurs financiers qui ont besoin d’accéder aux données des consommateurs ont utilisé deux mécanismes :
- OFX (Open Financial eXchange), initialement conçu pour connecter les applications financières grand public (par exemple, MS Money, Intuit QuickBooks) aux institutions financières d’un utilisateur.
- Capture d'écran, où les consommateurs fournissent leurs informations d'identification bancaires à un tiers, et le tiers se connecte et récupère ces informations à partir du canal Web des services financiers.
OFX peut être utilisé comme canal par des adversaires pour effectuer des opérations de bourrage d'informations d'identification, de validation de compte et de prise de contrôle à grande échelle, à la fois directement et via des agrégateurs financiers.
Les organisations de services financiers ont connu la plus forte proportion d'incidents de sécurité liés à la connexion par mot de passe, soit 46 %. En les répartissant, 5 % ont été signalés contre des API pour applications mobiles et 4 % contre des interfaces Open Financial Exchange (OFX) .3
Les agrégateurs de données FinTech font partie d’une nouvelle frontière passionnante dans les services financiers. Ils conduisent à de meilleures expériences globales pour les consommateurs et renforcent même les propositions de valeur grâce à des synergies pour les organisations traditionnelles et les FinTechs.
Mais ils introduisent également des vulnérabilités de sécurité à mesure que l’utilisation des API augmente dans FinServ, ce qui peut avoir un impact négatif sur les performances des applications.
Fournir à des tiers des informations d'identification pour le scraping d'écran expose ces informations d'identification à la posture de sécurité de ce tiers. Ces mécanismes ne fournissent pas au consommateur un consentement précis ni un contrôle sur les informations auxquelles le tiers a accès, ce qui met en péril des milliards de transactions et augmente le risque de violations de sécurité extrêmement coûteuses.
Sécuriser l'API FDX pour défendre les données dans l'Open Banking
Les principaux impacts des agrégateurs de données FinTech sur les services financiers en 2022
Cet eBook explore la valeur croissante que les agrégateurs de données FinTech offrent aux services financiers et comment atténuer les défis associés qu'ils entraînent.
Les API ouvertes permettent aux banques de s'associer aux fintechs pour créer de nouvelles et meilleures expériences numériques.
Cette pratique génère également des problèmes de sécurité. Dans cette leçon sur tableau lumineux, vous apprendrez comment les bonnes solutions peuvent assurer la sécurité et l’efficacité des initiatives d’open banking.
Regardez la vidéo
Explication de l'Open Banking et de la sécurité des API
Les meilleures solutions de sécurité bancaire ouverte sur lesquelles vous pouvez compter
La sécurité de la passerelle API à elle seule est largement insuffisante pour les API exposées. Les solutions de sécurité holistiques centrées sur les API de F5, qui incluent une passerelle API hautes performances, offrent une efficacité de sécurité API que les passerelles API ne peuvent tout simplement pas offrir seules. Comme notre solution WAF prenant en charge l'ingestion de fichiers OpenAPI/Swagger pour permettre les contrôles de sécurité API les plus précis. De plus, les solutions de sécurité F5 authentifient le trafic des fournisseurs tiers, une exigence de conformité dans le cadre de la directive PSD2 de l'UE, et atténuent la fraude et les abus d'API ainsi que d'autres trafics de robots illégitimes souvent associés à OFX et au scraping d'écran.
Qu'est-ce qui rend la sécurité de l'open banking F5 unique ?
Donner la priorité à la sécurité de l'open banking, quelle que soit l'infrastructure
Les solutions de sécurité bancaire ouverte de F5 peuvent sécuriser efficacement les API et l’infrastructure utilisée pour les héberger, quelles que soient les préférences d’architecture. Vous n’êtes jamais limité par les contraintes d’un environnement unique, qu’il s’agisse d’une infrastructure hébergée dans le cloud ou sur site. Nos solutions bancaires ouvertes évoluent vers l'avenir et prennent en charge un service API sécurisé et évolutif pour tous vos besoins financiers.
L'approche Open Banking ajoute de la valeur au client dans un environnement sécurisé
À la recherche de moyens de créer de nouvelles opportunités pour ses titulaires de comptes, African Bank s'est tournée vers l'open banking, mais a été confrontée à des défis en matière de sécurité et de mise à disposition d'interfaces toujours disponibles. En mettant l’accent sur la création d’architectures de type microservices, cela leur a permis de répondre au mieux aux attentes de leurs clients. Leur approche bancaire ouverte pilotée par API a généré des revenus supplémentaires et une valeur ajoutée pour leurs clients.
En savoir plus sur le
Témoignage client de la Banque Africaine
L'organisation relève les défis réglementaires de l'open banking avec F5
Comme beaucoup en Europe, une organisation en Grèce a été confrontée à de nouvelles exigences PSD2 qui lui coûteraient de lourdes amendes si elle n'était pas conforme. Ils se sont tournés vers F5 pour trouver une solution. Avec F5 BIG-IP APM (Access Policy Manager), votre organisation peut authentifier le TPP (fournisseur tiers) avant d'accéder à votre API OpenBank et peut transmettre le QWAC (certificat d'authentification de site Web qualifié) à votre application pour un traitement ultérieur, sans aucune modification sur votre application.
Pylones Hellas, utilisant la solution APM de F5, répond à la nouvelle directive PSD2
Vous voulez voir comment ça fonctionne ?
Découvrez comment NGINX App Protect est utilisé pour sécuriser les API Open Banking et prévenir les attaques L7DoS.
[1] Allied Market Research, « Le marché mondial de l'open banking devrait atteindre 43 152 millions de dollars d'ici 2026 »
[2] Facteur, « Rapport sur l'état des API 2020 »
[3] F5 Labs, « Rapport sur la protection des applications 2021 : De la rançon et de la rédemption "
Essayez-le gratuitement
Protégez vos applications et API où qu'elles s'exécutent avec une sécurité de pointe qui couvre les centres de données, les clouds et les architectures. Contactez-nous pour en savoir plus sur le démarrage de votre essai gratuit.
MERCI
Nous avons reçu votre demande. Nous vous contacterons sous peu.
Sécurité des services financiers
Une sécurité robuste pour les services financiers est essentielle. C'est pourquoi 15 des 15 plus grandes banques américaines utilisent les solutions F5.
Banque ouverte
L’open banking révolutionne la façon dont les gens du monde entier interagissent avec leur banque. Mais cela ouvre également les services financiers à de nouvelles menaces de sécurité et à de nouveaux problèmes de performance.
Transformation numérique
La transformation numérique est la clé pour dépasser les contraintes d’évolutivité et de performance héritées et offrir aux clients les expériences numériques exceptionnelles qu’ils attendent.
GRC et gestion des fraudes
La protection de vos applications et le maintien de la conformité sont essentiels pour garantir une présence en ligne fiable. L’un des défis est que les institutions financières sont l’une des cibles les plus lucratives pour les réseaux de criminalité organisée sophistiqués.