Les fintech sont des entreprises généralement plus exposées aux risques et plus matures que la moyenne en matière de cybersécurité. La nature de leurs activités implique la nécessité de prendre en compte les risques de fraude et de cyberattaques dès la conception d’un nouveau produit.
Le pentest vient ensuite confronter les choix de sécurité et les protections mises en place avec la menace réelle. Selon la nature du produit (solution de paiement, plateforme de crédit, gestion bancaire, private equity, etc.), les enjeux métiers seront différents. Voici cependant quelques détails sur les principaux risques et les priorités de pentest les plus fréquentes d’après notre expérience auprès de fintech.
Sécurité de la brique de paiement
Le paiement représente le risque le plus « évident » au premier abord. Il s’agit d’un aspect très sensible en raison des enjeux liés au paiement. Il concentre donc un bon nombre d’efforts de sécurisation.
Solutions de paiement développées en interne
Certaines fintech sont spécialisées dans le développement de solutions de paiement.
La sécurité des paiements électroniques est encadrée par la norme PCI DSS qui a été mise en place afin de répondre à un double objectif : améliorer la sécurité de l’ensemble des transactions bancaires et renforcer la sécurité des données des utilisateurs.
Pour répondre aux obligations de conformité, les fintech qui développent des solutions de paiement doivent respecter un ensemble d’exigences en matière de sécurité. Ces exigences intègrent notamment l’obligation de réaliser des tests d’intrusion afin de mettre à l’épreuve les systèmes en lien avec le traitement des données bancaires (systèmes cœur et applications techniquement en lien comme par exemple un back-office d’administration).
Il est très rare que des fintech positionnées sur d’autres cœurs de métier développent des solutions de paiement faites maison. La plupart reposent sur l’utilisation de solutions tierces reconnues et certifiées.
Solutions tierces
L’enjeu principal, pour l’utilisation d’une solution tierce, réside dans le choix et surtout l’intégration de la solution de paiement.
Il est fortement recommandé de choisir un prestataire de paiement reconnu dans le domaine, et mettant à disposition une documentation suffisamment détaillée pour faciliter l’intégration technique.
Le pentest viendra ensuite vérifier les possibilités d’attaques, non pas en testant l’infrastructure et les applications mises à disposition par le prestataire, mais en se focalisant sur les appels au système de paiement et les échanges entre les deux systèmes pouvant être source de vulnérabilités (non-respect du processus d’intégration technique, exposition d’endpoints permettant de valider des paiements sans qu’ils le soient réellement).
Sécurité des workflows
L’étude de la logique métier est cruciale pour identifier les contrôles mis en place ainsi que les contournements possibles.
Fraude et contournement de logique métier
Les vulnérabilités liées au métier existent lorsque le parcours utilisateur normal d’une application, ou une étape du processus prévu, peut être contourné. Les exemples sont presque infinis : valider une commande sans avoir effectué le paiement, changer l’adresse d’expédition d’une commande, effectuer une demande de crédit en by-passant les contrôles, etc.
De par sa nature, ce type de vulnérabilité est difficilement identifiable par des outils de scan automatique. L’approche la plus efficace consiste à étudier de manière approfondie la logique métier afin de déterminer les contraintes et les contrôles censés être en place, en suivant une méthodologie complète. Ceci permet de mettre en place des scénarios de tests sur mesure pour identifier des possibilités de contournement spécifiques à chaque application métier.
Contrôle des identités
Le contrôle des identités des utilisateurs fait partie des enjeux centraux pour le workflow de nombreuses fintech. Forcer les utilisateurs à prouver une identité, en fournissant différents documents (carte d’identité ou passeport, attestations fiscales, etc.) permet de limiter fortement les tentatives de fraude et de cyberattaques.
Le pentest viendra vérifier que ces contrôles ne peuvent pas être by-passés ou évités en fournissant des informations farfelues. Le contrôle des identités implique par ailleurs des contraintes sur la sécurité des données personnelles des utilisateurs.
Sécurité des données
La sécurité des données a une importance capitale pour les entreprises qui traitent des données sensibles : données personnelles, données bancaires (par ex liées à l’agrégation de comptes), données d’usage (par ex liées au montant d’une demande de crédit effectuée), mais également données « business » des entreprises (par ex les données de facturation, ou les payrolls d’une entreprise).
Dans le cas des plateformes SaaS, vérifier le bon cloisonnement des données entre les clients est un enjeu essentiel. Le pentest viendra tester les droits de façon « horizontale » (entre un client A et un client B) et les possibilités d’escalades de droits « verticale » (entre un utilisateur « standard » et un « admin »).
De très nombreuses vulnérabilités potentielles permettent d’accéder aux données, quelle que soit la nature de ces données. Il peut s’agir de vulnérabilités techniques liées à l’infrastructure hébergeant les systèmes, aux applicatifs qui y sont présents, ou de vulnérabilités logiques dans lesquelles un contrôle d’accès est défaillant. Exemples concrets : failles d’injection (de bases de données, de code), prise de contrôle de sessions d’autres utilisateurs, accès à un back-office de gestion, accès mal contrôlé aux ressources d’autres utilisateurs, etc.
Faire un pentest ?
Un pentest va s’intéresser à tous les aspects listés ci-dessus, pour remonter éventuellement des vulnérabilités sur certains points. Cela permet de confronter les choix techniques et fonctionnels de l’équipe R&D à un regard externe d’attaquant (pentester). Et il est bien sûr possible de creuser particulièrement les tests sur certains aspects, en fonction des priorités de sécurité spécifiques à un produit.
Pour échanger plus concrètement sur ce sujet, et sur la démarche la plus adaptée à vos besoins, n’hésitez pas à nous contacter directement.