La transformation numérique massive du système financier mondial et la demande des clients pour des transactions omniprésentes font des institutions financières des cibles de choix pour les cyberattaques. L'étendue des cyber-risques et des cyber-menaces est très vaste, mais les applications bancaires et les paiements mobiles, aujourd'hui omniprésents, constituent une cible à croissance particulièrement rapide. Les informations personnelles sensibles échangées au moyen d'appareils mobiles augmentent considérablement le risque d'attaques des points d'extrémité. 

Ainsi, les institutions financières sont désormais confrontées à une liste croissante de réglementations en matière de cybersécurité et de confidentialité des données visant à protéger les informations et les actifs des clients. Par exemple, depuis mai 2022, la Réserve fédérale américaine exige que les institutions financières divulguent les incidents cybernétiques aux régulateurs dans les 36 heures suivant l'incident s'il est susceptible d'avoir un impact sur le système bancaire américain. Le département des services financiers de l'État de New York a publié sa réglementation sur la cybersécurité (23 NYCRR 500), qui exige que les institutions de services financiers, y compris les agences et les succursales de banques non américaines agréées dans l'État de New York, d'évaluer leur profil de risque en matière de cybersécurité.

Verimatrix Extended Threat Defense (XTD), App Shield, Code Shieldet Key Shield Les solutions de protection de Verimatrix aident les organismes bancaires et financiers à se conformer à l'ensemble des réglementations, en s'appuyant sur les principaux cadres et normes du secteur qui guident les meilleures pratiques en matière de protection des données. Voici une liste des principales réglementations américaines et européennes en matière de cybersécurité qui sont particulièrement importantes pour les institutions bancaires et financières et la façon dont Verimatrix peut contribuer à ces efforts :

Règlement général sur la protection des données (RGPD) - Entités de l'UE et de certains pays tiers

Le règlement général sur la protection des données Règlement général sur la protection des données, qui s'applique aux entités de l'UE ainsi qu'aux entités non européennes traitant les données des citoyens de l'UE, est considéré par beaucoup comme la loi la plus stricte au monde en matière de protection de la vie privée et de sécurité. Promulgué en mai 2018, il s'applique à toute organisation qui cible ou collecte des données sur les citoyens de l'UE et établit des protections spécifiques pour le traitement de ces données.

Cette loi est, en grande partie, une réponse au nombre croissant de personnes qui fournissent leurs données personnelles aux fournisseurs de services cloud . Les dispositions suivantes sont particulièrement pertinentes pour les applications mobiles l'article 25 : Protection des données dès la conception et par défautL'article 25, intitulé "Protection des données dès la conception et par défaut", revêt une importance particulière pour les applications mobiles. En outre, l'article 32 l'article 32 : Sécurité du traitementL'article 32 : Sécurité du traitement, qui impose aux développeurs d'applications, aux responsables du traitement et aux sous-traitants de mettre en œuvre les mesures organisationnelles et techniques nécessaires et suffisantes pour garantir l'intégrité des données traitées et de déployer un niveau de sécurité adapté au risque de violation, de perte, de destruction illicite ou de modification des données.

Loi de 2018 sur la protection des données (DPA) - Royaume-Uni

La loi sur la protection des données (DPA) loi sur la protection des données (DPA) réglemente le traitement des données personnelles des citoyens britanniques. Destinée à contrôler la manière dont ces données personnelles sont utilisées par les organisations, les entreprises ou le gouvernement, elle établit des principes de protection des données qui exigent que les données personnelles soient utilisées uniquement à des fins spécifiques et explicites, d'une manière adéquate, pertinente et limitée à ce qui est nécessaire, exact et actuel, et traitées d'une manière qui garantisse une sécurité appropriée.

Le RGPD exige des organisations qu'elles informent leurs clients de leurs pratiques en matière de traitement des données et qu'elles leur fournissent un moyen d'accéder à leurs données et de les supprimer. Il fixe également des exigences en matière de gestion des violations de données, de prévention des accès non autorisés et d'élimination sécurisée des données.

Loi européenne sur la cybersécurité - UE

La loi sur la cybersécurité de l'UE loi européenne sur la cybersécurité impose des obligations en matière de cybersécurité à tous les produits comportant des éléments numériques et dont l'utilisation inclut des connexions de données directes ou indirectes à un appareil ou à un réseau. Elle fournit un cadre de certification de la cybersécurité à l'échelle de l'UE pour les produits, services et processus liés aux technologies de l'information et de la communication (TIC), plutôt que de laisser un patchwork de réglementations divergentes entre les pays membres.

Elle introduit les principes de cybersécurité dès la conception et par défaut et impose un devoir de vigilance pour le cycle de vie des produits. La loi confère également un mandat permanent et des ressources accrues à l'Agence de l'Union européenne pour la cybersécurité (ENISA).

Gramm Leach Bliley Act - États-Unis

Publié par la Commission fédérale du commerce des États-Unis, le loi Gramm Leach Bliley est une loi de protection des consommateurs promulguée pour garantir que les institutions financières protègent la confidentialité des informations financières personnelles des consommateurs. Elle réglemente la collecte, l'utilisation et la divulgation de ces informations. Il s'agit notamment de la fourniture efficace d'informations et de services de nature financière par l'utilisation de moyens technologiques, y compris toute application nécessaire pour protéger la sécurité ou l'efficacité des systèmes de transmission de données.

Directive sur les réseaux et les systèmes d'information 2 (NIS2) - UE

Élargissement du champ d'application de la directive initiale sur les réseaux et les systèmes d'information, NIS2dont l'entrée en vigueur est prévue pour novembre 2024, est la première législation sur la cybersécurité à l'échelle de l'UE. Elle vise à renforcer la cybersécurité et la résilience des organisations européennes en améliorant les pratiques de gestion des risques de cybersécurité dans l'ensemble de l'UE.

Elle prévoit que les entités doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d'information qu'elles utilisent pour leurs activités ou pour la fourniture de leurs services, et pour prévenir ou réduire au minimum l'impact des incidents sur les destinataires de leurs services et sur d'autres services.

Directive sur les services de paiement 2 (DSP2) - UE

La directive sur les services de paiement 2 (DSP2) Directive sur les services de paiement 2 (DSP2) impose aux prestataires de services de paiement de contribuer à un écosystème de paiement plus intégré, plus sûr et plus efficace. Au-delà de la première directive sur les services de paiement, la DSP2 impose des exigences de sécurité plus strictes pour les transactions en ligne grâce à l'authentification multifactorielle. Elle oblige également les banques et autres institutions financières à donner aux prestataires de services de paiement tiers l'accès aux comptes bancaires des consommateurs si le titulaire du compte a donné son accord.

Pour les applications bancaires mobiles, les exigences de sécurité de la PSD2 requièrent une protection contre les attaques connues et inconnues sur les applications mobiles. Les exigences relatives aux applications mobiles sont particulièrement guidées par l'article 9 des normes techniques réglementaires (RTS) finales de la DSP2 sur l'authentification forte du client (SCA) et la communication commune et sécurisée (CSC).

Verimatrix XTD offre une protection passive grâce à une surveillance continue des données et intègre l'IA/ML qui évolue pour identifier les attaques futures et inconnues contre les applications mobiles. En outre, Verimatrix assure une authentification forte du client (SCA) et une communication commune et sécurisée (CSC) tout en offrant une protection contre les attaques de type " man-in-the-middle " (MITM).

Loi sur la cyber-résilience (CRA) - UE

(Législation en cours à la fin de l'année 2023)

Le 3 décembre 2023, le Parlement européen et le Conseil de l'UE sont parvenus à un accord d'aller de l'avant avec la Loi sur la cyber-résilience (CRA). Sous réserve de son adoption formelle par les mêmes organes, l'ARC entrera en vigueur 20 jours après sa publication au Journal officiel de l'Union européenne.

L'objectif de la CRA est d'établir des normes de sécurité communes pour les appareils et les services connectés, ce qui ferait de la CRA la première législation sur l'IdO au monde. L'objectif de la loi est de renforcer les règles de cybersécurité afin de garantir des produits matériels et logiciels plus sûrs, qui font de plus en plus l'objet de cyberattaques réussies. Il s'agit notamment d'un large éventail d'appareils mobiles et IoT, dont beaucoup exécutent des applications pour les rendre utiles. 

L'ARC vise à remédier à un faible niveau de cybersécurité, qui se traduit par des vulnérabilités généralisées et la fourniture insuffisante et incohérente de mises à jour de sécurité pour y remédier, ainsi qu'à une compréhension et un accès insuffisants à l'information par les utilisateurs, ce qui les empêche de choisir des produits présentant des propriétés de cybersécurité adéquates ou de les utiliser d'une manière sécurisée. 

Verimatrix assure la sécurité des applications mobiles et la cybersécurité des appareils connectés (généralement les appareils gérés par les employés), tout en défendant l'entreprise contre une myriade d'appareils non gérés alimentés par ces applications. Et maintenant, Verimatrix XTD (Extended Threat Defense) étend ces défenses aux nouveaux terminaux non gérés, en se protégeant contre les attaques des terminaux en empêchant les applications d'être militarisées. XTD permet des capacités de configuration qui n'autorisent que les applications ayant un score XTD à faible risque à se connecter, ajoutant ainsi un second facteur de sécurité indépendant.

Réglementation sur la confidentialité des données au niveau de l'État américain

Il n'existe pas de loi nationale sur la confidentialité des données aux États-Unis. Toutefois, plusieurs États ont adopté leurs propres réglementations imposant des obligations en matière de protection de la vie privée aux entités qui traitent les données des résidents de chaque État. Vous trouverez ci-dessous une liste des réglementations existantes dans les États :


Compte tenu des risques liés à l'utilisation généralisée des applications mobiles qui font désormais partie intégrante des modèles de prestation de services et d'activité des institutions financières, ces dernières ont besoin de solutions fiables, militairement solides mais simples à adopter, qui allègent le fardeau de la conformité afin qu'elles puissent se concentrer sur les questions commerciales prioritaires.

Protection contre les attaques de type "man-in-the-middle" (MITM)

Les technologies de protection des applications et le service de surveillance continue de Verimatrix permettent de protéger les informations et de réduire le risque de violation, en particulier les attaques de type "man-in-the-middle" (MITM). Les appareils sont un vecteur d'attaque vulnérable parce qu'ils communiquent avec des serveurs dorsaux, ce qui peut exposer l'opération à des attaques de type "man-in-the-middle". La protection de la communication entre le client et l'appareil est essentielle pour sauvegarder des données précieuses.

Les attaques de type "Man-in-the-middle" se produisent lorsque des pirates s'insèrent au milieu de la communication. Avec ces attaques, le client pense qu'il interagit directement avec le composant/service prévu, mais le pirate "au milieu" écoute ou modifie l'information à son profit. 

Pour une application bancaire mobile, le cryptage des communications est une combinaison de la sécurité de la couche transport (TLS) standard et de la sécurité de la couche application sur mesure. En analysant l'application, un pirate peut désosser le protocole et trouver les clés cryptographiques utilisées pour le sécuriser. Le protocole de communication est fondamental pour tout MFS. Si un pirate comprend le fonctionnement du protocole de communication, il peut découvrir et exploiter ses vulnérabilités. Le service de blindage et de surveillance de Verimatrix, ainsi que ses technologies anti-débogage, anti-sabotage et anti-crochet, réduisent considérablement les risques de ce type d'attaques.

Verimatrix fournit une sécurité complète par le biais de solutions multicouches qui offrent :

  • Obfuscation du code, anti-sabotage et anti-ingénierie inverse boucliers destinés à rendre difficile et peu attrayant le piratage d'une application
  • Analyse du comportement des applications en cours d'exécution pour détecter les activités anormales
  • Modèles d'apprentissage automatique pour identifier les modèles de menaces connues et de type "zero-day".


En outre, la surveillance continue des menaces liées aux applications est un élément essentiel de la protection, qui permet à une institution financière d'obtenir des informations importantes et de déployer efficacement des contre-mesures. La surveillance des menaces de Verimatrix comprend

  • Analyse en temps réel des magasins d'applications afin d'identifier les applications reconditionnées ou contenant des chevaux de Troie.
  • Contrôler les comptes des développeurs pour détecter les modifications non autorisées
  • Suivre les forums du dark web à la recherche d'outils et de méthodes d'attaque émergents
  • Mise à jour des bases de données d'adresses IP, de domaines et d'identifiants d'appareils malveillants connus
  • Identifier les schémas d'anomalies indiquant une violation


Les équipes de sécurité peuvent ainsi identifier les activités menaçantes, les appareils compromis et les utilisateurs à haut risque avant que des dommages importants ne se produisent. Les analyses issues de la surveillance des menaces renforcent également les modèles d'apprentissage automatique afin de mieux anticiper les attaques futures. Cliquez ici pour pour planifier une démonstration avec Verimatrix.