Plans de sortie cloud et risque de concentration : au-delà de la continuité, une exigence de crédibilité opérationnelle
De la disponibilité à la réversibilité Les établissements financiers ont largement intégré le cloud et les solutions SaaS dans leurs systèmes d’information. Ces environnements soutiennent désormais des fonctions critiques : authentification, relation client, analyse de données, conformité, détection fraude, supervision sécurité, messagerie, collaboration ou encore opérations métiers. Pendant longtemps, la résilience cloud a surtout été […]
Prestataires TIC critiques sous DORA : ce que change réellement l’oversight européen pour les établissements financiers
Depuis l’entrée en application de DORA en janvier 2025, la gestion des risques liés aux prestataires TIC n’est plus seulement un sujet de contractualisation ou d’audit fournisseur. Elle devient un enjeu de supervision européenne, en particulier lorsque certains fournisseurs sont considérés comme critiques pour le fonctionnement du secteur financier. Les Autorités européennes de supervision — […]
Authentification résistante au phishing : passkeys, FIDO et nouveaux standards pour les parcours financiers
Une évolution nécessaire des mécanismes d’authentification La montée des campagnes de phishing ciblées, des fraudes BEC et des attaques assistées par IA générative met sous pression les mécanismes d’authentification utilisés dans les services financiers. Les mots de passe, les codes OTP transmis par SMS ou les validations par notification peuvent être contournés dans certains scénarios […]
Assistants IA internes, prompt injection et shadow AI : nouveaux risques pour les banques et assurances
L’adoption des assistants IA internes s’accélère dans les banques et les assurances. Copilotes bureautiques, assistants documentaires, outils de synthèse d’incidents, moteurs de recherche augmentés ou agents métiers connectés à des bases internes : ces solutions deviennent progressivement des composants du poste de travail et des processus opérationnels. Le sujet n’est donc plus uniquement l’usage de […]
DORA TLPT et TIBER-EU : comment préparer des tests réalistes sans transformer l’exercice en audit de façade
La mise à jour du cadre TIBER-EU par la Banque centrale européenne en février 2025 a marqué une étape importante pour les établissements financiers européens. Le cadre a été aligné avec les exigences de DORA relatives aux Threat-Led Penetration Tests (TLPT), afin de proposer une méthode commune pour conduire des tests réalistes, contrôlés et comparables […]
Sécurité interbancaire et back-office : contrôles SWIFT, séparation des rôles et détection d’anomalies dans les opérations sensibles
Les systèmes interbancaires et les environnements back-office restent parmi les actifs les plus sensibles du secteur financier. Ils concentrent des fonctions critiques : validation des paiements, gestion des flux financiers, rapprochements comptables, messagerie interbancaire ou encore traitement des opérations de marché. Contrairement à certaines attaques opportunistes, les compromissions ciblant ces environnements visent directement les mécanismes […]
Supply chain logicielle : SBOM, sécurisation CI/CD, contrôle des dépendances et détection d’introduction malveillante
La sécurité des systèmes d’information bancaires et assurantiels ne se limite plus aux applications elles-mêmes. Elle dépend désormais de l’ensemble de la chaîne logicielle : bibliothèques open source, outils de build, pipelines CI/CD, registres de paquets et environnements d’exécution. Les incidents récents ont montré que des compromissions peuvent être introduites en amont du cycle de […]
Tests “Threat-Led” (TLPT) : cadrage, scénarios, critères de succès et exploitation des résultats
Table des matières Vers une approche orientée menaces dans la résilience cyber Les dispositifs de sécurité des institutions financières ont longtemps reposé sur des audits de conformité, des tests techniques ponctuels et des exercices de crise. Toutefois, ces approches montrent leurs limites face à des attaques de plus en plus ciblées, multi-étapes et adaptées aux […]
Passkeys dans les parcours financiers : bénéfices, limites et conditions de déploiement
Table des matières Un nouveau standard, mais pas une solution isolée Les passkeys s’imposent progressivement comme une évolution importante des mécanismes d’authentification. Portées par l’écosystème FIDO Alliance et les standards WebAuthn du W3C, elles permettent de réduire la dépendance aux mots de passe, aux codes recopiables et aux mécanismes d’authentification plus facilement exploitables dans des […]
Sécurité des assistants IA internes : prompt injection, data leakage, RAG et contrôle des accès
Table des matières L’intégration d’assistants IA internes — copilotes métiers, agents conversationnels, outils d’aide à la décision — s’accélère dans les banques et assurances. Ces systèmes, souvent connectés à des bases documentaires internes via des architectures de type RAG (Retrieval-Augmented Generation), offrent des gains de productivité significatifs. Mais cette évolution introduit une nouvelle surface d’attaque, […]