Skip to content

EASM pour les banques et assurances : enjeux spécifiques et bonnes pratiques

Les banques et assurances font face à une double pression : exigences DORA, surveillance ACPR/BCE, et cybercriminels très motivés. L'EASM est devenu un outil stratégique pour le secteur financier. Voici pourquoi.

Karim Benali
Karim Benali
16 février 20257 min
EASM pour les banques et assurances : enjeux spécifiques et bonnes pratiques

EASM pour le secteur financier : enjeux et spécificités

Le secteur financier est en première ligne des cyberattaques. Les banques, assurances et sociétés de gestion gèrent des données extrêmement sensibles et des transactions critiques. En 2024, le secteur financier a subi 4x plus de cyberattaques que la moyenne tous secteurs confondus (IMF).

Les enjeux spécifiques du secteur financier

1. Réglementation intense

  • DORA (applicable depuis janvier 2025) : cartographie ICT, tests de résilience, gestion des tiers
  • ACPR : surveillance prudentielle des risques cyber pour les banques et assurances françaises
  • BCE : inspections cyber pour les banques importantes
  • PCI DSS v4 : pour toute organisation traitant des données de cartes bancaires
  • NIS2 : pour les entités essentielles du secteur

2. Surface d'attaque complexe

Une banque de taille intermédiaire expose typiquement :

  • Portail client (banque en ligne)
  • Application mobile (API backend)
  • Portail entreprise / BtoB
  • APIs partenaires (FinTech, open banking PSD2)
  • Infrastructure de paiement (3DS, terminal virtuel)
  • Portails RH et fournisseurs
  • Systèmes hérités connectés

3. Cibles très attractive

Les motivations des attaquants sont directement financières. Les groupes APT et les ransomwares ciblent le secteur en priorité pour :

  • Le vol de données clients (PII, compte bancaire)
  • L'accès aux systèmes de virement
  • L'extorsion par ransomware

Comment l'EASM répond aux enjeux du secteur

Enjeu spécifiqueRéponse EASM
Conformité DORACartographie ICT, rapports auditeurs
Risques API open bankingDétection APIs exposées, OWASP
Tiers nombreux (FinTech)Surveillance surface tiers
Legacy systèmes exposésDétection technologies obsolètes
Phishing ciblant les clientsSurveillance domaines typosquat
Tests TLPT (DORA)Scans pré-TLPT exhaustifs

Les bonnes pratiques EASM pour la finance

  1. Scans quotidiens sur les actifs critiques (portail client, APIs de paiement)
  2. Surveillance continue des APIs ouvertes dans le cadre PSD2/open banking
  3. Monitoring des domaines typosquat pour protéger les clients du phishing
  4. Intégration SIEM pour corréler les alertes EASM avec les logs de sécurité
  5. Rapports DORA-ready exportés trimestriellement pour les autorités

Conclusion

Le secteur financier a des exigences réglementaires et des risques spécifiques qui rendent l'EASM indispensable. En 2025, ne pas disposer d'une visibilité continue sur sa surface d'attaque externe n'est plus acceptable pour une institution financière.

Mots-clés : EASM banque assurance, cybersécurité secteur financier, DORA EASM banque, surface attaque banque, ACPR sécurité informatique banque

← Retour au blog