EASM pour les banques et assurances : enjeux spécifiques et bonnes pratiques
Le secteur financier est, chaque année, la cible #1 des cyberattaques mondiales. Avec l'entrée en application de DORA en janvier 2025 et les exigences croissantes de la BCE, de l'ACPR et de l'AMF, les établissements financiers font face à un double défi : protéger une surface d'attaque en expansion constante tout en démontrant leur conformité réglementaire.
La surface d'attaque spécifique du secteur financier
Portefeuille d'actifs complexe
Une banque de taille moyenne expose typiquement :
- 200-800 sous-domaines (portails clients, espaces conseiller, API de paiement, sites agences)
- 50-200 APIs (open banking, PSD2, partenaires fintech)
- Multiples systèmes légacy souvent exposés via des middlware
- Présence internationale avec des actifs dans plusieurs pays/juridictions
Les vecteurs d'attaque privilégiés dans la finance
| Vecteur | Fréquence | Exemple 2024 |
|---|---|---|
| Phishing ciblé (directeurs, conseillers) | 38% | Campagnes BEC contre SWIFT |
| Exploitation APIs open banking | 22% | Accès non autorisé aux données clients |
| Ransomware via accès distant | 19% | Lockbit contre banques régionales |
| Supply chain (fournisseurs IT) | 15% | Attaque logiciels de gestion |
| Cryptojacking cloud | 6% | Instances non protégées |
Les enjeux EASM spécifiques
1. Couverture de l'écosystème fintech
Les banques modernes intègrent des dizaines de fintechs via des APIs. Chaque intégration crée un nouveau vecteur d'attaque. L'EASM doit couvrir non seulement l'infrastructure propre, mais aussi les points d'intégration avec les partenaires.
2. Open Banking et PSD2
Les APIs PSD2 sont exposées publiquement par obligation réglementaire. Leur sécurisation et surveillance continues sont critiques.
3. Gestion des filiales et des marques
Les groupes bancaires possèdent de nombreuses filiales, marques et entités légales. Chacune a sa propre surface d'attaque. L'EASM doit offrir une vue consolidée groupe.
4. Conformité DORA en temps réel
DORA exige une notification d'incident en 4 heures. L'EASM permet de détecter les expositions avant qu'elles ne deviennent des incidents.
Bonnes pratiques sectorielles
Gouvernance
- Désigner un responsable EASM rattaché au RSSI
- Intégrer les rapports EASM dans le reporting COMEX mensuel
- Aligner la nomenclature des actifs EASM avec la classification DORA
Configuration des scans
- Scan quotidien des actifs critiques (portails clients, APIs de paiement)
- Scan hebdomadaire de l'ensemble de la surface
- Alertes immédiates P1 pour toute nouvelle exposition des APIs SWIFT, SEPA, open banking
Gestion des tiers
- Scanner la surface d'attaque de tous les fournisseurs ICT critiques (cloud, logiciels core banking, SWIFT service bureau)
- Rapport mensuel de posture des tiers pour le comité des risques
Intégration SOC
- Connecter l'EASM au SIEM pour corréler les alertes externes avec les événements internes
- Créer des playbooks spécifiques pour les expositions critiques (API open banking, acces VPN)
KPIs EASM recommandés pour un établissement financier
| KPI | Objectif | Fréquence |
|---|---|---|
| Nombre d'actifs exposés critiques | < 5 vuln. P1 à tout moment | Quotidien |
| Temps moyen de patch P1 | < 24h | Mensuel |
| Temps moyen de patch P2 | < 7 jours | Mensuel |
| Score de posture fournisseurs | > 80/100 pour critiques | Mensuel |
| Couverture surface d'attaque | > 95% actifs connus | Trimestriel |