En avril 2019, Online Trust Alliance, une intiative d’Internet Society, a publié son 10e Tableau d’honneur et de l’Audit de confiance en ligne, qui évalue la sécurité et la confidentialité de 1 200 organisations de premier plan. Le secteur bancaire comprend les 100 plus grandes banques des États-Unis en termes d’actifs et selon les données de la Federal Deposit Insurance Corporation (FDIC). Les banques ont connu une année exceptionnelle, caractérisée par l’amélioration spectaculaire des notes dans l’ensemble. Jetons-y un coup d’œil.
Globalement, 73 % des banques font partie du tableau d’honneur, ce qui place le secteur bancaire au 4ème rang derrière les secteurs de l’information et des médias (78 %), des services à la consommation (85 %) et l’administration fédérale américaine (91 %). Dans l’audit précédent, seules 27 % d’entre elles avaient eu une note satisfaisante. Cette importante embellie est due aux améliorations apportées aux trois catégories de notation : authentification de courrier électronique, sécurité en ligne et protection de la vie privée.
Courriel électronique
Les banques, comme la plupart des secteurs, ont adopté dans leur quasi-totalité les principales technologies de sécurité pour courrier électronique présentées dans l’audit : SPF (93 %) et DKIM (87 %). D’autres parts, les banques ont constaté une nette amélioration du nombre de sites utilisant ces deux technologies, passant ainsi de 60 % en 2017 à 87 % en 2018. Ce qui place les banques parmi les secteurs les plus avancés dans ce domaine.
Le DMARC s’appuie sur les résultats des protocoles SPF et DKIM, fournit un moyen de générer des rapports et donne une visibilité accrue aux destinataires sur la manière de traiter les messages qui échappent à l’authentification. Les banques ont parfaitement assuré la transition vers le DMARC, enregistrant le deuxième taux d’adoption le plus élevé (70 %) comparé à tous les autres secteurs d’activité, juste derrière l’administration fédérale américaine (93 %).
Sécurité en ligne
Certes, les banques ont enregistré des résultats satisfaisants en ce qui concerne la sécurité globale en ligne (notamment grâce à la faible occurrence du script intersites), mais il reste encore des choses à améliorer. Elles ont enregistré le taux le plus élevé de programmes malveillants en ligne (10 %, contre une moyenne globale de 2 %). Leurs taux d’adoption du mécanisme de signalement de la vulnérabilité est également le plus bas (avec 6 % par rapport à une moyenne globale de 11 %). 11%). Les récentes et graves atteintes à la protection des données prouvent qu’il est particulièrement important de fournir aux chercheurs en sécurité le moyen de signaler efficacement les failles sur les sites Internet.
Protection de la vie privée
Comme dans la plupart des secteurs, les banques ne se sont pas faites remarquer dans le domaine de la protection de la vie privée. L’audit vérifie le respect de la confidentialité de deux manières : en étudiant le nombre de suiveurs sur un site et en analysant la déclaration de confidentialité du site. Pour ce qui de l’utilisation des traqueurs, les banques ont donné satisfaction en obtenant les meilleures notes, soit 44 points sur 45 points disponibles. (La note est calculée à l’aide d’un logiciel accessible au public, qui permet d’analyser le nombre de traqueurs utilisés par chaque site. Moins le site a de mauvais traqueurs et plus le score est élevé.) Malgré une nette amélioration par rapport à l’audit précédent, les banques sont à la traîne, comme la plupart des sites, pour ce qui est des déclarations relatives au respect de la vie privée. Les banques ont reçu une note de seulement 25 sur 55 pour leur gestion des déclarations de confidentialité, se retrouvant ainsi au bas du classement dans cette catégorie.
Les résultats négatifs sont dus à l’absence de mentions sur le partage et la rétention des données. Seules 22 % des banques ont fait allusion au partage des données, ce qui est inférieur à la moyenne globale dans tous les secteurs. Bien que la plupart des sites ont mentionné la conservation des données de manière superficielle, les sites des banques sont ceux qui se sont faits remarquer négativement à ce niveau. Aucune banque n’a fait allusion à la conservation des données de manière satisfaisante dans sa déclaration de confidentialité. Compte tenu de la sensibilité des données dont disposent les banques, il est important que les informations concernant la conservation des données soient explicitement présentées.
En savoir plus
Quels seraient les résultats de votre organisation lors d’un tel audit ? Consultez l’Annexe E – Liste de contrôle des meilleures pratiques – pour voir à quel niveau vous vous situez et utilisez-la pour améliorer la sécurité et la confidentialité de votre site. Ensuite, lisez le rapport, consultez l’infographie ou regardez la vidéo de récapitulation pour en savoir plus !