Imaginez un instant : vous êtes une startup fintech en plein essor, bénéficiant de l’appui d’une grande banque pour proposer des services financiers innovants. Soudain, vous apprenez que votre partenaire bancaire a été victime d’une cyberattaque majeure, exposant potentiellement les données de vos propres clients. C’est le cauchemar que vivent actuellement de nombreuses jeunes pousses suite à la faille de sécurité massive révélée par Evolve Bank & Trust, un établissement prisé du secteur.
Evolve Bank : une cible de choix pour les cybercriminels
Spécialisée dans les partenariats avec les fintechs, Evolve Bank permet à ces dernières de proposer des produits bancaires et de crédit à leurs clients sans détenir elles-mêmes de licence. Un modèle « Banking-as-a-Service » qui a séduit des acteurs comme Affirm, Mercury ou encore Melio. Mais cette position centrale fait aussi d’Evolve une cible de choix pour les hackers, comme l’illustre la récente attaque du gang de rançongiciel LockBit.
« Il semble que ces malfaiteurs aient publié des données obtenues illégalement sur le dark web »
Thomas Holmes, Directeur de la Communication d’Evolve Bank
Les startups partenaires retiennent leur souffle
Si Evolve reste pour l’instant avare en détails, ses clients fintech, eux, s’inquiètent des retombées. Affirm, un spécialiste du paiement fractionné, a prévenu ses utilisateurs d’une possible compromission de leurs données personnelles. La néobanque Mercury évoque des informations bancaires basiques dérobées. Quant aux autres (EarnIn, Marqeta, Melio…), c’est l’heure de l’évaluation des dégâts.
Au-delà de la fuite de données, un coup dur pour la confiance
Plus que le vol d’informations en lui-même, c’est la confiance des consommateurs et des partenaires commerciaux qui risque d’être durablement ébranlée. Dans un secteur aussi concurrentiel que la finance digitale, où la sécurité est un argument clé, ce type d’incident peut faire très mal. Les fintechs devront redoubler d’efforts en communication et mettre en avant leurs propres mesures de protection des données pour rassurer leur audience.
La gestion des risques « tiers » pointée du doigt
L’affaire Evolve Bank ne manquera pas non plus d’attirer l’attention des régulateurs. D’autant que l’établissement était déjà dans le viseur de la Fed pour ses lacunes en matière de gestion des risques liés à ses partenariats fintech. Un signal d’alarme pour toutes les jeunes pousses qui s’appuient fortement sur des services bancaires externalisés : la vigilance quant à la solidité de ces prestataires « tiers » n’est pas une option !
Selon la Fed, les examens menés en 2023 ont révélé qu’Evolve « s’est livré à des pratiques bancaires dangereuses et malsaines en n’ayant pas mis en place un cadre de gestion des risques efficace pour ses partenariats avec les sociétés de technologie financière ».
Renforcer la cybersécurité : un must pour les fintechs
Face à la multiplication des menaces cyber, les startups financières n’ont plus le choix : elles doivent muscler leur jeu en matière de sécurité informatique. Cela passe par des investissements dans des solutions de pointe (détection des fraudes, authentification forte…), mais aussi par une sensibilisation accrue des équipes et des clients aux bonnes pratiques. Sans oublier une collaboration étroite avec les partenaires bancaires pour auditer régulièrement les process communs.
- Mettre en place une stratégie de cybersécurité robuste et régulièrement actualisée
- Opter pour des fournisseurs de services bancaires réputés pour leur solidité sécuritaire
- Auditer fréquemment les systèmes et former les équipes aux enjeux de la protection des données
- Communiquer de manière transparente avec les clients en cas d’incident
Un électrochoc salutaire pour l’écosystème fintech ?
Bien qu’indéniablement dommageable à court terme, la mésaventure d’Evolve Bank pourrait finalement avoir un effet bénéfique pour l’industrie. En mettant en lumière les failles d’un système basé sur l’interconnexion de multiples acteurs, elle pousse chacun à revoir ses priorités en matière de cybersécurité et de conformité. Une prise de conscience nécessaire à l’heure où la finance digitale s’impose comme un rouage essentiel de notre économie.