Blog

La meilleure sécurité côté client pour les institutions financières ?

Les cibles des États-nations telles que les institutions financières doivent s’associer à des fournisseurs qui comprennent les limites et s’efforcent d’obtenir une couverture aussi complète que possible. Découvrez pourquoi beaucoup choisissent le modèle multicouche de cside.

Dec 24, 2025 • 7 min read

Simon Wijckmans Founder & CEO

La meilleure sécurité côté client pour les institutions financières - image de bannière

TL;DR :

Compte tenu de la sensibilité à la conformité, les meilleurs fournisseurs pour les institutions financières doivent avoir les certifications SOC2 Type 2, PCI DSS SAQ-D et plus encore.
Les institutions financières sont des cibles pour les États-nations pour les mauvais acteurs. Par conséquent, les meilleurs fournisseurs de sécurité s’investissent pour être à la pointe des capacités techniques. Assez bien n’est pas assez bien. Un indicateur de la bonne attitude à l'égard de l'avant-garde est la contribution aux organismes de normalisation tels que le W3C, l'IETF et le TC39.
La sécurité est superposée : un fournisseur qui propose un modèle de sécurité multicouche aide les entreprises à rester en sécurité lorsque des acteurs malveillants tentent de contourner les couches de sécurité.
Conclusion : la meilleure solution pour les institutions financières est l’approche multicouche de cside.

Qu'est-ce que la sécurité côté client ?

La sécurité côté client consiste à protéger les dépendances JavaScript, les données utilisateur et les comportements qui s'exécutent dans le navigateur du visiteur.

Cela comprend :

Scripts propriétaires : fichiers JavaScript chargés à partir de votre propre domaine
Scripts tiers : outils d'analyse, publicités, chatbots, gestionnaires de balises, outils de test A/B
Scripts en ligne, contenu intégré comme des widgets et des SDK
Données traitées ou récupérées par le navigateur

Tout ce qui se passe après la réponse HTML initiale du serveur Web est une action côté client. Les attaquants utilisent de plus en plus le navigateur pour exécuter des actions malveillantes dans le but d'obtenir des informations sensibles précieuses. Lorsque les données sont récupérées à partir d'un domaine tiers, les scripts sont souvent utilisés différemment en fonction de l'adresse IP, des en-têtes de requête, de l'heure de la journée, de l'emplacement, etc.

Par exemple : un outil marketing collectera différentes données en Europe depuis les États-Unis pour le respect de la confidentialité des données.

L'utilisation d'une récupération côté client pour injecter une charge utile malveillante est une action courante, en particulier pour les cibles de grande valeur, car elle est beaucoup plus difficile à détecter et l'acteur malveillant peut passer longtemps sous le radar à moins qu'une solution de sécurité d'exécution côté client ne soit utilisée.

Pourquoi les institutions financières sont-elles classées parmi les cibles des États-nations ?

Certains mauvais acteurs ne cherchent pas seulement à gagner rapidement de l’argent. Ils peuvent être parrainés par l’État et incités à faire des ravages. Déstabiliser les services essentiels nécessaires au fonctionnement des économies.

Les institutions financières constituent une cible privilégiée et leur taille et leur exposition entraînent des risques supplémentaires et donc des opportunités pour les mauvais acteurs. Lorsque les banques s’effondrent, l’économie aussi.

Les institutions financières appartiennent au même domaine que les environnements informatiques gouvernementaux, les prestataires de soins de santé à grande échelle et les infrastructures critiques telles que les transports publics et les fournisseurs d'énergie.

Pour renforcer leur crédibilité dans le secteur financier, les marques passent par un processus pluriannuel important visant à gagner la confiance des clients de différents types. Cela s’accompagne d’une dette technique importante due aux applications héritées.

Une infrastructure vaste et existante augmente la surface d'attaque

Ce n’est un secret pour personne : de nombreuses grandes institutions financières fonctionnent encore avec COBOL. Un document de recherche » par un membre du personnel technique de PayPal expose le problème très clairement : « L’infrastructure bancaire traditionnelle est souvent obsolète et a du mal à répondre à la demande croissante de services numériques transparents et en temps réel. »

Cela signifie que les applications Web existantes sont souvent superposées à des technologies plus modernes augmentant la surface d'attaque afin d'offrir de nouvelles expériences utilisateur. En exploitant des back-ends vulnérables pour injecter des scripts côté client ou en ciblant des dépendances héritées pour infiltrer la chaîne d’approvisionnement, les mauvais acteurs peuvent causer de graves dommages aux économies mondiales.

Les attaques côté client ciblent des actifs spécifiques

Les attaques côté client contre les institutions financières ciblent généralement :

Identifiants d'utilisateur et jetons de session pour accéder aux comptes
Informations sur la carte de paiement
Relevés bancaires et informations d'identité sensibles

Exigences réglementaires et de conformité strictes

Les institutions financières sont soumises à une liste importante de cadres de conformité pour fonctionner, leur licence bancaire dépend de leur conformité. Cela va du respect de PCI DSS, DORA, des lois locales sur la confidentialité comme CCPA ou GDPR et en signe de confiance mais souvent une exigence pour les clients professionnels : SOC2 Type 2, ISO 27001…

Quelle approche convient le mieux aux institutions financières ?

Compte tenu de la gravité de la cible, il y a peu de place à l’erreur. Une bonne solution doit donc être adaptée à l’application comme un gant.

Une approche par couches est donc idéale. Surtout si la solution en question est personnalisable et crée de la transparence et du contrôle là où il manquait auparavant.

C'est pourquoi nous avons construit cside comme une plateforme exploitant toutes les différentes couches disponibles à ce jour.

cside propose deux méthodes de déploiement complémentaires, associées à plusieurs moteurs de détection, dont des grands modèles de langage open source pour l'analyse.

Méthode Script (la plus simple) : nous vérifions le comportement des scripts dans le navigateur et récupérons les scripts de notre côté, puis nous vérifions qu'il s'agit bien du même script. Nous ne nous plaçons pas dans le chemin d'un script sauf si vous nous le demandez explicitement. Facile à implémenter, sans impact sur les performances, et vous pouvez toujours stopper des actions de script ou bloquer par URL, hash ou domaine.
Méthode Scan (la plus rapide) : si vous ne pouvez pas ajouter de script à votre site, cside l'analyse en s'appuyant sur des renseignements de menaces collectés sur des milliers d'autres sites web cumulant des milliards de visites. Rapide à mettre en place et utile lorsque l'installation d'un script n'est pas possible.

Nous proposons également un endpoint Content Security Policy afin que les clients puissent superposer l'application native du navigateur à la détection JavaScript de cside.

La sécurité nécessite un modèle multicouche

La plupart des outils de sécurité s'appuient sur une seule des couches mentionnées ci-dessus, soit lors de l'exécution, soit en dehors de l'analyse. Mais le problème est qu’aucune de ces couches, à elle seule, n’est totalement à l’épreuve des balles et ne parvient donc pas à fournir une couverture complète. En combinant les moteurs, vous vous rapprochez de plus en plus d’une couverture complète.

De nombreuses solutions sur le marché sont des fonctionnalités secondaires des grandes sociétés de sécurité Web. Au lieu de créer une plate-forme pour la sécurité côté client, ils ont créé une petite fonctionnalité secondaire. Ces solutions sont limitées par l'orientation de l'entreprise. Souvent, le côté client est un domaine dans lequel ils ne sont pas disposés à investir des ressources substantielles et comptent donc uniquement sur l'injection de politiques de sécurité du contenu dans le site Web via leur WAF.

Certaines solutions ne sont en fait que des scanners. Les mauvais acteurs voient les scanners et ne diffusent pas les scripts malveillants à leur moment précis de vérification. Compte tenu de la valeur de la cible, cette approche est inefficace.

À des fins de conformité, il est pratique que la solution propose des tableaux de bord spécifiquement adaptés à chaque cadre. Les frameworks sont livrés avec une gamme de contrôles uniques et la collecte manuelle de ces données est une corvée continue et pénible.

Certaines approches, comme les solutions basées sur des scanners, se sont avérées généralement contournées par les mauvais acteurs. Ils détectent le scanner et transmettent un contenu propre au scanner pour qu'il vole sous le radar. Des chercheurs à ISACA, Université de Brighton, Google et Oracle ont signalé que les scripts dynamiques côté client contournent efficacement l'analyse statique par les scanners.

cside cherche toujours à étendre ses capacités et encourage activement un certain nombre de nouvelles normes qui permettraient une sécurité renforcée côté client à l'aide des fonctionnalités natives du navigateur.

L'équipe cside contribue activement à des organismes de normalisation tels que le W3C, l'IETF et le TC39.

Prêt à essayer cside ? Commencez gratuitement ou réservez une démo pour discuter avec notre équipe.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Une approche dans laquelle une approche à plusieurs niveaux est adoptée. 1. Surveillance d'exécution à l'aide d'un script 2. Contrôles extérieurs 3. CSP comme solution de repli supplémentaire Une solution axée sur la qualité de la sécurité plutôt que sur la conformité ou la commodité des cases à cocher. Utiliser un fournisseur comme cside qui a ses exigences de conformité en ordre. cside correspond à cette liste comme aucun autre.

L’économie est l’épine dorsale d’une société qui fonctionne. Les attaquants parrainés par l’État ont identifié les institutions financières comme des cibles privilégiées pour maximiser leur impact, faire des ravages et déstabiliser les économies et, par conséquent, la démocratie. Les systèmes qui alimentent l’économie sont aussi essentiels que les infrastructures critiques.

L’exposition uniquement pendant l’exécution est facile à contourner en raison de l’exposition des détections.

Les scanners sans agent reçoivent ce que le mauvais acteur veut montrer. Les attaquants détectent les scanners et choisissent ce qu'ils veulent servir, ce qui est peu susceptible d'être le script malveillant.

Les politiques de sécurité du contenu (CSP) sont difficiles à maintenir et agissent comme une liste verte de sources, et non comme un mécanisme de sécurité au niveau de la charge utile ou des actions.

Les institutions financières attirent de mauvais acteurs qui analysent activement les mécanismes de protection pour les contourner. Il ne s’agit pas d’attaques par pulvérisation et prière, la superposition est donc nécessaire pour se rapprocher le plus techniquement possible d’une couverture complète, même si les navigateurs ne fournissent pas nativement une solution de bout en bout.

Vol d’identifiants.

Détournement de session.

Exfiltration des données de paiement.

Injection de scripts dans la chaîne d'approvisionnement.

Chacun visant à exposer volumétriquement de grandes quantités de données clients afin de maximiser le chaos et les gains financiers.

Les mauvais acteurs détectent le scanner et diffusent un script inoffensif, tandis que d'autres, dans des circonstances spécifiques, reçoivent le script malveillant.

En remplissant un tableau de bord intéressant avec des mesures obtenues par scanner, un faux sentiment de sécurité est créé. Les actions dont vous devez vous soucier n’apparaîtront pas dans ces outils.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Comment Bloquer OpenAI Operator sur Votre Site Web

OpenAI Operator navigue votre site comme un utilisateur réel. Apprenez à le détecter via les signaux navigateur et quand ne pas le bloquer.

DBSC face à l'empreinte d'appareil : ce que la sécurité de session de Chrome ne couvre pas

Le DBSC de Chrome bloque le rejeu de cookies volés, mais reste limité à Chrome, post-connexion et sans identité d'appareil. Voici la fraude qu'il laisse.

Détecter et bloquer Perplexity Shopper sur votre site web — blog cside

Comment bloquer Perplexity Shopper sur votre site web

Perplexity Shopper navigue et achète sur les sites e-commerce au nom des utilisateurs Pro. Apprenez à détecter ses signaux et à gouverner ce trafic.

Illustration d'une requête à l'API Claude et d'une réponse renvoyée appartenant à un autre utilisateur, marquée « la réponse ne correspond pas à la requête », entre les logos d'Anthropic et de cside

Quand une API d'IA renvoie la réponse d'un autre utilisateur : caches partagés et fuites entre clients

Un incident de l'API Claude semble avoir renvoyé les réponses d'autres utilisateurs. Pourquoi les caches partagés provoquent des fuites entre clients.

Un jeton d'accès OAuth 2.0 au centre d'un schéma reliant un appareil légitime à l'appareil d'un attaquant

Ce n'est pas la MFA qui a échoué, mais le modèle de confiance : phishing par code d'appareil et vol de jetons OAuth (Kali365)

Kali365 détourne l'octroi d'autorisation d'appareil d'OAuth 2.0 pour voler des jetons Microsoft 365 après la MFA. Décryptage technique du flux, de FOCI et de la détection.

Une fenêtre de navigateur se dissolvant en un flux de particules de lumière bleue sur fond sombre

L'IA comprime le cycle d'exploitation : le zero-day développé par l'IA de Google et ce que cela signifie pour les navigateurs

Google a signalé un zero-day qu'il pense développé par l'IA. Le vrai changement n'est pas un meilleur phishing, mais la vitesse vers le navigateur.

Jetons de session traversant une frontière de sécurité du navigateur vers des signaux d'empreinte du terminal

La session navigateur est devenue un plan de contrôle de sécurité. Les attaquants le savaient depuis des années.

La proposition DBSC de Google confirme un virage clair : les sessions navigateur doivent valider le terminal après la connexion.

Meilleures solutions de prévention de la prise de contrôle de compte comparées (2026)

Suites anti-fraude, fingerprinting et MFA comparés par couverture de la chaîne d'attaque ATO. Trouvez la bonne combinaison pour votre profil de risque.

Comment empêcher les agents IA de créer de faux comptes (guide)

Les agents IA créent de faux comptes avec des navigateurs réels, des IP résidentielles et des identités générées. Voici les signaux pour les arrêter.

Comment bloquer les bots de scraping de contenu basés sur des agents IA (Guide)

Les bots de scraping IA utilisent de vrais navigateurs, des IP résidentielles et des LLM pour voler vos données. Voici comment les arrêter.