Evolve Bank : Un piratage entraîne une onde de choc au sein des startups fintech

Une nouvelle fait frémir le monde des startups fintech cette semaine. Evolve Bank and Trust, une institution financière particulièrement populaire auprès de ces jeunes pousses, a révélé avoir été la cible d'une cyberattaque. Cette intrusion malveillante aurait conduit au vol et à la diffusion sur le dark web de données sensibles appartenant aux clients de la banque, mais aussi potentiellement à ceux des nombreuses fintech partenaires.

Evolve Bank, pilier de l'écosystème fintech

Avant d'aller plus loin, il est important de comprendre le rôle central joué par Evolve Bank dans l'univers des startups fintech. Cette institution financière basée dans le Tennessee s'est en effet positionnée comme un partenaire de choix pour de nombreuses jeunes entreprises cherchant à proposer des services financiers innovants.

Grâce à son expertise et son ouverture aux nouvelles technologies, Evolve Bank permet à ces startups d'opérer dans un cadre réglementé, en s'appuyant sur sa licence bancaire. Un modèle win-win qui a séduit des acteurs majeurs comme Affirm, EarnIn, Mercury ou encore Marqeta.

Le groupe LockBit derrière l'attaque

D'après les premiers éléments communiqués par Evolve Bank, l'attaque serait l'œuvre du tristement célèbre groupe de ransomware LockBit. Ce collectif de cybercriminels a revendiqué le piratage sur son site hébergé sur le dark web, y publiant une partie des données dérobées.

Il semble que ces malfaiteurs aient diffusé illégalement des données obtenues, sur le dark web.

– Thomas Holmes, Directeur de la Communication d'Evolve Bank

L'onde de choc touche les startups partenaires

Si Evolve Bank est la première victime de cette cyberattaque, l'onde de choc se propage rapidement parmi ses nombreux partenaires fintech. En effet, la banque héberge et gère les données de nombreux clients pour le compte de ces startups.

Parmi les entreprises ayant réagi publiquement, on retrouve :

• Affirm, qui indique mener l'enquête et s'engage à contacter directement les clients potentiellement affectés.
• EarnIn, se disant au courant de l'incident et le surveillant de près.
• Marqeta, pour qui Evolve ne gère qu'une petite partie de l'activité, mais qui a tout de même notifié ses clients concernés.
• Mercury, révélant que certains numéros de compte, soldes, noms et emails de ses clients entreprises ont pu être exposés.

Vers une prise de conscience des risques ?

Cet incident majeur met en lumière les risques inhérents aux partenariats entre banques et fintech. Si ces alliances permettent d'accélérer l'innovation dans les services financiers, elles créent aussi de nouvelles vulnérabilités en termes de sécurité des données.

Les régulateurs l'ont d'ailleurs bien compris. Mi-juin, la Federal Reserve avait enjoint Evolve Bank à renforcer ses programmes de gestion des risques liés aux partenariats fintech. Une mise en garde visionnaire, à la lumière des récents événements.

Gageons que cette cyberattaque d'ampleur serve d'électrochoc à l'ensemble de l'écosystème. Banques comme fintech devront redoubler de vigilance et collaborer étroitement pour élever continuellement les standards de sécurité. Car c'est bien la confiance des clients et la crédibilité du secteur qui sont en jeu.