Pour en savoir plus sur les détails de la réglementation, vous pouvez consulter cet article : Que signifie DORA pour la résilience des organisations financières ?

Le 17 janvier 2025, échéance clé, marque la date théorique de mise en conformité des entités financières. Elle annonce également le début des opérations de contrôle par les autorités de tutelle.

Dans ce contexte, Damien LACHIVER et Etienne BOUET, Senior Managers chez Wavestone et experts en mise en conformité DORA, forts de nombreux projets d’accompagnement auprès d’entités du CAC40, partagent leur vision des enjeux pratiques et des opportunités liés à cette réglementation, ainsi que les attentes des régulateurs et les actions essentielles pour s’y préparer efficacement.

En quoi la réglementation DORA ne se limite-t-elle pas à une simple conformité réglementaire ?

E.BOUET : DORA ne doit pas être perçue uniquement comme une question de conformité à un texte. Certes, il y a des exigences réglementaires à respecter, mais le véritable enjeu réside dans la résilience. La question à se poser est : comment la conformité à DORA peut-elle concrètement améliorer la résilience opérationnelle ? Ce lien n’est pas toujours évident. Par exemple, les analyses d’écart ou les audits en cybersécurité montrent qu’il existe encore des failles, et qu’être conforme ne suffit pas si cela ne s’accompagne pas d’une réelle optimisation de la résilience.

D.LACHIVER : Beaucoup d’entités restent encore dans une logique de conformité, car les attentes de DORA concernent des domaines déjà bien établis, comme la cybersécurité, la continuité d’activité et la gestion des risques IT. Les grandes structures, en particulier, bénéficient déjà d’un taux de conformité élevé grâce à des décennies d’expérience.

Cependant, après cette phase de conformité, il est crucial de se tourner vers la remédiation et l’anticipation, avec la mise en œuvre de chantiers qui ne seront pas fondamentalement différents des programmes historiques déjà été initiés. La vraie perspective est de se demander quels nouveaux scénarios ou solutions peuvent renforcer la résilience.

Quels sont les scénarios critiques à intégrer pour améliorer la résilience ?

D.LACHIVER : Deux scénarios majeurs nécessitent une attention particulière et des investissements :

– La perte totale de l’IT interne : comment rétablir et reconstruire entièrement les systèmes d’information après une cyberattaque de grande ampleur ?

– La perte soudaine d’un tiers critique : que se passe-t-il si je perds un partenaire/prestataire dont l’interruption d’activité impacte structurellement mon activité ?

E.BOUET : La dépendance croissante aux tiers n’a pas encore été pleinement reconnue comme un risque majeur. Les scénarios associés ne sont pas suffisamment intégrés dans les priorités stratégiques, ce qui entraîne un manque d’investissements pour s’y préparer.

Les entités du secteur financier seront-elles prêtes pour le 17 janvier 2025 ?

E.BOUET : Il est peu probable que toutes les entreprises soient totalement prêtes d’ici janvier. Le marché, dans son ensemble, accuse un certain retard, bien que des progrès significatifs aient été réalisés. Notamment, les documents normatifs nécessaires à la conformité sont en grande partie finalisés, et les priorités ont été alignées avec les risques.

D.LACHIVER : En effet, la date du 17 janvier 2025 marquera davantage une étape qu’une finalité. La plupart des chantiers opérationnels, comme la gestion des tiers, restent encore à adresser et nécessiteront un effort continu.

Quels sont les principaux défis que pose la mise en œuvre de DORA ?

E.BOUET : Initialement, les défis consistaient à mobiliser une grande diversité d’acteurs : cybersécurité, gestion des risques, achats, juridique, métiers, IT… Les sujets abordés par DORA étaient déjà connus de ces filières, mais la réglementation vient renforcer les attentes et ajouter des exigences supplémentaires à des responsabilités déjà bien établies.

D.LACHIVER : Historiquement, ces sujets ont souvent été traités de manière fragmentée, en silos. Mais DORA exige de cranter de véritables progrès en termes de résilience, ce qui nécessite une approche plus cohérente et intégrée. Aujourd’hui, les deux grands chantiers qui se démarquent sont :

• La gestion des tiers, qui représente un défi colossal.
• La mise en place des TLPT (« Threat-Led Penetration Testing »), une nouveauté ambitieuse mais complexe.

Pourquoi la gestion des tiers est-elle un défi si important ?

E.BOUET : La gestion des tiers (TPRM ou « Third Party Risk Management ») est l’un des défis majeurs de DORA. Les tiers sont omniprésents, mais souvent mal maîtrisés. On ne sait pas toujours dire s’ils sont critiques ou non, et les relations manquent souvent de structure. Maîtriser sa dépendance aux tiers critiques, c’est du bon sens, mais cela va bien au-delà de la contractualisation : il faut connaître ses tiers, évaluer leur criticité et gérer cette dépendance de manière opérationnelle, ce qui reste un défi pour beaucoup.

D.LACHIVER : Historiquement, c’est un sujet souvent négligé, traité en silos entre les achats, la cybersécurité, la continuité, etc. Il manque une vision globale des risques liés aux tiers. L’objectif de DORA est justement de dépasser cette approche fragmentée pour bâtir une gestion cohérente et complète tout au long du cycle de vie des contrats.

Que signifie « tester les stratégies de sortie » avec les tiers critiques ?

D.LACHIVER : Tester les stratégies de sortie revient à anticiper ce qu’une entité ferait en cas d’interruption de la prestation d’un tiers, qu’elle soit volontaire ou subie. Par exemple, dans le cas d’une cyberattaque chez un prestataire, il peut être nécessaire de rompre la relation pour protéger son propre système d’information.

E.BOUET : Les tests sur table permettent d’évaluer la dépendance envers les tiers et de simuler, de manière théorique, les procédures à suivre face à différents scénarios. Ils encouragent également les entités à repenser leurs relations avec certains prestataires, notamment ceux qui ne sont pas capables de s’aligner sur les exigences de DORA.

En quoi le TLPT (Threat-Led Penetration Testing) représente-t-il un défi spécifique ?

D.LACHIVER : Le TLPT est l’une des grandes nouveautés introduites par DORA. Il consiste en des tests de pénétration dirigés par la menace, portés par le texte, le Framework théorique TIBER, et déclinés par les autorités nationales. Bien que le cadre théorique soit clair, la mise en pratique reste un défi, car ces tests ne sont pas courants dans le secteur financier. Leur volume limité (un test tous les trois ans) et les moyens du régulateur permettent de relativiser leur urgence, bien qu’ils soient essentiels pour renforcer la résilience.

E.BOUET : Ces tests soulèvent encore de nombreuses questions, car ils imposent une approche inédite pour certains acteurs, souvent moins matures sur ce type d’exercice. Aujourd’hui, nous sommes dans une phase d’attente, avec quelques initiatives de tests à blanc. La mise en œuvre réelle dépendra de la planification du régulateur et des retours d’expérience qui émergeront lorsque les TLPT seront pleinement exécutés dans les mois à venir.

Comment DORA peut-elle transformer la gouvernance des risques IT ?

D.LACHIVER : DORA pousse à une approche unifiée des risques IT en brisant les silos entre les différentes filières, comme la cybersécurité, la continuité d’activité, ou les achats. Cela passe notamment par :

– L’harmonisation des terminologies et notions clés (par exemple, la notion de criticité doit être comprise de manière cohérente entre toutes les filières) pour optimiser et simplifier les discussions avec les métiers.

– Une évolution structurelle (comme le modèle CSO – Chief Security Officer) qui favoriserait une gouvernance commune des filières, permettant une prise de décision plus efficace et cohérente.

Quelles sont les exigences concrètes pour être conforme à DORA au 17 janvier 2025 et au-delà ?

E.BOUET : La première grande attente pour le 17 janvier est la capacité à identifier un incident majeur selon les critères de DORA et à le notifier au régulateur. Cela nécessite des processus opérationnels bien définis pour assurer une détection et une remontée d’informations rapides et efficaces. Cette exigence est légitime, compte tenu de l’historique des filières IT et sécurité dans un secteur habitué à gérer des incidents critiques.

D.LACHIVER : Ensuite, pour le 30 avril 2025, les entités financières devront produire un registre d’informations sur leurs tiers. Je pense que les organisations seront en mesure de fournir un registre à cette date. Cependant, cela nécessitera probablement un travail supplémentaire pour en améliorer la qualité et la complétude.

E.BOUET : Enfin, sur l’ensemble de l’année 2025, ce qui compte, c’est de prouver que les entités sont en mouvement. Les régulateurs attendent que les chantiers soient lancés, que les écarts identifiés soient progressivement corrigés, et que des avancées concrètes soient réalisées. Ce qui importe, c’est d’avoir une trajectoire claire et structurée pour répondre aux attentes de DORA.

Quels sont les gains à long terme attendus avec DORA ?

D.LACHIVER : DORA pourrait créer un cercle vertueux en renforçant la maîtrise des risques, la vision métier et la résilience opérationnelle du secteur. Elle incite les entités à aller au-delà de la conformité et à intégrer ces enjeux dans leur stratégie globale.

E.BOUET : Un des points clés est la responsabilité réaffirmée des organes de direction. Leur implication, notamment par la validation régulière des risques, renforce la prise de conscience globale et les investissements nécessaires pour améliorer la résilience.

D.LACHIVER : Cette relation entre les équipes opérationnelles et la direction aligne les priorités stratégiques et opérationnelles, ce qui favorise une dynamique d’amélioration continue. Cela donne également plus de poids aux équipes en charge des risques IT et soutient la transformation des organisations vers une meilleure résilience numérique.

Pour tout besoin d’accompagnement dans votre démarche de mise en conformité DORA, vous pouvez contacter :

• damien.lachiver@wavestone.com
• etienne.bouet@wavestone.com

Vous pouvez également consulter cet article pour en savoir plus sur les défis que pose DORA à l’approche de son entrée en application : DORA : À moins de 2 mois de l’échéance, quels défis restent à relever pour les entités financières ?

Cet article DORA – Les enjeux de la résilience numérique du secteur financier à l’horizon 2025 est apparu en premier sur RiskInsight.

L’Union Européenne a publié le règlement « Digital Operational Resilience Act », ou « DORA », le 27 décembre 2022, qui est entré en vigueur le 16 janvier 2023. Il fixe de nouvelles règles pour les entités financières et leurs prestataires de services TIC en termes de résilience des TIC.
La conformité au texte sera obligatoire à partir du 17 janvier 2025.

DORA vise à simplifier et à améliorer la résilience des organisations des services financiers en établissant un cadre réglementaire et un cadre de supervision robustes. Comme nous l’avons déjà expliqué en détails dans notre article « Décryptage de DORA : qu’est-ce que cela signifie pour la résilience des organisations financières ? », la réglementation introduit des exigences à travers cinq piliers :

• Gestion du risque lié aux TIC
• Gestion, classification et notification des incidents liés aux TIC
• Tests de résilience opérationnelle numérique
• Gestion des risques liés aux prestataires tiers de services TIC
• Dispositifs de partage d’informations (facultatif)

Principaux sujets et articles DORA s’appliquant aux entités financières(références des articles entre parenthèses)

En analysant le contenu du règlement et en tenant compte de la maturité actuelle du secteur financier, la complexité diffère largement en fonction du sujet abordé. Dans la mesure où l’adoption de framework de gestion des risques TIC constitue déjà une bonne pratique largement répandue dans le secteur financier, l’effort portera principalement sur une mise en cohérence de l’existant au sein de l’organisation. De même, les processus et outils de gestion des incidents liés aux TIC ont déjà eu à intégrer des contraintes réglementaires de classification et de notification. Par conséquent, l’intégration des exigences de DORA ne devrait pas présenter de difficultés majeures.

Néanmoins, le respect des exigences de mise en conformité aura toujours ses défis… et ses opportunités !

Un règlement ambitieux qui pointe des fragilités connues

Pour de nombreuses organisations, le premier défi consistera à embarquer le top management dans l’initiative. Comme DORA les désigne comme responsables du suivi, de l’approbation, de la révision et de fixer le cap en termes de résilience opérationnelle, leur implication est essentielle à la réussite d’un éventuel programme. Les embarquer dès les prémices permettra de gagner un temps précieux dans l’identification et la validation des fonctions critiques, de prioriser les principaux scénarios de menace et de donner le rythme sur le sujet. En contrepartie, cela demandera aux équipes en charge de réfléchir soigneusement aux indicateurs de performance (KPI) et aux indicateurs de risque (KRI) appropriés et compréhensibles qui permettront de rendre compte du niveau de résilience opérationnelle de l’organisation. Autant que possible, donnez-leur rapidement un aperçu du contenu de la réglementation et de leur rôle dans ce cadre !

Le deuxième défi sera de passer un cap en termes de gestion des risques liés aux tiers. Les grandes organisations ont souvent des centaines, voire des milliers de parties prenantes, ce qui implique un tri fastidieux pour se concentrer sur les plus critiques. La gestion du risque de résilience opérationnelle des tiers repose aujourd’hui principalement sur l’intégration d’étapes dans les processus d’achat et, finalement, sur l’inclusion de clauses spécifiques dans les contrats. DORA demande beaucoup plus sur le sujet, la responsabilité incombant aux services financiers de s’assurer de la conformité des tiers à ces exigences. Elle exige également de travailler sur des stratégies de sortie potentielles et des tests conjoints. Cette ambition pourrait impacter la manière même de travailler avec ses fournisseurs à l’avenir et devrait être anticipée par les tiers concernés qui vont devoir être en mesure de fournir des preuves de leur bonne gestion du risque de résilience opérationnelle.

Enfin, les tests sont un point crucial et un challenge au sein de DORA. Les organisations devront structurer et tester régulièrement leur résilience pour évaluer en permanence leurs risques et la pertinence de leur stratégie de résilience. Cela nécessite d’acquérir une vision stratégique du sujet qui préexiste rarement dans la mesure où les tests sont souvent gérés en silos (tests de vulnérabilité, tests de pénétration, tests de continuité d’activité…). L’approche adoptée devra également garantir la bonne couverture des fonctions critiques de l’organisation au fil des ans. Les organisations devront par ailleurs mener des tests de pénétration fondés sur la menace et effectués sur des systèmes en environnement de production en direct au moins tous les trois ans, en incluant éventuellement des prestataires de services TIC.

Relever ces défis ne sera pas de tout repos. C’est pourquoi il est essentiel d’enclencher les travaux dès maintenant, car ils exigeront de véritables changements pour les organisations concernées. De toute évidence, une analyse d’écarts aux exigences réglementaires détaillée est un bon point de départ.

La résilience d’abord, la conformité ensuite ?

Il est clair qu’une réglementation telle que la DORA offre des opportunités à ceux qui tenteront de voir au-delà des contraintes de conformité.

En premier lieu, le règlement introduit une approche holistique de la gestion des risques liés aux TIC qui pourrait apporter plus de cohérence au sein des organisations. Cela pourrait constituer une première étape dans la mise en place d’un cadre unifié de gestion des risques liés aux TIC, permettant une meilleure évaluation des risques et simplifiant le reporting à la direction générale. Cela pourrait également lancer l’idée d’une gouvernance convergée sur la gestion des risques liés aux TIC regroupant la cybersécurité, la continuité des activités et la continuité des services informatiques. 

Ensuite et surtout, c’est une occasion unique de travailler sur votre niveau réel de résilience en vous posant des questions complexes. Si vous deviez faire face à une situation demain où vous êtes dépourvu de votre SI, votre organisation survivrait-elle ? Vos capacités existantes couvriraient-elles pleinement les besoins qu’une telle situation demande ? Et êtes-vous sûr que votre solution de résilience fonctionnera le jour J ?

Cet article DORA : challenges et opportunités est apparu en premier sur RiskInsight.

Pourquoi le Digital Operational Resilience Act (DORA) ?

DORA fait partie d’un « paquet financier numérique » à l’échelle de l’UE, qui vise à garantir que le secteur financier puisse tirer parti des possibilités offertes par la technologie et l’innovation tout en atténuant les nouveaux risques associés. Ce paquet comprend une réglementation sur les actifs de cryptage, la technologie de la chaîne de blocage et la résilience opérationnelle numérique.

Avec la loi sur la résilience opérationnelle numérique, l’UE vise à s’assurer que les organismes financiers atténuent les risques découlant de la dépendance croissante à l’égard des systèmes TIC et des tiers pour les opérations critiques. Les organisations doivent pouvoir « résister, réagir et se remettre » des conséquences des incidents liés aux TIC, afin de continuer à assurer des fonctions essentielles et importantes et de minimiser les perturbations pour les clients et le système financier. Cela implique d’établir des mesures et des contrôles solides sur les systèmes, les outils et les tiers, de mettre en place les bons plans de continuité et de tester leur efficacité.

Cette réglementation mondiale de grande envergure vient rationaliser un paysage réglementaire de plus en plus fragmenté sur le sujet, avec un certain nombre d’initiatives réglementaires locales dans les États membres et des lignes directrices de l’UE de moindre envergure sur des sujets connexes (par exemple, les exigences en matière de tests, la gestion des dépendances des TIC à l’égard de tiers, la résilience cybernétique). La mise en place d’un cadre réglementaire mondial garantira l’absence de chevauchements ou de lacunes dans la réglementation et maintiendra de bonnes conditions de concurrence dans le marché unique.

DORA s’inscrit également dans une tendance mondiale en matière de réglementation sur la résilience du secteur financier, lancée par les documents de consultation de la Banque d’Angleterre (FCA et PRA) sur la résilience opérationnelle et les tolérances d’impact, et suivie par les documents de principe sur la résilience opérationnelle de la Banque des règlements internationaux (BRI) et de la Réserve fédérale.

DORA en bref : qu’est-ce que ça change ?

Contrairement à la FCA/PRA, à la Réserve fédérale et à la BRI, la DORA se concentre uniquement sur la résilience aux incidents liés aux TIC et introduit des exigences très spécifiques et normatives. Il ne s’agit pas seulement d’un ensemble de lignes directrices, mais plutôt de critères, de modèles et d’instructions qui détermineront la manière dont les organismes financiers gèrent les risques liés aux TIC. Elle démontre que les régulateurs européens veulent être très pragmatiques sur le sujet, avec beaucoup de rapports, de communications et d’évaluations qui doivent être fréquents, grâce à la normalisation des systèmes d’information et des rapports.

La DORA introduit des exigences qui s’articulent autour de cinq piliers :

• Gestion des risques liés aux TIC
• Rapports d’incidents TIC
• Test de résilience opérationnelle numérique
• Gestion des risques liés aux TIC par des tiers
• Partage d’informations et de renseignements

Certaines de ces exigences sont simples et s’inspirent largement de ce qui se fait déjà dans les organisations (par exemple, le cadre de gestion des risques qui doit être élaboré est similaire aux normes industrielles comme le NIST) ; mais certaines sont également difficiles et impliqueront que les organisations doivent lancer des travaux pour se mettre en conformité. Nous avons résumé les exigences et les principaux défis à relever dès maintenant pour chacun des cinq piliers.

1. Gestion des risques liés aux TIC

Pourquoi ? Veiller à ce que des mesures et des contrôles spécifiques soient mis en place pour limiter les perturbations du marché et des consommateurs causées par les incidents, et garantir la responsabilité de l’organe de gestion en matière de gestion des risques liés aux TIC.

Exigences clés : Les entreprises devront respecter les principes de gouvernance en matière de risques liés aux TIC, en mettant l’accent sur la responsabilité de l’organe de gestion. Elles devront identifier leur tolérance au risque TIC, en fonction de l’appétit pour le risque de l’organisation et de la tolérance aux impacts des perturbations des TIC. Ils devront également mettre en place un cadre de gestion des risques comprenant l’identification des fonctions critiques et importantes, les risques associés et une cartographie des actifs TIC qui les sous-tendent, ainsi que des plans et des capacités spécifiques de protection, de prévention, de détection, de réponse et de récupération, des processus et des mesures d’amélioration continue et une stratégie de communication de crise avec des rôles et des responsabilités clairs.

Le plus grand défi : Dans le cadre des processus d’amélioration continue, la DORA introduit une formation obligatoire sur la résilience opérationnelle numérique pour l’organe de gestion mais aussi pour l’ensemble du personnel, dans le cadre de son programme de formation générale.

2. Signalement des incidents liés aux TIC

Pourquoi ? Harmoniser et centraliser la notification des incidents pour permettre au régulateur de réagir rapidement afin d’éviter la propagation de l’impact, et pour promouvoir l’amélioration collective et la connaissance des entreprises des menaces actuelles sur le marché.

Exigences clés : La DORA introduit une méthodologie standard de classification des incidents avec un ensemble de critères spécifiques (nombre d’utilisateurs touchés, durée, répartition géographique, perte de données, gravité de l’impact sur les systèmes TIC, criticité des services touchés, impact économique) avec des seuils qui doivent encore être publiés. Selon cette méthodologie, les incidents classés comme majeurs devront être signalés à l’autorité de régulation dans le même jour ouvrable, selon un certain modèle. Un rapport de suivi sera également requis après une semaine, et après un mois. Ces rapports seront tous anonymisés, compilés et communiqués régulièrement à l’ensemble de la communauté.

Le plus grand défi : Les entreprises devront modifier leur méthode de classification des incidents pour se conformer aux exigences. Elles devront également mettre en place les processus et les canaux appropriés pour pouvoir informer rapidement l’autorité de régulation en cas d’incident majeur. En fonction de ce qui est classé comme « majeur », cela pourrait se produire fréquemment. Pour aider les organisations à se préparer, nous prévoyons que la méthodologie de classification des incidents s’alignera sur la taxonomie de référence de l’ENISA pour la classification des incidents.

3. Test de résilience opérationnelle numérique

Pourquoi ? S’assurer que les entités financières testent l’efficacité du cadre de gestion des risques et des mesures en place pour répondre à un large éventail de scénarios d’incidents liés aux TIC et s’en remettre, avec un minimum de perturbations des fonctions critiques et importantes, d’une manière proportionnée à leur taille et à leur criticité pour le marché.

Exigences clés : Avec la DORA, toutes les entreprises doivent mettre en place un programme complet de tests, comprenant une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils, en mettant l’accent sur les tests techniques. Les entreprises les plus critiques devront également organiser tous les trois ans un test de pénétration en direct à grande échelle (exercice de type « red team »), réalisé par des testeurs indépendants, couvrant les fonctions et services critiques et impliquant des tiers du secteur des TIC basés dans l’UE. Le scénario devra être approuvé à l’avance par l’autorité de régulation et les entreprises recevront un certificat de conformité à l’issue du test. Des orientations supplémentaires pour ces tests, ainsi que les critères définissant une entreprise critique, seront publiées en 2021.

Le plus grand défi : il est probable que les entreprises critiques devront organiser ce test de pénétration fondé sur la menace d’ici la fin de 2024 et ce type de test nécessite beaucoup de préparation. Le fait qu’il doive impliquer des tiers critiques dans le domaine des TIC signifiera également qu’ils devront participer à la préparation. Les entreprises qui pensent être concernées (il peut s’agir d’entreprises déjà concernées par la réglementation sur les NEI) doivent commencer à réfléchir au scénario dès que possible afin de permettre une validation avec le régulateur au moins deux ans avant la date limite.

4. Gestion des risques liés aux tiers dans le domaine des TIC

Pourquoi ? Veiller à ce que les organismes financiers disposent d’un niveau approprié de contrôle et de surveillance de leurs tiers TIC, en particulier ceux qui sous-tendent les fonctions critiques ; et mettre en place une surveillance spécifique des fournisseurs qui sont essentiels pour le marché dans son ensemble.

Exigences clés : Avec ce règlement, l’UE introduit des exigences à la fois pour les organisations financières et pour les fournisseurs de TIC critiques.

• Les organismes financiers devront disposer d’une stratégie et d’une politique définies en matière de risque de tiers pour les TIC multifournisseurs, dont un membre de l’organe de gestion sera propriétaire. Ils devront établir un registre standard d’informations contenant la vue complète de tous leurs fournisseurs tiers de TIC, les services qu’ils fournissent et les fonctions qu’ils sous-tendent ; et faire rapport sur les modifications apportées à ce registre au régulateur une fois par an. Ils devront évaluer les fournisseurs de services TIC en fonction de certains critères avant de conclure un contrat (par exemple, le niveau de sécurité, le risque de concentration, les risques de sous-traitance), et ils devront prévoir une stratégie de sortie en cas de défaillance d’un fournisseur. La DORA contient également des lignes directrices concernant le contenu des contrats et les raisons de leur résiliation, qui doit être liée à un risque ou à une preuve de non-conformité au niveau du fournisseur.
• En vertu d’un nouveau cadre de surveillance, les fournisseurs essentiels feront l’objet d’évaluations annuelles au regard des exigences de résilience telles que la disponibilité, la continuité, l’intégrité des données, la sécurité physique, les processus de gestion des risques, la gouvernance, les rapports, la portabilité, les tests… Ces évaluations seront effectuées directement par le régulateur et donneront lieu à des sanctions en cas de non-conformité.

Le plus grand défi : Rassembler des informations sur tous les fournisseurs de TIC (pas seulement les plus importants), avec les services fournis et les fonctions qu’ils sous-tendent pour le registre des informations sera une tâche très importante pour les grandes organisations financières qui dépendent généralement de milliers de petits et grands fournisseurs et de systèmes de gestion de contrats hérités qui rendent difficile l’extraction de données.

5. Partage d’informations et de renseignements

Pourquoi ? Promouvoir l’échange d’informations et de renseignements sur les cybermenaces entre les organismes financiers afin de leur permettre d’être mieux préparés.

Exigences clés : La DORA introduit des lignes directrices sur la mise en place d’accords de partage d’informations entre entreprises pour les cyber-menaces, y compris des exigences de confidentialité et la nécessité d’informer l’autorité de régulation.

Le plus grand défi : Nous ne voyons pas de défi particulier dans ce domaine car de nombreuses organisations ont déjà mis en place de tels accords. Ce sera l’occasion de rendre visibles les initiatives, les réseaux ou les associations locales et d’encourager un plus grand nombre d’entreprises à y participer.

Que se passe-t-il ensuite ?

La DORA suit actuellement le processus législatif de l’UE et devrait prendre de 6 à 12 mois avant de devenir une loi. Quelques sujets discutables pourraient donner lieu à des débats et ralentir le processus, en particulier en ce qui concerne la gestion par des tiers : critères restrictifs pour les organisations souhaitant résilier des contrats, interdiction des tiers critiques basés en dehors de l’UE, système de pénalités et financement du cadre de surveillance par les fournisseurs de services critiques. Certains détails doivent encore être publiés pour clarifier certaines des exigences (par exemple, les modèles, les critères et les seuils de criticité…), ce qui pourrait également susciter certains débats.

Une fois la DORA adoptée, les entreprises devraient disposer d’un an pour se mettre en conformité avec la plupart des exigences (c’est-à-dire probablement d’ici la fin de 2022 – mais ce délai d’un an est court et nous prévoyons qu’il pourrait passer à 18 mois à la suite des réactions du marché) et de 3 ans pour organiser un test de pénétration à grande échelle si nécessaire (c’est-à-dire probablement d’ici la fin de 2024).

Afin d’être prêts, nous recommandons aux organisations de prendre les mesures suivantes en 2021 :  

• Effectuer une évaluation de la maturité par rapport aux exigences de la DORA, avec une analyse des lacunes et un plan d’atténuation connexe pour atteindre la conformité d’ici la fin de 2022 
• Commencer à réfléchir à un scénario pour le test de pénétration à grande échelle, en vue de le faire valider par le régulateur d’ici la mi-2022 
• Commencer à travailler sur la consolidation du registre des informations pour tous les fournisseurs tiers de TIC 

Cet article Décryptage de DORA : qu’est-ce que cela signifie pour la résilience des organisations financières ? est apparu en premier sur RiskInsight.

Nous ouvrons désormais les contributions à ce blog aux start-ups accélérées par notre dispositif Shake’Up. Hazy est un générateur de données synthétiques, combinant confidentialité différentielle, et intégrité référentielle, proposant un support de base de données multi-tableaux et avec un déploiement possible sur des systèmes critiques.

Qu’ont en commun les organisations tenant le choc de la crise sanitaire ? Des plans d’urgence particulièrement efficaces.

Pour ces quelques cas de réussite, cette planification a commencé par la prise en compte de l’aspect RH. PDG et directeur technique, en totale collaboration, se sont demandé : et si un de nos employés tombait malade, qui serait le suivant ? Que se passerait-il si plusieurs acteurs clés de l’entreprise étaient hospitalisés en même temps ? Ces entreprises ont créé une base comprenant l’ensemble des fournisseurs d’accès à Internet et les régions associées, ils l’ont communiquée à tous les ingénieurs d’astreinte et ont créé une chaîne de remplacement en cas de panne. Ces organisations ont veillé à ce que non seulement leurs systèmes internes et ceux destinés aux clients soient sauvegardés, mais aussi ceux de leur chaîne logistique.

Mais certains diraient que tout cela est une réaction, et non une planification, ou simplement de la chance. Après tout, chaque organisation et chaque industrie a ses propres obstacles à surmonter. Comment une entreprise pourrait-elle vraiment se préparer à l’inconnu ?

Comment une organisation pourrait-elle se préparer à une pandémie mondiale s’il n’y en a pas eu de cette ampleur depuis une centaine d’années ?

C’est là que les données synthétiques offrent une opportunité intéressante d’espérer le meilleur, mais de se préparer au pire. Les données synthétiques – qui sont des données très précises mais anonymes, et totalement artificielles – peuvent permettre à toute organisation de simuler des événements imprévus comme des pandémies et des catastrophes naturelles.

Les données synthétiques peuvent permettre de définir des plans d’urgence, même pour les plus grands imprévus.

Qu’est-ce que les données synthétiques et comment sont-elles utilisées ?

Comme leur nom l’indique, les données synthétiques sont totalement artificielles. Dans le cas de Hazy, les données synthétiques sont générées par des algorithmes de Machine Learning de pointe, qui offrent certaines garanties mathématiques d’utilité et de confidentialité. Cela est essentiel car aucune donnée sur les clients n’est réellement utilisée, alors que les courbes ou les modèles de leurs profils et comportements collectifs sont préservés.

C’est incroyablement utile pour faire tomber les barrières à l’innovation et aux essais. Cela permet d’obtenir toutes les informations nécessaires sur ses clients, leurs caractéristiques démographiques et leurs habitudes tout en réduisant considérablement le risque de réidentification. Il est ensuite possible de transférer facilement et en toute sécurité ces données synthétiques et ces informations entre différentes divisions, agences gouvernementales, entreprises et zones géographiques, avec la possibilité d’évaluer rapidement des partenaires tiers.

Comme les données synthétiques conservent à la fois leur valeur et leur conformité, leur potentiel est presque illimité. Elles peuvent être appliquées à la résolution de certains des plus grands problèmes du monde, de l’intensification de la recherche et du traçage des pandémies internationales à un accès plus équitable aux services bancaires, en passant par la détection de la fraude et du blanchiment d’argent à une échelle transfrontalière et inter-organisationnelle. Elle peut être utilisée pour faire tomber les frontières et optimiser la collaboration intergouvernementale, jusqu’à présent entravée par des bases de données divergentes coincées derrière des murs réglementaires.

Les données synthétiques permettent aux organisations et aux gouvernements de surmonter les barrières géographiques et les obstacles liés aux ressources.

Ces données synthétiques peuvent même être appliquées à des événements qui n’ont pas encore eu lieu.

Les principales organisations mondiales commencent à exploiter les données synthétiques pour élaborer des scénarios prédictifs afin de mieux répondre aux futures crises économiques, sanitaires, politiques et environnementales.

Il convient de noter que les données synthétiques ne sont pas aussi avancées et courantes que les autres outils d’entreprise. Comme chaque organisation possède des ensembles de données très complexes et variés, il faut les transformer, les pré-traiter et les configurer pour les rendre accessibles aux modèles de Machine Learning. Cela signifie que si n’importe qui dans une organisation peut bénéficier de données synthétiques, les data scientists doivent néanmoins être impliqués dans la préparation de ces données.

Des données synthétiques pour simuler des événements imprévus

Les données synthétiques sont créées par des modèles de Machine Learning qui, d’une certaine manière, peuvent être considérées comme des simulateurs du monde.

Les données synthétiques de Hazy sont déjà utilisées dans les grandes institutions financières pour permettre aux développeurs d’applications de simuler des modèles de comportement réalistes de clients avant même que l’application n’ait d’utilisateurs. Ce sont les ingénieurs en Machine Learning qui peuvent le mieux modéliser ce genre de scénarios de la demande future.

Nos clients les plus innovants commencent à étendre les cas d’utilisation de cette technologie d’avant-garde à des événements pour la plupart imprévisibles.

Cette possibilité n’a été rendue possible qu’assez récemment grâce à la génération de données synthétiques conditionnelles, qui permet d’explorer comment certaines relations dans un ensemble de données peuvent jouer avec d’autres relations lorsque leurs effets sont amplifiés ou diminués.

En ce moment, cela est d’une importance majeure, notamment lorsqu’on évoque le sujet des deepfakes. Quelqu’un pourrait demander à un générateur conditionnel de trouver des visages qui ont des cheveux roses, des lunettes et un piercing au nez. Maintenant, le générateur n’a peut-être jamais vu quelqu’un avec toutes ces caractéristiques combinées, mais il sait approximativement comment chacune de ces entités se combine logiquement à un niveau supérieur. Le modèle de Machine Learning a appris comment les entités de niveau inférieur se combinent pour construire des méta-entités – par exemple, il sait qu’un nez a une relation assez prévisible avec les yeux et la bouche. Cela permet au générateur de prendre ce qu’il sait et de combler avec précision les lacunes et de prédire à quoi ressembleraient ces punks rockers.

Cela fonctionne un peu différemment avec les données clients comme les données financières séquentielles, car ces tableaux comprennent souvent des milliers de colonnes et ont beaucoup de valeurs catégorielles – chaque colonne peut être considérée comme une dimension. Il est souvent plus difficile de déterminer comment les valeurs catégorielles d’un tableau s’imbriquent dans un ensemble de données que de travailler avec un ensemble de données composé des dimensions en pixels d’un ensemble de données de visages humains.

Le point positif est que les banques ont incontestablement beaucoup de données avec lesquelles travailler. Elles ont également souvent accès à des ensembles de données supplémentaires, comme les mesures des actions, les taux d’intérêt et les taux de change. Les interrelations entre les différents ensembles de données peuvent potentiellement être combinées pour mieux modéliser les relations et explorer des scénarios et des compromis. Grâce à ces modèles de Machine Learning, il est possible d’étudier le comportement d’un produit financier lorsque vous avez une combinaison de taux d’intérêt élevés et de faible chômage.

Bien que certains événements n’ont peut-être jamais eu lieu dans la vie réelle, les générateurs peuvent être utilisés pour extrapoler et remplir les blancs, puisqu’ils savent généralement comment certains événements évoluent ensemble.

Les compagnies d’assurance vivent dans le monde du « si cela, alors ceci », mais une grande partie de leurs prévisions actuarielles sont basées sur des données passées. Que pouvez-vous faire si vous n’avez pas de données parce que ces événements ne se sont pas encore produits ? Les données synthétiques sont un bon moyen de construire des scénarios prédictifs qui peuvent aider les organisations à évaluer correctement le risque d’événements imprévus.

Et cette boule de cristal ne doit pas seulement être appliquée aux événements qui changent le monde. Vous pouvez utiliser des générateurs de données synthétiques pour comprendre comment un nouveau marché réagirait à votre lancement d’un nouveau produit.

Supposons que vous ayez un million de clients au Royaume-Uni et seulement 50 000 en France. Et vous connaissez la variabilité des revenus, les zones géographiques dans lesquelles ils vivent, ainsi que l’âge, le revenu et le niveau d’éducation de chaque client. Vous créez d’abord des données synthétiques qui protègent toutes les informations personnelles identifiables dans deux régions géographiques distinctes. Le modèle apprend ensuite à la fois la manière prévisible dont le produit s’est vendu au Royaume-Uni et il connaît les différences de comportement entre les deux pays. Ce modèle peut même apprendre à extrapoler intelligemment le comportement des consommateurs britanniques au comportement des consommateurs français afin de prédire la meilleure façon dont une expansion sur le marché français pourrait se dérouler. Ces aperçus disparates se transforment en un solide prédicteur pour atteindre des objectifs d’expansion internationale.

Ces résultats peuvent à nouveau être combinés avec d’autres probabilités, comme la façon dont les clients ou les marchés locaux réagiront en fonction du nombre de points de chute de la bourse ou de l’impact des températures estivales sur les ventes. Toutefois, si l’on souhaite prédire des événements très rares ou une combinaison d’événements rares avec des données limitées, faire des prédictions reste très difficile sans disposer de suffisamment de données pour extrapoler de manière significative les tendances et les relations dans les données.

Le potentiel illimité des données synthétiques sécurisées

Les données synthétiques sont le meilleur moyen de débloquer en toute sécurité le potentiel de l’économie des données. Parce que les données synthétiques – en étant complètement artificielles – peuvent résoudre le problème essentiel de la vie privée, elles peuvent réduire considérablement les fuites de données et protéger les informations personnelles de vos clients, tout en conservant leur utilité.

Les données synthétiques deviennent le meilleur moyen pour les organisations multinationales de rester aussi compétitives, réactives et innovantes que les start-ups, car elles permettent de planifier l’avenir et ses capacités, en se basant sur l’inconnu.

Parce que les grandes institutions financières disposent d’une telle richesse de données, elles sont parfaitement positionnées pour tirer parti du potentiel unique des données et donc des données synthétiques. Les organisations peuvent désormais limiter la prise de risques en prévoyant des réponses pour un avenir imprévisible.

Le monde change rapidement. Votre entreprise doit être prête à y faire face.

Cet article Hazy | Shake’Up – Comment des données synthétiques auraient pu nous permettre de nous préparer à cette pandémie ? est apparu en premier sur RiskInsight.

Les limites de la DSP2

La limitation du périmètre aux seuls comptes de paiement

La DSP2, en tant que directive sur les services de paiement régit les opérations en ligne des acteurs de ces services uniquement sur les périmètres concernés qui sont les comptes intervenant dans les opérations de paiements.

Dans les faits cependant, les acteurs, et en particulier les agrégateurs, réalisent aujourd’hui des opérations sur l’ensemble des comptes des utilisateurs, notamment leurs comptes d’épargne. Un des enjeux de ces agrégateurs étant de fournir des services à valeur ajoutée touchant à l’ensemble de l’activité de l’utilisateur sur ses comptes : comptes courants, comptes d’épargnes, chèque, cartes, crédits, plan en actions, …

En réglementant uniquement sur l’accès aux comptes de paiement, la commission européenne et l’ABE mettent en lumière le fonctionnement des agrégateurs (rejeu des secrets de connexion utilisateurs) sans fournir une solution à l’ensemble des problématiques des échanges entre ces acteurs non bancaires (agrégateurs) et les banques.

Dans l’intérêt du développement des agrégateurs, des solutions devront donc être actées pour élargir cette législation. Par ailleurs, les travaux engagés par les banques dans le cadre de la DSP2 les ayant amenées à construire l’architecture nécessaire à l’exposition de services sur internet, une évolution de ces services à plus des comptes et à plus de services utilisateurs est probablement à venir.

Incompatibilité avec les standards existants

Contrairement à l’initiative OpenBanking UK, basé sur le standard reconnu du groupe de travail Financial API, au sein de la fondation OpenID, les nouveaux services offerts par les banques dans le cadre de la DSP2 se fondent sur des exigences réglementaires plutôt que sur des standards de sécurité établis.

Consentement utilisateur

Le consentement utilisateur est un bon exemple de cet éloignement entre le standard, ici OpenID Connect, et la réglementation.

La directive implique que le consentement de l’utilisateur à l’utilisation d’un ou plusieurs comptes pour un agrégateur :

• Doit être recueilli par le TPP (donc l’application qui va consommer les API) ;
• Doit être appliqué et vérifié par l’ASPSP (hébergeant les API).

Ceci est réalisé à rebours du standard OpenID Connect (implémenté dans le cadre de OpenBanking UK), dans lequel le consentement doit être recueilli par le service hébergeant les données et les API.

Cinématique authorization code

Mise en œuvre pour l’usage des AISP, la cinématique authorization code requiert une redirection de l’utilisateur de l’AISP vers le service d’authentification et de consentement de l’ASPSP, puis en retour une nouvelle redirection vers l’application de l’AISP.

Cette redirection peut être considérée comme un obstacle à l’utilisation des services comme le mentionne en exemple l’article 32 des RTS. En conséquence elle peut s’avérer illégale et des travaux sont en cours pour trouver des alternatives conformes ou non aux standards OAuth2.

L’acceptation de l’usage de cette cinématique pour les besoins de la DSP2 relève alors de chaque autorité nationale, ce qui a pour effet de limiter l’uniformisation européenne de ces interfaces. Actuellement, en France, l’ACPR a validé l’usage de cette redirection.

Figure 3: Les acteurs de la DSP2 en scène

Conclusion

Dans un environnement numérique en constante mutation, la DSP2 prend le parti de favoriser le développement des acteurs intermédiaires de services de paiement, pour mieux standardiser les échanges et apporter une meilleure ergonomie de navigation des utilisateurs et une meilleure sécurité des transactions.

Elle comporte des apports importants sur des sujets de sécurité, qui imposent des évolutions des SI bancaires : l’ouverture des services sur internet et le changement des moyens d’authentification sont en particulier un sujet compliqué pour les banques historiques.

Cet article Sécurité des opérations financières en ligne en 2020 : Quelles limitations à l’efficacité de la DSP2 ? (2/2) est apparu en premier sur RiskInsight.

Cet engouement invite les acteurs historiques et de nouvelles fintechs à se positionner sur le marché des services bancaires en ligne. De nombreuses solutions se déploient aujourd’hui à grande échelle, nécessitant une réglementation adaptée.

La DSP2 et les acteurs financiers

La DSP2, Directive sur les services de paiements 2, s’inscrit dans l’évolution des transactions électroniques. Elle est une nouvelle étape dans la normalisation des échanges financiers après la DSP1 et en parallèle des travaux OpenBanking au Royaume-Uni.

Avec l’évolution du nombre d’acteurs sur le marché, les solutions mises en œuvre pour l’authentification des utilisateurs et la sécurisation des opérations financières se multiplient. Ces solutions peuvent s’appuyer sur des moyens d’échange reconnus comme sécurisés (EBICS, SWIFT…) mais elles ne sont pas les plus aptes à répondre à un besoin de plus en plus important d’accès aux données en temps réel.

Le but de cette directive est d’apporter un cadre réglementaire aux banques et aux acteurs non-bancaires tout en favorisant la concurrence.

Pour cela, la directive circonscrit les prestations réalisées par les acteurs des services de paiements en trois services :

• Le Service d’Information sur les Comptes (« Account Information Service » ou AIS) consiste en l’affichage et l’agrégation des données de solde et des transactions des comptes de paiement.
• L’Initiation de Paiement (« Payment Initiation Service » ou PIS) consiste en la transmission d’un ordre de paiement pour le compte d’un payeur, à son établissement teneur de compte.
• L’Emission d’Instruments de Paiement (« Payment Issuer Instrument Service » ou PIIS) met à la disposition des utilisateurs des moyens de paiement.

Elle impose aux fournisseurs (« Provider ») de ces services un ensemble de règles et d’obligations à remplir. À la condition que ces règles soient appliquées, les AISP, PISP et PIISP auront la possibilité d’accéder gratuitement aux données sur les comptes de paiement de l’utilisateur dans leur établissement teneur de comptes (« Account Servicing Payment Service Provider » ou ASPSP).

Figure 1: Les services du périmètre de la DSP2

L’apport sécuritaire de la DSP2

Pour offrir la possibilité d’accéder aux données des établissements teneur de compte (les banques), la directive impose à ces dernières d’exposer de nouvelles interfaces répondant à un ensemble de mesures de sécurité et permettant la réalisation de ces services.

Figure 2: Exigences sécuritaires de la DSP2

Sous l’impulsion de plusieurs groupes de travail (en particulier le STET et le Berlin Group), la solution retenue est la construction d’API exposant les services des ASPSP, à l’aide des standards Open API adoptés par les géants du Web. En particulier, d’un point de vue sécurité, les standards retenus sont OAuth2 et OpenID Connect.

Identification et authentification des acteurs

En réponse au fonctionnement actuel des agrégateurs, une des mesures d’importance de la directive est l’obligation pour les acteurs bancaires de s’identifier et de s’authentifier entre eux pour réaliser toute opération liée aux comptes de paiement.

En effet, en l’absence d’interface adéquate, les agrégateurs fonctionnent actuellement par « web scraping » qui consiste à simuler la navigation d’un utilisateur sur sa banque en ligne, en rejouant ses secrets de connexion. Cette méthode comporte trois défauts principaux :

• L’agrégateur client n’est pas formellement identifié, empêchant l’établissement teneur de comptes de déterminer s’il s’agit d’un acteur légitime ou non ;
• Les secrets de connexion de l’utilisateur sont transmis et connus par un acteur tiers et ne sont pas gardés confidentiels par l’utilisateur ;
• La traçabilité des opérations n’est pas assurée car il est impossible d’établir la preuve d’origine d’une requête. Plus particulièrement, la granularité d’accès aux services utilisés et informations consultées par un acteur tiers n’est pas possible.

La directive (articles 66 et 67) oblige donc tous les acteurs, notamment AISP et PISP à s’identifier et s’authentifier pour consommer les services. Un consensus s’est établi autour de la réalisation d’une authentification mutuelle par certificat lors de l’établissement de toutes les communications entre un fournisseur de service (TPP) et un établissement teneur de compte (ASPSP).

Renforcement de l’authentification de l’utilisateur

Elément récurrent dans la directive et au cœur de l’un des Regulatory Technical Standards (RTS) définis par l’ABE (Autorité Bancaire Européenne), l’authentification renforcée des utilisateurs est une des mesures structurantes de cette directive.

Aujourd’hui, les solutions s’appuient principalement sur l’utilisation d’un mot de passe (rejouable et sujet au phishing) et sur l’OTP SMS (présentant des risques d’interception) pour l’authentification renforcée. Ces deux méthodes sont très répandues mais présentent des failles de sécurité et sont parfois coûteuses. Les nouveaux services de paiement mobile permettent aussi une identification par l’adresse e-mail ou par le numéro de mobile, non connu de la banque.

Les RTS visent à sécuriser cette authentification de l’utilisateur par la définition d’une authentification renforcée (« Strong Customer Authentication » ou SCA) comme une authentification à deux facteurs indépendants, c’est-à-dire que la compromission de l’un n’entraîne pas la compromission du second. La directive impose que l’établissement teneur de compte fournisse les moyens de réaliser cette authentification renforcée, et que chacun des deux facteurs soit sécurisé sur toute la chaîne de transmission.

Les solutions envisagées pour répondre à ce besoin sont de plusieurs natures :

• Le mot de passe reste un facteur principal aujourd’hui, à condition d’être accompagné d’un second facteur pour l’authentification renforcée.
• Les solutions matérielles, plus sures, présentent l’inconvénient d’un coût supplémentaire : token d’authentification physique, clé ou dispositif FIDO U2F…
• Les solutions logicielles sur smartphone sont en développement constant : notification in-app, token d’authentification logicielle, biométrie à l’aide des capteurs de l’appareil, MobileConnect…

Le lien dynamique, « dynamic linking »

Dans le cas particulier des transactions de paiement, la directive impose qu’un code unique soit généré pour permettre aux acteurs de la transaction d’être, à tout moment du processus d’authentification et d’autorisation, en mesure de retrouver les caractéristiques de la transaction. En particulier, l’utilisateur doit être conscient, durant la totalité du processus, du montant et du bénéficiaire de la transaction qu’il autorise.

Cette mesure est similaire à ce qui est déjà réalisé dans certains cas de paiement en ligne. L’utilisateur est en effet notifié par SMS avec le code OTP correspondant à une transaction unique, de son montant et de l’origine de la demande. Elle généralise donc cet usage et l’impose en condition pour toute transaction de paiement.

Les exemptions à l’authentification forte

Dans la définition du besoin d’authentification forte et les exigences sur la « Strong Customer Authentication », la DSP2 essaie également de maintenir un équilibre avec l’ergonomie de la navigation pour les utilisateurs des services. Pour cela, elle prévoit des cas où les fournisseurs de services de paiement peuvent choisir d’exempter leurs utilisateurs de la réalisation d’une authentification forte.

Les conditions en place pour réaliser ces exemptions sont précisément décrites dans les RTS, notamment suivant les modes de paiement de l’utilisateur. Il est ensuite de la responsabilité des fournisseurs de service de paiement de déterminer, à l’aide d’un score de risque, si une exemption doit être appliquée ou non.

Conclusion

Dans un contexte de digitalisation des services financiers induit par la montée en puissance des fintechs, la Commission Européenne et l’ABE favorisent l’ouverture à la concurrence et donc l’intégration des nouveaux acteurs au sein de l’écosystème des services de paiement. La DSP2 pose un cadre clair pour la sécurisation des services et interconnexions entre acteurs historiques et fintechs. Dans l’état cependant, elle comporte des limitations qui réduisent la portée des mécanismes de sécurité mis en avant. Un prochain article détaillera la nature de ces limitations.

Cet article Sécurité des opérations financières en ligne en 2020 : Quels sont les apports de la DSP2 ? (1/2) est apparu en premier sur RiskInsight.

Le dilemme de l’évolution des dispositifs antifraude : quels leviers pour intégrer ces technologies ?

Faisant écho à ces problématiques, l’écosystème des éditeurs s’est organisé pour proposer des solutions antifraude s’appuyant sur ces technologies. Ainsi éditeurs et start-ups se sont très largement développés, partout dans le monde (plus de 150 fournisseurs ont été recensés au sein du radar « Antifraude » Wavestone). Le besoin de lutte antifraude a en effet par nature une dimension internationale, notamment dans la protection des flux monétaires qui sont rarement limités à un seul pays.

Figure 2 :Exemple du radar des éditeurs antifraude Wavestone (extrait non exhaustif)

Même si la lutte contre la fraude apparait comme un use case de choix pour démontrer le ROI du Machine Learning (réduction du nombre de fraudes, automatisation de la détection…) et au-delà du choix de la stratégie d’outillage de lutte contre la fraude au regard de la maturité du marché, les questions à se poser doivent rester celles d’une solution SI « standard » (exploitation, maintenance, évolutivité…).

Si les coûts d’infrastructures nécessaires à la mise en place d’outils basés sur le Machine Learning et le big data ne sont pas négligeables, ils permettent de créer un environnement favorable à l’exploitation de la richesse des données pour divers usages (maintenance prédictive des serveurs, connaissance client, etc.) en gardant à l’esprit les garde-fous mis en place par le RGPD.

Figure 3 : Où peut-on agir avec le Machine Learning : exemple d’une banque

Une nouvelle cible à atteindre : une approche « sans couture » technologique et métier

Face aux nouveaux enjeux et l’apport des technologies émergentes, une nouvelle stratégie antifraude doit être désormais définie.

La mise en place d’un dispositif de détection globale de confiance qui devra respecter 5 grands principes.

• L’efficience et l’automatisation : il bénéficiera d’une détection à plusieurs critères (moteur de règles et Machine Learning) et d’une efficacité opérationnelle optimisée par l’automatisation de mesures allant de l’augmentation du niveau d’authentification demandé au gel d’un virement.
• L’évolutivité et l’omnicanal : il intègrera plusieurs périmètres dans la détection avec une logique « sans couture » entre le monde cyber et le monde « hors cyber » et sera conçu pour permettre l’intégration de nouvelles données disponibles (ex : données de biométrie comportementale).
• La visibilité et l’exploitabilité : il fournira la visibilité (reporting) et l’explication des résultats de détection, aux équipes antifraude, aux clients et également aux régulateurs.
• La conformité et la sécurisation : il respectera les obligations en matière de détection ainsi que les réglementations (RGPD), et traitera les risques inhérents au Machine Learning (tentatives de poisoning, compréhension par l’attaquant du modèle…).
• La gouvernance transverse cybersécurité et métier : une collaboration étroite des équipes de détection de menaces cyber et métier antifraude, dépassant les silos encore trop présents, permettra une réponse globale avec une vision 360 des menaces et fera le meilleur usage des données disponibles.

Pour bénéficier de tous les atouts apportés par cette nouvelle stratégie de détection, il conviendra également de ne pas négliger les systèmes d’investigation et de réaction.

Une décentralisation partielle de la lutte contre la fraude, impliquant les conseiller bancaires, permettra une plus grande capacité d’investigation. Ayant la connaissance la plus fine de leurs clients, ces derniers représentent un atout dans le processus d’investigation.

De plus, la biométrie comportementale et le machine learning permettent de fournir une meilleure visibilité sur le niveau de confiance qu’on peut accorder à l’utilisateur. Une fois le niveau de confiance défini, il est donc possible d’adapter les niveaux d’authentification demandés en conséquence. Une contribution adaptée et graduée de l’utilisateur permettra ainsi de réduire le nombre d’alertes émises.

La mise en place d’une nouvelle cible antifraude n’est pas seulement pour assurer une réponse adaptée à un changement de contexte mais aussi pour anticiper une vague de fond qui s’amorce aujourd’hui. La détection de fraudes deviendra à l’avenir de plus en plus complexe compte tenu d’une digitalisation qui va continuer à s’accélérer, en particulier sur les moyens de paiement. L’émergence de nouveaux acteurs, comme les Fintechs, et la désintermédiation grandissante des banques vont notamment entraîner un appauvrissement de la donnée disponible. Les dispositifs antifraude sont donc voués à évoluer en profondeur afin de garder et développer leur efficacité.

Cet article Revolution technologique : quelle perspective pour la lutte contre la fraude ? (2/2) est apparu en premier sur RiskInsight.

Les expériences et expérimentations du secteur bancaire, en avance sur ces problématiques, permettent d’envisager les perspectives à venir et fournit donc un prisme d’analyse utile aussi pour les autres secteurs.

Menaces, usages, réglementations : trois évolutions majeures qui impliquent des adaptations des dispositifs antifraude

Les transformations business et technologiques dans l’ensemble des secteurs d’activité font apparaitre des évolutions impactant directement les dispositifs antifraude historiques.

Les menaces évoluent, les pratiques de fraude se sont professionnalisées avec de nouveaux outils et de nouvelles pratiques. Prenons l’exemple du phishing : même sans connaissances informatiques, une cellule de fraudeurs entrainée peut désormais acheter un kit de phishing prêt à l’emploi et met en moyenne seulement trois minutes entre une connexion frauduleuse et une sortie d’argent. Les tentatives de fraude se sont donc démultipliées ces dernières années.

En parallèle, les usages évoluent vers une plus forte digitalisation, parfois dictés directement par des évolutions réglementaires, à la fois à destination des clients ou à destination des collaborateurs. Par exemple la mise en place de l’Instant Payment en France ou de la directive européenne sur les services de paiement 2ème version (DSP2) prévoient des virements instantanés. Ces nouveaux usages accélèrent les transactions financières entre les acteurs entrainant par la même occasion des besoins d’évaluation instantanée des risques de fraude. De plus, cette multiplication des canaux de paiement entraîne une augmentation de la surface d’attaque avec notamment une diversification des malwares bancaires aux applications mobiles ainsi que l’apparition de pratiques d’ingénierie sociale complexes multicanales et appuyées sur une compréhension des processus métier.

La diversification des fraudes, la volumétrie associée et l’augmentation des besoins de traitement instantané rend le traitement manuel presque impossible. La création de règles d’alertes plus restrictives pour minimiser les volumes ferait cependant courir le risque de manquer un grand nombre de fraudes.

Dans ce nouveau paysage, où la fraude devient de plus en plus technologique et peut avoir de multiples origines (clients, donneurs d’ordres, sous-traitants, fournisseurs, administrateurs…), les stratégies de détection doivent évoluer et passer d’une détection réactive des fraudes connues à une détection proactive des menaces encore inconnues.

Les nouvelles technologies, l’avenir de l’antifraude pour faire face à ce nouveau paradigme

L’approche historique de la détection de fraude est fondée principalement sur la définition de règles unitaires générant une alerte en cas de non-respect d’un des critères et sur la corrélation d’événements, consistant à mettre en œuvre des règles métiers plus avancées prenant en compte plusieurs types de données, afin de générer une alerte lorsque apparaissent des indices du déroulement d’un scénario de fraude connu.

Cette approche tout en demeurant efficace pour la détection de fraudes connues, par exemple dans la lutte contre le phishing, n’est plus suffisante pour faire face aux évolutions en cours. Une approche hybride doit être enrichie sur la base des nouvelles technologies présentes sur le marché (intelligence artificielle / Machine Learning, biométrie comportementale…) qui offrent deux grandes perspectives d’enrichissement des dispositifs actuels.

1.  Passer d’une détection de masse à une détection individualisée beaucoup plus fine qui va se concentrer sur les changements de comportement.

Le Machine Learning a la possibilité de créer des profils individuels à chaque client. Ces profils, composés de variables construites à l’aide des données collectées, vont permettre de modéliser le comportement. Ainsi, les algorithmes utilisés vont comparer le profil du client (et donc son habitude) avec un événement donné et, de fait, remonter une anomalie lorsqu’une divergence apparait. A noter que le nombre de variables manipulées peut facilement dépasser plusieurs dizaines, là où des règles statiques n’intègreront que quelques paramètres, permettant ainsi de démultiplier le potentiel de détection ou de réduire le nombre de faux positif.

2. Diversifier les périmètres à couvrir en bénéficiant des économies d’échelle apportées par ces technologies (mutualisation des infrastructures big data, massification des données, automatisation permettant un gain de temps pour les analystes…)

Ces technologies ont la capacité d’intégrer et corréler, grâce à des Data Lake sur lesquels elles s’appuient, des volumétries importantes de données brutes, techniques ou métiers (logs applicatifs, connaissances clients, opérations financières…) et d’apporter un potentiel d’enrichissement par des données extérieures (liste de surveillance, transformation d’adresses IP en localisations physiques…). Pour tirer le maximum de bénéfices des systèmes antifraudes, le Data Lake doit disposer d’un historique de données pertinentes et conformes, à savoir 13 mois pour des personnes physiques et 6 mois pour des personnes morales.

Pour autant ces technologies ne sont pas « magiques », elles nécessitent d’avoir à disposition des données en qualité et en quantité afin de réaliser un important travail préparatoire sur la construction des variables qui portent les capacités de détection des algorithmes. Cette phase de construction nécessite un apport d’expertise à la fois métier mais aussi technologique (datascience, développeurs, etc.).

Figure 1 – les principales méthodes de détection

Le choix des algorithmes n’est également pas à négliger, notamment d’un point de vue de la transparence. En effet, certains outils sont basés sur des algorithmes où les résultats sont difficilement justifiables. Le manque de visibilité sur les critères d’établissement des résultats entraine une remontée d’alertes en « boîte noire » et ne permet pas toujours de justifier les blocages aux clients. Une trop grande opacité peut également avoir des conséquences juridiques, voir être illégale, lorsque ces alertes ont des conséquences directes sur des clients.

Si ce premier article présente quelles sont les technologies d’avenir dans la lutte contre la fraude, un deuxième article viendra détailler comment les intégrer au mieux.

Cet article Revolution technologique : quelle perspective pour la lutte contre la fraude ? (1/2) est apparu en premier sur RiskInsight.

Comment l’idée vous est-elle venue ?

Emmanuel Ruiz nous explique que « l’équipe CopSonic [le] suit depuis plus de 15 années dans l’entrepreneuriat […] de traitement du signal audio ». Ayant découvert par hasard, en travaillant sur un effet spécial, qu’il était possible de « transmettre via du son de petites quantités de données », l’équipe structure ensuite le produit sous forme de Software Development Kit (SDK) « afin de sécuriser les échanges de données et de communications en champ proche ».

Quel est le plus grand risque de sécurité pour les banques et pour ses clients selon vous ? Comment répondez-vous à la menace qui pèse sur les banques ?

Emmanuel Ruiz met en avant que « le plus grand risque reste la fraude à l’identité et la validation d’une transaction de paiement à l’insu de la personne concernée. C’est en tout cas le risque que nous cherchons à couvrir avec notre technologie en équipant les utilisateurs d’une banque donnée avec une technologie universelle, sécurisée et facile d’utilisation ». La solution permet notamment de se protéger contre les nouvelles menaces qui se propagent par ultrasons car « il existe depuis 3 ans un virus véhiculé par ondes acoustiques entre appareils électroniques [ainsi que] des attaques sur des assistants vocaux [comme] Dolphin Hack ».

L’enjeu pour les RSSI aujourd’hui est de parvenir à concilier la facilité d’implémentation, la simplicité d’utilisation des solutions de sécurité avec une technologie sécurisée. Comment convaincre un RSSI de la pertinence de votre solution et de la sécurité du produit ? Quels sont les différenciateurs qui vous démarquent sur le marché ?

CopSonic propose une technologie conforme à la Directive PSD2 et au RGPD. L’intérêt pour les banques est de pouvoir exploiter la technologie directement en l’intégrant dans leurs applications “pour [leur] permettre de garder le contrôle sur la transaction de paiement réalisée par l’utilisateur final. Cette technologie est universelle et fonctionne sur tout type de dispositif, sans déploiement matériel nouveau à mettre en œuvre. Elle est donc incomparablement moins chère que les autres.”

Cette technologie inaudible à l’oreille humaine permet cependant de véhiculer des informations de manière sécurisée ; ce moyen de communication étant résilient à toutes les technologies électromagnétiques dans des usages de proximité (de type NFC ou Bluetooth). Le marché de la communication par les ultrasons est à l’aube de son explosion : par exemple Google se positionne déjà sur le paiement par ultrason avec sa solution Google TEZ, lancée depuis septembre 2017 en Inde.

Quelles sont les synergies entre votre innovation et les solutions de sécurité bancaires existantes à l’heure actuelle ?

CopSonic décrit sa technologie comme « avant tout complémentaire aux autres usages, dans un monde transactionnel mobile, web ou en champ proche [mais elle] s’impose en revanche comme la seule valable et compatible avec les assistants vocaux, qui vous demanderont bientôt de valider une transaction de paiement ». La solution de CopSonic offre donc « un service innovant répondant aux besoins des utilisateurs ». Par ailleurs, « sur les sujets de phishing, skimming, eavesdropping, [CopSonic propose] des solutions qui ne requièrent qu’une mise à jour logicielle dans l’infrastructure existante du serveur bancaire jusqu’à l’application mobile en passant par les POS, TPE ou ATM/DAB ».

Ces cas d’usages sont déjà une réalité puisque CopSonic annonce « travailler avec une banque française pour proposer sur des TPE un ‘’QRCode Invisible’’ : le service proposera en parallèle un ultrason pour sécuriser cette transaction via un OTP ultrasonique ». Par rapport à un QRCode classique, l’avantage pour l’utilisateur réside dans le fait qu’il n’aura pas besoin de viser avec la caméra de son smartphone le TPE.

Comment voyez-vous la banque de demain ? Quelles opportunités pour la cybersécurité dans la banque de demain ?

Pour CopSonic, le plus grand changement qui attend la banque de demain est lié à la sécurisation de l’expérience utilisateur : ces derniers sont de plus en plus exigeants sur l’ensemble de la chaine. Depuis la mise en relation jusqu’à l’expérience de paiement, ils attendent de la banque un parcours fluide et sécurisé.

Emmanuel Ruiz détaille ainsi : « Le développement des paiements instantanés (peer-to-peer), des paiements IOT (comment payer une prise de courant qui vous délivre 60 minutes de courant ?) et des nouveaux comportements de consommation (assistants vocaux au domicile, en voiture connectée) vont voir naître autant de nouvelles normes que de nouveaux risques et solutions pour les couvrir au mieux. La banque devra en tout état de cause continuer d’équiper ses utilisateurs de moyens de validation de transactions de paiement en conciliant sécurité et facilité d’utilisation. »

Pour en savoir plus : https://www.copsonic.com/

Cet article L’INTERVIEW DE COPSONIC – LA SECURITE PAR LES ULTRASONS est apparu en premier sur RiskInsight.

Le phénomène Fintech est en pleine croissance, dans le monde et également en France où de nombreuses start-ups se font remarquer. En Juin 2015 l’association France Fintech  a été créée dans le but de fédérer et promouvoir l’activité des différents acteurs du secteur en les mettant en relation avec les clients, investisseurs, pouvoirs publics ainsi qu’avec l’écosystème bancaire.

Un marché en pleine croissance

A l’échelle mondiale, les investissements dans le secteur des Fintech ont été multipliés par 10 entre 2010 et 2015 pour atteindre 22 Milliards de dollars. Le montant des investissements réalisés sur l’année 2016 sont quant à eux estimés à 36 Milliards de dollars, constituant une large augmentation suite à l’arrivée de plusieurs acteurs financiers majeurs souhaitant prendre leur part dans ce marché plus que prometteur.

Source : Visual Capitalist

La commission Européenne a par ailleurs adopté en Octobre 2015 la directive PSD2, offrant un cadre légal promouvant l’utilisation de solutions innovantes et disruptives pour les services bancaires et de paiement. En effet cette nouvelle directive a fait évoluer la définition d’une « institution de paiement » en la rendant plus souple et permettant à de nouveaux tiers d’accéder au marché des services bancaires, représentant une réelle opportunité pour les acteurs de la Fintech.

Cette directive s’applique depuis le 1^er Janvier 2016 à tous les pays de l’Union Européenne et a considérablement modifié le rôle de ces nouveaux entrants dans le paysage bancaire. En effet, cette nouvelle réglementation impose aux banques de s’ouvrir à ces nouveaux entrants en développant des API permettant aux Fintech d’interagir avec leurs applications bancaires et d’avoir accès à certaines de leurs données client. Ce nouveau contexte perçu initialement comme une menace pour les institutions financières historiques s’est transformé en opportunité pour les banques qui ont accéléré leur processus de digitalisation.

Effectivement, la stratégie de transformation digitale des institutions bancaires a embrassé ce changement et de grandes banques n’ont pas hésité à créer des partenariats ou acquérir des start-ups de la Fintech, à l’exemple de la Société Générale qui a racheté Fiduceo ou de la BNP qui s’est associée avec le projet de Xavier Niel, Station F, le plus grand campus de start-up du monde situé à Paris. La disruption constatée de l’industrie bancaire par les Fintech vient à la fois de l’évolution et de la simplification des services aux clients grâce à une expérience utilisateur et une flexibilité améliorées mais également des nouvelles technologies qui vont être le support de ces services novateurs.

Les Smartphones : Pilier des Fintech

L’évolution des Fintech a été propulsée ces dernières années grâce à deux facteurs majeurs qui ont été les catalyseurs du développement de ce secteur.

D’une part, la crise financière de 2008 : les marchés s’effondrent, les grandes banques d’investissement font faillite. Les investisseurs ne font plus confiance aux grandes institutions financières qui accusent les pertes ; un certain nombre d’entre eux préfèrent alors se tourner vers les entreprises digitales et prometteuses de la Silicon Valley.

Second facteur : l’année 2008 a également été l’année de création de la Blockchain, c’est aussi l’année de l’avènement des Smartphones, suite la révolution initiée par Apple en 2007 avec la sortie de l’iPhone. Les solutions proposées par les Fintech se voulant disruptives et basées sur la flexibilité et la simplicité d’utilisation, leur croissance s’est vu boostée par la généralisation des smartphones, devenus indispensables au quotidien. L’expansion des Fintech a donc été favorisée par le gain de maturité des smartphones et des applications qu’ils hébergent ce qui leur a permis de développer et diffuser leurs services au plus proche des utilisateurs.

Le smartphone est également un vecteur majeur de la transformation des moyens de paiement, consenti comme un des secteurs à être le plus remodelé par les Fintech. Le Smartphone est à la fois le terminal permettant d’accéder aux services mais devient également un moyen de paiement matériel avec les puces NFC, au même titre qu’une carte bancaire. Des applications telle que Lydia permettent également aux utilisateurs de transférer de l’argent gratuitement à leurs contacts sans avoir à passer par le traditionnel virement bancaire.

La sécurité des Smartphone est donc primordiale pour protéger les fonds des utilisateurs, ce qui n’est pas une mince affaire. Dès le lancement de Apple Pay sur I’iPhone, des vulnérabilités dans la conception de la fonction avaient engendré un taux de 6% d’opérations frauduleuse en 2016 car il était possible d’utiliser n’importe quel numéro de carte sans le CVV et sans vérification d’identité de l’utilisateur pour effectuer des paiements.

Cependant, la sécurisation des Fintech ne peut reposer uniquement sur celle des smartphones et doit prendre en compte l’ensemble des maillons de la chaîne : depuis la conception du service jusqu’au data center où l’entreprise héberge ses infrastructures.

La maîtrise des technologies et la sécurité des terminaux : facteurs de risques majeurs

La programmation, les infrastructures utilisées et le terminal de l’utilisateur sont autant d’éléments critiques pour la fiabilité, la robustesse, la sécurité et l’intégrité d’un service financier. Chacun de ces éléments possède des faiblesses particulières qu’il est important de sécuriser avec des moyens appropriés qui répondent à la fois aux réglementations référentes ainsi qu’aux risques externes et internes. Les principales failles identifiées pour les éléments sur lesquels se reposent les services des Fintech sont les suivantes :

1) Les Terminaux

Comme évoqué précédemment, la majorité des services financiers proposés par les Fintech sont accessibles par les utilisateurs depuis leurs propres terminaux (PC, tablettes, smartphones…). La sécurité des opérations réalisées est donc fortement dépendante du niveau de sécurité du terminal utilisé. En 2016, il s’est avéré que les smartphones au même titre que les ordinateurs étaient la cible de malwares de type cheval de Troie permettant de récupérer les identifiants de connexion des utilisateurs sur les pages d’accueil de leur banque en ligne. Cette faiblesse intrinsèque au système d’exploitation du Smartphone n’est généralement détectée que trop tard et est alors déjà exploitée par les attaquants. En ce qui concernent les Fintech, la solution la plus utilisée afin de se prémunir contre les opérations frauduleuses suite au vol d’identifiants de connexions est l’authentification à facteurs multiples. Cette méthode déjà largement utilisée par les entreprises est maintenant de plus en plus répandue aux particuliers pour se connecter à une application sensible en ligne. Les seconds facteurs sont généralement un code envoyé par SMS ou générés par une application dédiée ou encore une authentification biométrique grâce aux capteurs d’empreintes intégrés dans les smartphones. Cependant même une identification à deux facteurs avec envoi d’un code par SMS peut être inefficace face à des attaquants déterminés qui pourraient intercepter les SMS s’ils compromettent le smartphone au préalable.

Les fabricants œuvrent donc à la sécurisation de leur terminaux mobiles et en font même une priorité avec des mise à jour de sécurité régulières ayant pour but de couvrir les vulnérabilités qui sont détectés. Chaque faille découverte dans le système d’exploitation d’un terminal est largement médiatisée et pourrait avoir un impact significatif sur les ventes dans ce marché très compétitif où une sensibilisation naissante pour la sécurité chez les clients peut influer sur l’achat final. Les smartphones récents sont donc généralement considérés comme étant moins vulnérables qu’un ordinateur portable vieillissant.

2) La programmation

Le cas du fond d’investissement participatif et mutualisé The DAO , basé sur la Blockchain « Ethereum », réseau utilisant une monnaie cryptographique décentralisée, est un exemple intéressant pour illustrer comment une erreur de programmation peut mener à une importante perte financière. En effet une erreur présente dans le code permettant de réaliser de fausses transactions a résulté au détournement de 50 Millions de dollars appartenant aux différents « actionnaires » de The DAO.

Ce risque de piratage via une faille de programmations est omniprésent pour les entreprises développant des applications et autres services web. Il est cependant possible de limiter les risques dus à ces failles de programmation en réalisant des audits sur les codes sources et en utilisant des scanners de vulnérabilités sur les applications.

En 2016 le chercheur Vincent Haupert a réussi à pirater l’application mobile de la néo-banque allemande 100% en ligne N26  sans compromettre le smartphone mais en se basant sur des faiblesses dans l’architecture de l’application. Il a pu en prendre le contrôle total et effectuer des transactions illicites. A la suite de cette découverte la banque a lancé une campagne de « Bug Bounty », opération visant à rémunérer les personnes qui signaleraient des failles de sécurité. De nombreuses entreprises telles que les GAFA, mais également de taille plus modeste, ont déjà eu recours à ce type de campagne pour détecter de potentielles failles au sein de leurs produits.

Les Fintech doivent donc mettre la sécurité au cœur de leurs préoccupations pour le développement de leurs services est donc en l’intégrant dès la conception. D’autant plus, le secteur financier est la cible privilégiée pour les attaquants qui cherchent à exploiter toutes les failles qu’ils peuvent identifier afin de détourner des montants importants. Les Fintech se développant en accéléré, la course à la croissance prime parfois sur la sécurisation des produits.

3) Les infrastructures

Telles Treezor et Mangopay, certaines start-ups choisissent de déléguer l’hébergement de leurs applicatifs et de leurs données à des fournisseurs Cloud pour se concentrer sur leurs cœurs de métiers. Mais le Cloud n’est pas infaillible, par exemple, le 28 Février 2016, des milliers de sites internet et d’applications web appartenant à différentes grandes entreprises dont Apple ont été inaccessibles et ce dans le monde entier, suite à une panne du Cloud Amazon.

Le choix des fournisseurs pour les services Cloud en IaaS et PaaS n’est donc pas à négliger pour les entreprises fournissant des services sensibles telles que les Fintech. Ces dernières sont soumises à de nombreuses réglementations bancaires comme la norme PCI DSS pour la protection des données de comptes ou bien européennes avec la GDPR (Règlement général pour la protection des données) qui entrera en vigueur en Mai 2018 et exposera les entreprises à des sanctions financières très dissuasives (jusqu’à 4% du CA mondial).

Les entreprises doivent donc pouvoir s’assurer que le niveau de sécurité ainsi que les processus associés mis en place par leurs fournisseurs sont conformes à ces réglementations auxquelles elles sont assujetties. Dans le but d’aider les entreprises à aborder la décentralisation de leurs infrastructures, l’ANSSI a sorti fin 2016 son référentiel visant à certifier les prestataires Cloud de confiance avec le label Franco-Allemand : European Secure Cloud.

Dans le contexte plus spécifique de la Fintech, l’ANSSI s’est également invitée autour de la table pour apporter ses recommandations. En effet l’ANSSI est devenue partenaire du Forum FinTech créé par l’Autorité des marchés financiers (AMF) et l’Autorité de contrôle prudentiel et de résolution (ACPR). Ce forum a pour but de favoriser l’émergence de ces nouveaux acteurs du secteur financier en évaluant les enjeux associés à leur développant aussi bien qu’il s’agisse de risques ou d’opportunités.

Les agences nationales, conscientes des challenges liés à la transformation du secteur financier, œuvrent dans le but d’apporter plus de transparence aux entreprises vis-à-vis de leur écosystème global mais également pour la cybersécurité.

Des risques bien difficiles à couvrir pour les Fintech

Ainsi, les risques cybers omniprésents pour toute entreprise, sont d’autant plus critiques pour les Fintech. Les infections virales et autres cryptolockers, les attaques d’applications web et le DDoS (Distributed Denial of Service) pour ne citer que les plus fréquents, peuvent impacter aussi bien les terminaux, les applications ainsi que les infrastructures comme détaillé ci-dessus.

La lutte contre ces risques, inévitables pour une entreprise dont les applications sont exposées sur Internet, nécessite des compétences en sécurité spécifiques ainsi que la mise en place de plans de réponse à incident afin de garantir l’intégrité et la qualité des services. Pour répondre à ces challenges, les banques disposent de moyens considérables tels que des équipes assurant une supervision continue des infrastructures digitales et investissent plusieurs dizaines de millions d’euros par an uniquement afin d’assurer leur cybersécurité. A l’heure actuelle, les Fintech ne sont pas toujours en mesure de mettre en place des moyens financiers et humains comparables, cependant leur avantage réside dans l’agilité et le peu d’historique et d’obsolescence de leurs infrastructures permettant de mettre en place des moyens de sécurité efficaces plus rapidement et à moindre coût. De plus la collaboration de plus en plus intime entre les grands acteurs historiques et les Fintech leur permet de bénéficier de leur maturité en termes de sécurité, tout l’enjeu étant de trouver l’équilibre entre sécurité et flexibilité, un des facteurs du succès des Fintech.

Cet article Les « Fintech », quelle appréhension des risques à l’heure de la révolution digitale ? est apparu en premier sur RiskInsight.

La cybersécurité au cœur des préoccupations de Société Générale et de Wavestone

Les « Banking Cybersecurity Innovation Awards » s’adressent aux startups et PME innovantes européennes pour qu’elles fassent découvrir et qu’elles mettent en valeur leurs solutions en matière de cybersécurité, en particulier sur les thématiques [de la sécurité de la Blockchain, les services FinTech, le paiement mobile…]. Cette initiative fait appel aux esprits les plus créatifs des entrepreneurs européens pour construire la cybersécurité de la banque de demain et assurer la confiance numérique de la banque et de ses clients.

Les candidats pourront concourir dans trois catégories :

• Confiance numérique pour la banque : pour les solutions visant à sécuriser les systèmes internes de la banque, aussi bien métiers que liés aux infrastructures informatiques.
• Confiance numérique pour les clients : pour les solutions visant à sécuriser les échanges entre la banque et les clients, il s‘agit de solutions visibles des clients ou mise en œuvre sur leurs terminaux.
• Spécial France : pour une startup dont le siège social est basé en France et dont le capital est majoritairement détenu par des personnes, morales ou physiques, françaises.

Un jury d’envergure

Les lauréats seront départagés d’abord sur dossier puis en soutenance orale, le 06 juin 2017 dans les locaux de Wavestone, par un jury composé de membres reconnus pour leur expertise à la fois technique et stratégique dans le domaine de la cybersécurité et de la banque :

• Françoise Mercadal-Delasalles, Directrice des Ressources et de l’Innovation, Société Générale
• Laurent Goutard, Directeur de la Banque de Détail en France, Société Générale
• Thierry Olivier, RSSI, Société Générale
• Pascal Imbert, CEO Wavestone
• Reza Maghsoudnia, Strategic Devlopement Director Wavetone
• Gérôme Billois, Senior Manager Cybersecurité Wavestone
• Guillaume Poupard, Directeur Général ANSSI
• Patrick Duvaut, Directeur de la recherche au sein de l’école Télécom ParisTech
• Sébastien Couasnon, Journaliste et présentateur de Tech & Co sur BFM Business

Les collaborateurs Société Générale et Wavestone auront également l’opportunité de voter pour le candidat de leur choix, lui octroyant ainsi une voix supplémentaire par société.

Les 3 lauréats remporteront alors la possibilité de tester leur solution au sein du Système d’Information de la Société Générale et d’intégrer « Shake’Up », le programme d’accélération de Startup de Wavestone.

Enfin, la cérémonie de remise des prix se déroulera le 05 juillet 2017 après midi, sur le nouveau technopôle de la Société Générale, « Les Dunes », à Val de Fontenay
Visitez https://www.banking-cybersecurity-innovation.com/index.html Pour plus de renseignement ou pour proposer votre candidature.

Cet article Première édition des « Banking Cybersecurity Innovation Awards » est apparu en premier sur RiskInsight.

Le secteur bancaire, une cible historique

Les attaques contre le secteur financier ne sont pas une nouveauté, il s’agit même d’un secteur de prédilection pour les pirates agissant à des fins vénales. Mais en 2016 nous avons assisté à une diversification et à une intensification de ces attaques. En effet, au cours de l’année passée, plusieurs attaques majeures, motivées par l’attrait de gains financiers importants, ont été réalisées contre des banques de détail et d’investissement mais également contre des banques centrales. Sans viser à être exhaustif, cet article présente de manière synthétique certains des cas emblématiques.

Pour les banques, trois zones de risques, poreuses entre elles, sont clairement identifiées:

Depuis l’existence d’Internet, les failles des systèmes accessibles directement aux clients ont été largement exploitées par les cybercriminels qui ont continué à faire évoluer leurs techniques en 2016.

Les distributeurs de billets, très exposés historiquement, ont été visés par de nouveaux malwares, notamment ALICE et RIPPER. Ces malwares peuvent être installés sur la machine de deux façons différentes :

• En passant par le réseau auquel est connectée la machine pour accéder aux serveurs de gestion, nécessitant d’infiltrer le SI de la banque.
• Directement sur le système d’exploitation de la machine à l’aide d’un port USB mis à nu.

Le piratage des distributeurs de billets a résulté à la perte de plusieurs millions d’euros au cours de l’année passée pour différentes banques à travers le monde. En Europe, le groupe de cybercriminels Cobalt a piraté des distributeurs dans une douzaine de pays pour un montant inconnu. Des attaques similaires ont eu lieu à Taïwan et en Thaïlande avec le vol de 2,5M$ et 350k$ respectivement.

D’une autre manière, les DAB et TPE peuvent servir d’hôtes aux fameux « Skimmers ». Il s’agit d’un dispositif hardware plus ou moins discret permettant de récupérer l’empreinte de la carte des utilisateurs. Plusieurs types de « Skimmers » existent dont en particulier :

• Les Skimmers externes, reproduction de tout ou partie de la façade de la machine qui s’installe au-dessus du distributeur ou du terminal de paiement.
• Les Skimmers internes, s’installant directement dans le lecteur de carte de la machine .

Cette seconde méthode très en vogue en 2016 est difficilement détectable car il n’y a pas de modification importante de l’aspect physique de la machine, seule une caméra externe est requise pour capturer le code PIN. De plus ces Skimmers internes n’affectent ni le système d’exploitation ni le fonctionnement de la machine.

Beaucoup plus connus, les malwares de type cheval de Troie, continuent d’évoluer et sont toujours largement utilisés pour récupérer les informations de paiements des clients ; certains d’entre eux sont spécialement développés pour les smartphones, notamment sur Android.

L’évolution des attaques vers les systèmes exposés et internes en 2016

Les cas d’attaques les plus importants de l’années 2016 dénotent une évolution du mode opératoire des attaquants avec une préparation minutieuse qui dure jusqu’à plusieurs mois. Pour s’introduire dans le système d’information des institutions financières et le manipuler, des méthodes spécifiques doivent être suivies, en se basant sur le fonctionnement et les processus métier. Ces derniers sont étudiés longuement par les attaquants, afin d’agir efficacement et en toute discrétion.

Après ce temps de préparation et une fois le système d’information de la banque pénétré, les attaquants sont capables de manipuler les applications métier et de détourner des montants jusque-là impensables avec une seule attaque dont l’exécution ne dure que quelques heures.

Citons notamment en 2016 le record de l’année : 81 M$ qui ont quitté « les coffres » de la Bangladesh Bank de façon non légitime.

Le mode opératoire de l’attaque sur la Bangladesh Bank, ayant eu lieu au mois de février, permet de mieux comprendre comment le détournement de telles sommes est possible.

Les attaquants ont commencé par ouvrir au mois de Mai 2015 des comptes à la banque RCBC aux Philippines sous de fausses identités. Ils ont ensuite réussi à s’introduire dans le SI de la Bangladesh Bank, par une faille non identifiée.

Vient alors la phase préparatoire lors de laquelle ils ont installé sur le réseau de la banque un malware espion spécialement développé qui les renseigne sur les horaires de fonctionnement de l’équipe en charge des transactions SWIFT afin de s’aligner sur les pratiques de la banque. Ils parviennent aussi à récupérer les identifiants des opérateurs ayant les droits de création, approbation et exécution de ces transactions.

A la suite de cette période de préparation, l’attaque est lancée en Février 2016 avec 35 transactions frauduleuses ordonnées à la New York FED, gérant des comptes de la Bangladesh Bank pour un total de 951 millions de dollars vers des comptes de la RCBC aux Philippines, créés au préalables et associés à l’industrie du jeu et des casinos. La principale nouveauté repose dans le fait que le malware utilisé modifie les confirmations de transactions, supprime les enregistrements électroniques des ordres et bloque l’impression des récépissés papier pour ne laisser aucune trace de la fraude.

31 transactions seront bloquées par le système anti-fraude de la New York FED et les intermédiaires en cours de route, mais au final 4 transactions sont validées pour un montant total de 81 millions de dollars. Les fonds seront ensuite retirés des comptes pour être blanchis. L’enquête implique le FBI et le gouverneur de la Bangladesh Bank a été limogé.

En réponse à cette attaque et à des tentatives similaires contre des banques Vietnamiennes et Equatoriennes, le SWIFT a lancé en 2016 un programme de sensibilisation pour ses clients ainsi que des recommandations pour une meilleure cyber sécurité.

A quoi s’attendre pour la suite ?

Ce contexte agité promet donc une année 2017 sous haute vigilance pour tous les acteurs du monde financier. La tendance à mener des attaques en profondeur contre leurs systèmes devrait s’intensifier, nécessitant une réelle évolution dans l’appréhension de la cybersécurité. Certaines annonces tonitruantes comme celle réalisé au Royaume-Uni « a major bank will fail »  tente d’alerter sur cette situation.

La capacité des attaquants à agir directement sur les éléments clés du SI bancaire tels que le système anti-fraude et les applications métier impose aux banques de durcir leur sécurité informatique à tous les niveaux ; que ce soit par exemple avec la protection contre les intrusions, une meilleure gestion des identités ou des systèmes d’authentification forte pour les utilisateurs sensibles.

La spécificité du milieu bancaire à fonctionner sur un modèle de réseau fortement interconnecté implique que la cybersécurité des services partagés, tels que les systèmes de transactions internationaux ciblés à plusieurs reprises, soit abordée globalement afin de garantir un niveau de sécurité cohérent entre les établissements financiers.

Article réalisé conjointement avec les travaux de préparation du panorama de la cybercriminalité du CLUSIF 2017 sur la partie « menaces touchant la finance ». 

Cet article 2016 : les cyberattaques touchent la banque sur tous les fronts est apparu en premier sur RiskInsight.

Machine Learning, démystification et opportunités

Le Machine Learning est une forme d’intelligence artificielle qui consiste à apprendre et modéliser un phénomène pour mieux le comprendre et le maîtriser. Pour cela, un ou plusieurs algorithmes permettent d’établir des corrélations entre les évènements qui composent ce phénomène. On distingue deux grands types de méthodes :

• Les méthodes supervisées, qui créent des modèles à partir d’une base de données d’exemples (généralement des cas déjà traités et validés).
• Les méthodes non-supervisées, qui n’ont pas besoin d’une base de données d’exemples

Pour illustrer la différence entre les deux méthodes, on peut considérer le cas de la détection de fraude. Pour s’entraîner et créer des modèles précis, les méthodes supervisées utiliseraient en entrée des données déjà traitées et marquées comme étant liées ou non à des cas de fraude (schémas de fraude connus), alors que les méthodes non-supervisées utiliseraient des données brutes issues des applications du SI afin de modéliser les comportements normaux. Conceptuellement, cela revient à modéliser respectivement ce qui est anormal (la fraude – en ayant assez de données pour que cette représentation soit fidèle) ou ce qui est normal (en détectant de facto les fraudes lorsque l’on s’éloigne de cette normalité).

Tous les algorithmes ne se valent pas. Chacun possède des qualités et des défauts qu’il faut savoir peser et qui dépendent en grande partie des données d’entrée, propres à chaque cas métiers. Il est important de choisir des données à la fois pertinentes et disponibles en quantité suffisante pour obtenir des résultats probants. Dans le contexte de la Banque en Ligne, de nombreuses données peuvent faire l’objet de Machine Learning :

• Habitudes de transaction : montants des virements, pays destinataires…
• Habitudes de connexion : heure de connexion, user-agent, device utilisé…
• Habitudes de navigation : parcours client, vélocité de navigation…
• Données comportementales : vitesse de frappe, déplacement de la souris…
• Données marketing : produits consommés, libellés des virements…

Correctement exploitée par des algorithmes de Machine Learning, la conjugaison de ces différentes données, précédée par un traitement tirant le maximum de leur valeur, peut permettre des résultats bien plus significatifs que ne le permettent les méthodes classiques. La connaissance client (KYC), en exploitant par exemple le parcours client type, la détection de fraude, en utilisant les habitudes de virement pour identifier des cas suspects (pays de connexion, distribution des montants…), ou encore le marketing à travers la connaissance des habitudes de consommations (analyse des libellés, regroupements des achats par catégories…) peuvent notamment largement tirer parti de ces données.

Concrètement, quels sont les gains du Machine Learning ?

Tout d’abord, connaître le client et mieux adresser ses besoins

Le Machine Learning permet de tirer le maximum de valeur des données en singularisant les modèles là où les méthodes « classiques » reposent sur un modèle commun à l’ensemble des données d’entrée. Par exemple dans le cas de la détection de fraude, les modèles de règles « classiques » reviennent à élaborer un modèle qui sera commun à tous les clients, sans tenir compte de leur unicité, là où le Machine Learning permettra une détection plus efficace en associant un profil à chaque client et en effectuant une surveillance et une détection propres à ce profil. Ce raisonnement vaut pour tous les autres domaines d’applications, et permet, in fine, une meilleure représentation et une meilleure connaissance non plus « du client » au sens large, mais de chacun des clients.

Le Machine Learning permet également d’offrir de nouveaux services

Au-delà de l’amélioration notable des résultats basés sur les KPI classiques (taux de faux positifs, taux de détection…), le Machine Learning permet une création de valeur en termes de gains financiers en personnalisant les outils dont profite le client. Cela peut parfaitement servir de socle à une offre commerciale qui reposerait par exemple sur la personnalisation de ses seuils par le client ou sur la possibilité d’être alerté en temps réel lorsqu’une information marketing, commerciale ou concernant sa sécurité a particulièrement du sens. Certaines banques ont d’ailleurs déjà franchi le pas, en offrant la possibilité à leurs clients Entreprises d’être alertés en cas de virements qui dépassent des seuils personnalisés préalablement établis.

Finalement, le Machine Learning est aussi une occasion de moderniser les outils et rester à l’état de l’art

Lancer un projet de Machine Learning permet de communiquer sur le sujet et de profiter du buzzword pour générer de la satisfaction chez un certain nombre de client de plus en plus sensible à des problématiques de sécurité ou de confidentialité, tout en s’assurant d’être à l’état de l’art du marché. Cela peut également permettre de moderniser des outils existants en vue des changements qui vont continuer d’opérer dans la Banque en Ligne au gré des nouvelles règlementations et des exigences techniques (temps réel notamment avec Instant Payment) et métiers qui en découlent. Dans ce cadre, on voit par exemple éclore des méthodes de Machine Learning pour la surveillance des marchés et lutter contre les délits d’initiés.

En conclusion, la pleine maîtrise technique du Machine Learning coïncide avec de nouveaux besoins et de nouvelles exigences exprimés dans la Banque en Ligne moderne. Embrasser cette évolution présente de nombreux avantages, de l’amélioration des performances et des résultats à la satisfaction des clients, en passant par une meilleure flexibilité technique. La maîtrise des différentes méthodes doit permettre un renouvellement des traitements et des processus métiers, en les rapprochant du client (aujourd’hui ces méthodes sont plutôt transparentes pour lui). Dans le cas de la lutte contre la fraude, on peut par exemple imaginer de nombreux cas autour de l’alerting et des contre-mesures, comme une vérification par authentification forte en cas de suspicion, ou des informations reçues en temps réel pour mieux impliquer les clients.

Cet article Le Machine Learning, quelles opportunités et quels enjeux dans une Banque en Ligne moderne ? est apparu en premier sur RiskInsight.

Au cours du Cybersecurity Summit de l’année 2016, l’un des principaux événements de l’île autour de la cybersécurité, l’autorité des marchés de Hong Kong (Hong Kong Monetary Authority – HKMA) a annoncé le lancement du programme CFI, ou « CyberSecurity Fortification Initiative ». Il s’agit d’un plan pluriannuel visant à renforcer la sécurité des banques locales.

Voici les principaux points à retenir de cette initiative, qui reprend les meilleures pratiques internationales en termes de cybersécurité, ainsi qu’une approche novatrice de la cyber threat intelligence.

Une amélioration du niveau de sécurité articulée autour de trois axes

CFI est une initiative sur laquelle travaille la HKMA pour renforcer la cyberresilience (i.e. la capacité à résister/survivre d’une cyberattaque) des organisations. Elle cible toutes les institutions autorisées [1] Authorized Institutions (ou AIs), autrement dit l’ensemble des banques de Hong Kong et repose sur trois piliers :

Un framework d’évaluation de la « cyber-résilience »

Chaque banque aura en charge le déploiement du framework sur son périmètre, ce qui permettra à la HKMA d’ »obtenir une vue globale du niveau de maturité des AIs individuelles ainsi que de l’ensemble du secteur bancaire ». Il se décompose en trois grandes étapes :

• Évaluation des risques dit « inhérents » : étude du niveau de risque de l’organisation, sur les volets aussi bien métiers que technologiques – ce qui nécessite une bonne compréhension de ces deux domaines. Le niveau de risque sera évalué comme élevé, moyen ou faible.
• Évaluation de la maturité : une évaluation du niveau actuel de maturité de l’organisation en termes de cybersécurité
• Des simulations de cyber-attaques, ou Intelligence-led Cyber Attack Simulation Testing (iCAST), pour les banques ayant un risque inhérent évalué comme élevé ou moyen. L’objectif de cette étape est de simuler les cyberattaques, non seulement d’un point de vue technique, mais aussi en prenant en compte les personnes et les processus.

Bien que tous les détails ne soient pas encore publics, les deux premières étapes sont similaires à l’outil FFIEC Cybersecurity Assessment Tool, mis en place par le régulateur américain, et qui a été déployé par de nombreuses grandes banques au cours de l’année passée.  Une correspondance doit être faite entre le niveau de risque et le niveau de maturité réelle. En cas d’écart de ces deux indicateurs, la banque devra fournir une feuille de route pour le combler.

La troisième étape, elle, est plus innovante, en particulier de la part d’un régulateur. En effet, iCAST ne repose pas seulement sur des tests d’intrusion techniques, mais demandera aux banques de réaliser de véritables tentatives d’attaques, en s’appuyant notamment sur des données issues de la threat intelligence. Ce type de test « agressif » (aussi appelé « Red Team ») est l’un des moyens les plus efficaces pour tester le niveau de sécurité réel d’une organisation.

1. Un programme de développement professionnel

Le CFI vise également à professionnaliser le secteur de la cybersécurité à Hong Kong, en instaurant un système de certification et de formation offrant trois niveaux : « basique », « professionnel » et « expert ». Il est prévu que les certifications du Council for Registered Ethical Security Testers (ou CREST) britannique intègrent ce programme de développement. Des équivalences seront par ailleurs mises en place pour « veiller à ce qu’une expérience ou une expertise dans le domaine de la cybersécurité soit reconnue. ».

2. Une plateforme de partage CyberIntelligence

La threat intelligence, ou renseignement sur les menaces en français, est devenue essentielle. Chaque entreprise peut développer ses propres compétences et méthodes, mais le succès même de l’approche passe par le partage de l’information. Par conséquent, la HKMA planifie de lancer une plate-forme de partage CyberIntelligence, accessible à toutes les banques agréées à Hong Kong. Son objectif sera d’offrir un système sécurisé et adapté pour partager des données pertinentes, sans compromettre la confidentialité des informations.

3. Un déploiement pas à pas pour le programme

Trois étapes ont été fixées pour les banques à Hong Kong :

• Une consultation du secteur bancaire a commencé fin mai 2016 pour une durée de trois mois, afin de récupérer des retours sur la version préliminaire du framework de cyber-résilience.
• Il est important de noter que la HKMA requiert une participation des conseils de surveillance ou des directions générales des banques. L’évaluation devra être menée par des « professionnels qualifiés possédant les connaissances et l’expertise nécessaires ».
• La HKMA travaillera avec les organisations professionnelles et publiques afin de déployer les premiers cours de formation et de mettre en place de la plate-forme de partage CyberIntelligence d’ici fin 2016.

L’évolution des normes à Hong Kong

Cette initiative de la HKMA tombe dans un contexte réglementaire en rapide évolution à Hong Kong. Plusieurs approches susceptibles de changer la donne vont en effet y façonner l’avenir de la sécurité de l’information dans les années à venir.

En particulier, la circulaire récente sur la cybersécurité ciblant les organisations régulées par la Securities and Futures Commission (SFC), et la révision à venir sur les lois traitant des données à caractère personnelles.

Avec près de 200 banques sur son territoire, Hong Kong se saisit ainsi pleinement du sujet de la cybersécurité, crucial pour maintenir sa position de centre financier de premier plan en Asie.

Cet article Hong Kong lance un vaste programme Cybersécurité pour son secteur bancaire est apparu en premier sur RiskInsight.

Parallèlement, les chiffres de la fraude n’ont cessé de progresser, pour dépasser en 2014 les 500 millions d’euros détournés sur le plan national. Dans la plupart des cas, cette fraude est due à l’utilisation de numéros de carte volés.

Pour endiguer cette tendance, les principaux organismes émetteurs de cartes bancaires (dont Visa et MasterCard) ont décidé de fonder en 2005 le Payment Card Industry Security Standard Council, dont le porte-étendard demeure sans nul doute PCI DSS (Payment Card Industry Data Security Standard).

PCI DSS et la nébuleuse des responsabilités

Le standard PCI DSS s’applique à « toute entreprise qui stocke, traite ou transmet des données carte ». Cette définition englobe donc aussi bien les banques que les commerçants, ou encore les prestataires de service de paiement (PSP), qui ont de ce fait des comptes à rendre devant les réseaux émetteurs de cartes. Pour être conformes à PCI DSS, ces acteurs doivent ainsi respecter les 280 exigences de sécurité qui composent le standard, réparties autour de 12 thèmes de nature technique ou organisationnelle.

Il convient par ailleurs de noter qu’en France, le standard PCI DSS n’est pas une obligation légale, mais est imposé contractuellement par les principaux acteurs du marché : Visa et MasterCard. Une société non conforme à PCI DSS s’expose ainsi à des pénalités financières, qu’elles soient imposées directement par les réseaux, ou par un partenaire de la chaine de paiement, comme ce fût par exemple le cas pour le Groupe Aldo en 2010.

Toutefois, les acteurs concernés n’ont pas tous les mêmes responsabilités vis-à-vis de la norme. Si la conformité des commerçants doit être justifiée chaque année auprès de Visa et MasterCard, ce n’est pas le cas de la banque, qui n’est pas tenue de réaliser un reporting régulier sur sa propre situation. Elle est en revanche responsable de celle de ses commerçants, autrement dit sa clientèle professionnelle. En effet, la déclaration des commerçants demeure du ressort de la banque, qui s’expose en cas de non-conformité ou de compromission chez l’un de ses clients à des pénalités financières.

Des commerçants aux profils variés…

Tous les commerçants ne présentent pas le même profil vis-à-vis du standard, et ne font donc pas face aux mêmes obligations. PCI DSS distingue quatre catégories, dont la plus élevée regroupe les marchands effectuant plus de six millions de transactions annuelles sur un réseau. Ces sociétés doivent impérativement obtenir une certification PCI DSS, délivrée à l’issue d’un audit au cours duquel l’intégralité des points de contrôle est vérifiée. Les autres commerçants n’ont pas d’obligation de certification. Leur conformité est justifiée par le biais d’un processus déclaratif, matérialisé par un questionnaire d’auto-évaluation (Self Assessment Questionnaire, SAQ). Ce questionnaire, complété chaque année, permet d’attester que l’ensemble des points de contrôle de la norme est respecté par le commerçant.

Les commerçants ne sont toutefois pas contraints de supporter eux-mêmes l’intégralité des exigences adressées par la norme. Un e-marchand ne comptant que quelques salariés ne disposera vraisemblablement pas de service informatique spécifique, ne développera probablement pas lui-même son site internet, et hébergera encore moins les fonctionnalités de paiement sur son système d’information. Les commerçants dans cette situation ont ainsi la possibilité de reporter une partie des responsabilités liées au standard vers un prestataire proposant une solution de paiement certifiée PCI DSS. Le commerçant choisissant cette solution ne deviendra pas automatiquement conforme à PCI DSS, mais portera considérablement moins de risques sur son périmètre. À titre de comparaison, le SAQ correspondant à cette situation n’adresse que deux des douze thèmes (sécurité physique et gestion des prestataires) du standard, pour un total de 17 exigences à couvrir.

…dont la banque hérite d’une responsabilité complexe

La banque est responsable de la déclaration de l’ensemble de ses commerçants auprès des réseaux. Si les marchands les plus conséquents sont susceptibles d’être d’autant plus réceptifs voire demandeurs de cette démarche PCI DSS, ce n’est pas nécessairement le cas des commerçants peu exposés, en règle générale également peu sensibles aux questions de sécurité. Aborder le standard sous l’inconditionnel angle réglementaire serait alors voué à l’échec. Le client risquerait en effet de se tourner vers une autre banque, ne lui imposant pas ces contraintes dont il ne perçoit pas la nécessité.

Il appartient alors à la banque d’accompagner son commerçant, en lui faisant dans un premier temps comprendre les enjeux portés par la sécurisation des données. Pourquoi protéger les données carte ? Quels risques encourus en cas de compromission ? Comment corréler sécurité et développement du business ? Toutes ces questions peuvent être abordées sans même évoquer PCI DSS. L’objectif est que le marchand intègre la protection des données comme vecteur de sécurisation de son business, lui permettant de continuer à travailler en acceptant les moyens de paiement Visa et MasterCard, et de développer la confiance de sa clientèle.

En tant que premier relais de l’établissement bancaire auprès du client, le chargé d’affaires peut être l’interlocuteur privilégié pour aborder ces questions. Il est alors du ressort de la banque de définir sa cible en termes de sensibilisation, et de former ses conseillers au discours sécurité qui doit être intégré au sein de la démarche commerciale globale.

En synthèse, la banque se retrouve donc dans une position complexe d’intermédiaire entre les réseaux carte et ses propres clients. Pour satisfaire les deux parties, il est alors nécessaire de gérer les risques associés à leurs intérêts divergents. Risque réglementaire d’une part, lié au non-respect des exigences imposées par Visa et MasterCard. Risque économique d’autre part, dû à une fuite d’une partie de sa clientèle.

Définition d’une stratégie de déclaration, le véritable enjeu pour la banque

La multiplicité des profils au sein d’un portefeuille clients proscrit l’adoption d’une réponse unique. Pour satisfaire l’ensemble des acteurs impliqués, une stratégie portant sur la déclaration de chaque client doit ainsi être mise en œuvre.

Imposer le remplissage systématique d’un SAQ en vue d’une déclaration ne convaincra pas les plus petits commerçants, moins exposés et moins enclins à consacrer les ressources nécessaires à une mise en conformité PCI DSS. À l’inverse, laisser une marge de manœuvre totale à ses clients exposera la banque aux pénalités imposées par Visa et MasterCard en cas de compromission.

La stratégie adoptée doit donc se construire sur la base des profils commerçants, pouvant être modélisés suivant deux paramètres :

• Exposition au risque : le commerçant est d’autant plus exposé qu’il réalise un grand nombre de transactions carte à l’année, et qu’il est au contact de ces données (par exemple en les stockant sur son système d’information, ou en portant certaines fonctions de paiement en interne).
• Maîtrise des exigences PCI DSS : le commerçant a un niveau de maîtrise d’autant plus important qu’il est en mesure d’allouer les ressources nécessaires à la démarche de mise en conformité, et qu’il manifeste sa volonté de conformer aux règles du standard.

En définitive, la meilleure réponse que puisse apporter une banque à la question PCI DSS repose sur une approche pragmatique. Connaître son portefeuille clients et identifier les risques portés par chacun d’entre eux doit permettre de répartir au mieux les moyens à consacrer à leur mise en conformité. Cet engagement de moyens sera par ailleurs perçu de façon positive par les réseaux carte, moins susceptibles de se retourner vers la banque si une compromission commerçant venait malgré tout à se produire.

Cet article PCI DSS : Quelle stratégie pour la banque vis-à-vis de ses commerçants ? est apparu en premier sur RiskInsight.

La Directive de Services des Paiements : une première initiative

L’adoption par le Parlement Européen en 2007 de la Directive de Services des Paiements (DSP) et sa transposition sur le plan national en 2009 avait pour objectifs majeurs d’harmoniser les services de paiements de l’Union Européenne et de stimuler la concurrence. Mise à part le fait qu’à partir de cette adoption, il est possible d’effectuer et recevoir des paiements d’Allemagne, d’Espagne, du Royaume-Uni… aussi aisément qu’en France ; un nouveau statut d’Établissement de Paiement (EP) a été créé. Il permet à de nouveaux acteurs autres que les banques et les établissements de crédit de fournir des services de paiement. En France, les EP sont agréés par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).

L’héritage de cette première version concernait 3 types de Fintech : celles proposant des opérations de paiements associés à un compte (ex : Slimpay qui permet de générer des mandats de prélèvements électroniques), les transferts de fonds et les émissions d’instruments de paiement (ex : portefeuille électronique). Les plateformes de financement (crowdfunding) qui ne fournissent pas de services de paiement n’entrent pas dans le champ d’application de la DSP1. Elles sont par ailleurs réglementées par l’ordonnance du 30 mai 2014 en tant que service de financement. Celles qui perçoivent des fonds bénéficient jusqu’à présent d’une dérogation, du fait que le montant total de leurs opérations de paiement soit inférieur à 3 000 000 € sur un mois (article 26 de la DSP1).

De nouveaux types d’acteurs, un nouveau cadre réglementaire

Le développement des Fintech a fait apparaître de nouveaux services de paiements depuis la DSP1 : les services d’information sur les comptes (ex : agrégateur de données Bankin’) et les services d’initiation de paiement (ex : Sofort), autrement appelés les tiers de paiement (Third Party Providers ou TPP). Ces nouveaux acteurs, se connectant aux banques des utilisateurs via leur login/mot de passe bancaire, ne sont pas pris en compte par la DSP1 et engendrent de nouveaux risques (données n’étant plus sous la protection du secret bancaire, problématique liée aux responsabilités en cas de fraude, etc.).

La DSP2 (adoptée par le Parlement Européen le 8 octobre 2015 et qui devrait être transposée dans le droit national fin 2017) stimule toujours la concurrence tout en fournissant un nouveau cadre réglementaire adéquat entre les TPP et les banques. Concernant la DSP1, les contrôles sont effectués par l’ACPR, la CNIL et la DGCCRF et les sanctions peuvent aller jusqu’au retrait d’agrément de l’Établissement de Paiement (EP). La nouvelle version de la Directive laisse aux États membres la charge de définir le régime de sanctions à appliquer en cas de son non-respect, sanctions qui ne sont donc pour l’instant pas connues.

Extrait de l’article 103 de la Directive : « Les États membres déterminent le régime de sanctions applicables en cas d’infraction aux dispositions de droit national visant à transposer la présente directive et prennent toutes les mesures nécessaires pour en assurer l’application. Ces sanctions sont effectives, proportionnées et dissuasives ».

Une obligation pour les banques qui ouvre de nouvelles opportunités : la coopétition

La DSP2 impose aux banques de transmettre de façon sécurisée les données seulement nécessaires à l’activité des TPP et de rembourser le payeur en cas d’incident de paiement dans un délai de 1 jour (excepté si la responsabilité du TPP est engagée dans un incident de paiement, auquel cas, il doit lui-même rembourser immédiatement la banque). Pour autant, la directive ne précise pas les exigences techniques de sécurité auxquelles devront se soumettre les banques et les TPP. Le contenu des guidelines de l’Autorité Bancaire Européenne (prévus pour fin 2016) sera déterminant : les normes techniques devront prendre en considération l’éventail des risques inhérents aux nouveaux services de paiement.

Cette obligation peut être vue comme une opportunité pour les banques de développer des Open API. L’Open API est une interface de programmation qui permet à des tiers d’accéder à des ressources internes. Cet accès n’est pas forcément autorisé en lecture et en écriture à l’intégralité des données. La plupart du temps, il est limité et nécessite l’accord de l’utilisateur.

Les banques peuvent utiliser et promouvoir ces mécanismes afin de renforcer leur compétitivité, leur image de marque et proposer de nouveaux services plus rapidement en offrant la possibilité aux développeurs externes de créer de nouvelles applications à partir de l’Open API et en les rémunérant en échange. Ce mouvement est essentiel pour que les banques gardent la main sur l’innovation et les nouveaux services pour continuer à se différencier. Certaines banques ont déjà initié une démarche proactive et innovante en mettant en place un Open API soit ouvert au public (CA Store, Fidor Bank) soit restreint à des partenaires (Bradesco, Garanti).

Cet article La DSP2 : une directive sur les services de paiements qui prône la concurrence est apparu en premier sur RiskInsight.

Cet article Dossier : Solvabilité II, Assureurs, êtes-vous vraiment prêts ? (2/2) est apparu en premier sur InsuranceSpeaker.

Cet article Dossier : Solvabilité II, Assureurs, êtes-vous vraiment prêts ? (2/2) est apparu en premier sur RiskInsight.

Une multiplicité des moyens de paiement

Le panorama des nouveaux moyens de paiement ne cesse d’évoluer au fil des années. Cette évolution sous-entend aussi une diversité des technologies utilisées par chaque solution.

Le e-commerce : Les transactions en ligne via un ordinateur se résume généralement à recopier les données d’une carte bancaire sur un site marchand. Il est toutefois possible d’utiliser un portefeuille électronique, comme le propose par exemple PayPal.

Le m-commerce : On distingue différents modes de paiements sur mobile :

• Le paiement à distance, via internet sur une application dédiée ou sur un navigateur, ou encore par SMS en utilisant la technologie USSD (Unstructured Supplementary Service Data). Ce protocole de communication permet entre autre de consulter son suivi conso et de payer sa facture en tapant #123# depuis son mobile. Ce dernier est aujourd’hui surtout présent dans les régions du monde où la population est peu bancarisée ;
• Le transfert d’argent de mobile à mobile, est un service proposé par de plus en plus de portefeuilles électroniques, à l’instar de Google Wallet ou des portefeuilles Bitcoin;
• Le paiement de proximité, ou paiement sans contact, permettant de payer chez le marchand avec son smartphone. Cette solution est dominée par deux technologies. La première est le Near Field Comunication (NFC), comme le proposent Apple Pay et Google Wallet. La seconde est le Quick Response Code (QR Code), une technologie notamment utilisée par les portefeuilles Bitcoin ou DigiCash.

Il ne s’agit pas ici d’une liste exhaustive des nouveaux moyens de paiement, puisque d’autres solutions permettent de payer autrement, à l’image du NFC Reader proposé par Square. Cependant, il faut garder en tête que ces nouvelles solutions tendent à se généraliser. Reste à identifier les impacts au niveau de la sécurité.

Quels enjeux en matière de sécurité ?

Ces nouveaux moyens de paiement sont tributaires des supports qui les proposent. Autrement dit, de nouveaux risques apparaissent, puisque le smartphone devient en partie responsable de la sécurité du paiement. Certes, ces solutions proposent des systèmes de sécurisation de la transaction via par exemple le chiffrement ou la tokenisation (mécanisme visant à remplacer le numéro de la carte bancaire par un autre numéro unique et inutilisable dans d’autres contextes). Mais un smartphone n’est autre qu’un outil personnel pour l’utilisateur, donc potentiellement personnalisable ou attaquable. Or, une authentification désactivée, ou un smartphone « jailbreaké » (dont les fonctions de sécurité ont été déverrouillées) sont autant de problèmes de sécurité dont l’utilisateur est responsable ou peut être la victime en cas de failles de sécurité utilisées des pirates.

La solution de paiement doit donc proposer des mesures de sécurité pour palier à ces éventualités. Trois exemples concrets permettent de mieux comprendre les enjeux de la sécurité des nouveaux moyens de paiement.

Apple Pay, Google Wallet et les portefeuilles Bitcoin, trois solutions, trois philosophies différentes

Les solutions proposées par les deux géants américains Apple et Google, sont des portefeuilles électroniques. À noter que ce terme est un abus de langage car il signifie initialement l’utilisation d’un compte crédité. Ils permettent de payer via des applications qui les supportent, et ils permettent aussi de payer chez le marchand directement avec son smartphone par communication NFC. Google Wallet existe depuis septembre 2011 aux États-Unis alors qu’Apple Pay est lui disponible depuis octobre 2014 outre-Atlantique et depuis le 14 juillet 2015 en Grande Bretagne. On compte néanmoins plus de 700 000 terminaux de paiement acceptant chacune des deux solutions.

Apple Pay (à gauche) et Google Wallet (à droite)

L’une des distinctions majeures entre ces deux solutions réside dans le stockage des données à caractère personnel. Tandis qu’Apple certifie ne récupérer aucune donnée qui pourrait être reliée à l’utilisateur, Google, lui, se propose de récupérer et stocker toutes ces données dans le Cloud. La raison de ces choix technologiques provient du fait qu’Apple est propriétaire de sa technologie de bout en bout, il fabrique ses propres smartphones. De l’autre côté, Google ne fabrique pas les mobiles qui proposent sa solution de paiement. Ainsi, il se propose de stocker toutes les données sur le cloud afin de les sécuriser. Une confiance que l’on retrouve aussi au travers d’une solution en marge du système bancaire : le Bitcoin.

Les portefeuilles Bitcoin permettent de faire ses achats en monnaie « virtuelle » depuis son mobile. Il est en effet aujourd’hui possible de payer avec ses bitcoins chez certains marchands, et ce, même en France. Le Picotin par exemple, restaurant dans le 12^ème arrondissement de Paris, propose à ses clients de payer son addition par bitcoin.

© Sebastian Seibt | Le Picotin accepte les paiements en monnaie dématérialisée

De plus, certains portefeuilles électroniques comme igot (disponible en Australie) s’occupent de transférer au marchand l’équivalent de la quantité de bitcoin en monnaie locale.

Ce moyen de paiement virtuel présente de nombreux avantages, en particulier du point de vue de l’anonymisation même s’il reste peu répandu et sujet à des variations de valeurs extrêmement fortes.

Ces solutions sont donc une nouvelle expérience de paiement. Une expérience qui se voit portée par deux arguments : ergonomie et sécurité. Apple Pay, Google Wallet, et les portefeuilles Bitcoins peuvent-ils incarner l’avenir des paiements sécurisés ? C’est dans l’optique de répondre à cette question, qu’il sera nécessaire de décrypter la sécurité de ces trois nouveaux moyens de paiement. Cela fera l’objet de prochains articles de blog à ce sujet.

Cet article Démocratisation des nouveaux moyens de paiements : la sécurité au cœur des enjeux est apparu en premier sur RiskInsight.

La directive-cadre Solvabilité 2 date de 2009. Nous sommes presque en 2015. D’après vous, quelles ont été les plus grandes avancées du secteur de la mutualité sur la gestion des risques ?

Alban Jarry : Un meilleur adressage des éléments pouvant générer des risques qui améliore progressivement la transparence dans la remontée d’informations et, par conséquent, un meilleur pilotage de l’entreprise. Aujourd’hui, il est possible d’avoir des tableaux de bords plus précis sur les risques financiers, assurantiels, opérationnels ou environnementaux. Cartographier les risques et les anticiper permet de mieux informer la gouvernance et de l’éclairer dans sa prise de décision.

Serge Marcante : À la Mutuelle Générale, nous avons mis en place fin 2013 une Direction des Risques et de la Qualité (DRIQ) indépendante des directions opérationnelles. Elle regroupe quatre services qui permettent de couvrir les problématiques liées aux risques et à la surveillance des processus : la gestion des risques, la sécurité, la conformité et la qualité. Avant même la mise en application de la Directive, cette direction va permettre au Conseil d’Administration de disposer de toutes les informations sur les risques stratégiques qui peuvent affecter le profil de risque de la mutuelle et ainsi de les anticiper.

Plus particulièrement à la Mutuelle Générale, où en êtes-vous dans la mise en place de la fonction « Risques », l’une des quatre fonctions clés définies par Solvabilité 2 ?

SM : Cette fonction sera localisée (dès l’entrée en vigueur des textes législatifs) au sein de la DRIQ dans la Direction des Risques. Elle assurera le respect de l’article 44 de la Directive. Nos politiques de risques et de gouvernance sont en cours de finalisation et seront applicables pour 2016. Il est important de se préparer, dès à présent, aux échéances réglementaires qui vont arriver dans un peu plus d’un an.

AJ : Nous améliorons continuellement notre dispositif de surveillance des risques et les cartographions. C’est un travail collaboratif et nous nous appuyons, en particulier, sur la Direction de la Qualité et du Développement Durable qui a rédigé la plupart des processus et permis de mieux cartographier les risques opérationnels. Pour les risques assurantiels et financiers, nous nous sommes dotés d’outils de surveillance qui permettent de les suivre et de calculer, en particulier, les éléments quantitatifs du pilier 1.

Avez-vous déjà défini de quelle façon l’AMSB, notion nouvelle en France, va être constituée ?

SM : Nous attendons la transposition en droit français de l’AMSB pour finaliser notre organisation sur ce point et notamment sur le principe des « quatre yeux ». Ce point est toujours en cours de négociation avec les autorités.

Un des objectifs de l’ORSA est de développer la culture du risque à chaque échelon de l’établissement et de mobiliser l’ensemble des acteurs. Aujourd’hui, quels sont selon vous les acteurs les plus sensibilisés ?

SM : L’ensemble de la chaîne de décision et de gouvernance est progressivement sensibilisé : le Conseil d’Administration, la Présidence, la Direction Générale Déléguée, les membres du Directoire et du Comex. Il est primordial que tous soient informés et participent à la surveillance des risques.

AJ : Nous avons une structure de contrôle en trois niveaux assez classique : les directions opérationnelles, la DRIQ puis l’Audit. Au niveau des directions opérationnelles, nous sommes en train de renforcer la surveillance des risques avec la création de « correspondances DRIQ » qui seront les premiers relais de notre direction dans la structure. Il est important que les collaborateurs soient sensibilisés car ce sont les premiers acteurs d’une amélioration continue de la qualité.

La gestion des risques telle que requise par Solvabilité 2 est-elle jugée comme étant une opportunité au sein des établissements ou comme un frein au développement ?

SM : La performance exigée par Solvabilité 2 en matière de gestion du risque est une opportunité pour la structure et doit participer à son développement en l’aidant à mieux appréhender les risques inhérents à chaque décision et à mieux les maîtriser quand ils se présentent. Plus largement, la collecte de données et de simulations, le fait de devoir repenser la culture du risque et d’affiner les outils de gestion internes sont autant d’éléments positifs pour l’entreprise.

Selon vous, quels sont les facteurs clés de succès pour une bonne gestion des risques dans un établissement du secteur de la mutualité ?

AJ : Une bonne gestion des risques nécessite de tenir compte du principe de proportionnalité et de maîtriser les budgets affectés à leur surveillance. Surtout, il faut être pragmatique dans la prise de décision. Les fondations d’une bonne maîtrise des risques reposent avant tout sur notre capacité à faire preuve de bon sens. C’est dans ce but que nous avons réorganisé l’actif et avons retenu un unique dépositaire. Nous travaillons aussi avec nos différents délégataires de gestion pour optimiser nos traitements liés au passif. Dialoguer avec les autres acteurs du secteur en participant à des travaux de Place facilite aussi grandement la mise en place de Solvabilité 2.

A contrario, s’il n’y en avait que deux à citer, quels sont les écueils à éviter ?

SM : Le premier écueil serait de considérer que les nombreuses règles et procédures instaurées par Solvabilité 2 en matière de maîtrise des risques doivent se subsister au bon sens élémentaire, primordial dans ce domaine. La deuxième erreur serait de négliger le principe de proportionnalité, au risque de construire une usine à gaz et de perdre de vue l’objectif essentiel : maîtriser les risques de l’entreprise.

*Alban JARRY, Directeur du Programme Solvabilité 2 et de la Mutuelle Générale, Vice-Président de XBRL France.
**Serge MARCANTE, Directeur des Risques et de la Qualité et membre du Directoire de la Mutuelle Générale

Cet article La gestion des risques sous Solvabilité 2 : quelle intégration dans le secteur de la mutualité ? est apparu en premier sur RiskInsight.

Cet article Banques et sécurisation des transactions sensibles : les tendances dans quelques pays d’Europe est apparu en premier sur RiskInsight.

Nous l’avons vu lors d’un précédent article, les banques ont mis en place un certain nombre de mécanismes pour protéger leurs services bancaires en ligne.

Face à l’évolution des techniques des cybercriminels – et face, aussi, à l’évolution des usages des clients – ces mécanismes montrent depuis quelques temps leurs limites. Dès lors, quels moyens sont à disposition des banques pour assurer la détection des activités illégitimes et une réaction efficace le moment venu ?

Mécanismes de protection : la ligne Maginot des services bancaires en ligne

Si l’on décide de voir le verre à moitié plein, il est intéressant de noter que chaque nouvelle attaque met en évidence des lacunes dans les mécanismes de protection en place, contribuant ainsi à l’amélioration continue du niveau de sécurité.

Ainsi, au-delà de la protection des opérations sensibles par ANR, plusieurs autres mesures de protection sont adoptées par les banques de la place : masquage partiel des numéros de téléphone et adresses mail (pour éviter leur récupération par les attaquants), interdiction de virements vers des bénéficiaires frauduleux (« listes noires d’IBAN »), mise en place de plafonds sur les virements, ajout d’un délai d’activation du bénéficiaire, etc.

Toutefois, les banques qui concentrent leurs efforts sur les seuls mécanismes de protection se retrouvent dans des situations difficiles à gérer lorsqu’elles sont victimes d’un type d’attaque non anticipé. Quelles décisions prendre et avec quels interlocuteurs ? Quelle communication vis-à-vis des clients fraudés et non-fraudés ? Comment revenir à une situation « protégée » tout en maintenant le service offert aux clients ? Ce flottement donne généralement quelques jours aux pirates pour mener à bien leurs attaques, tandis que le passage en gestion de crise paralyse fortement les activités de la banque.

L’amélioration continue des mécanismes de protection permet de se prémunir des attaques connues et d’anticiper les plus prédictibles. En parallèle, il est crucial d’accepter les contournements à venir, de se donner les moyens de les détecter et de réagir rapidement le moment venu.

Ce constat est d’ailleurs appuyé par la Banque Centrale Européenne, via ses « Recommandations pour la sécurité des paiements sur internet » publiées en février 2013, pour application dès le 1^er février 2015. Au-delà des bonnes pratiques sur les processus de sécurité (politiques, analyses de risques, etc.) et des aspects relatifs à la robustesse des accès banque en ligne (authentification forte, protection des sessions, etc.) déjà globalement maitrisés, l’accent est en effet mis sur la surveillance, la détection et le blocage des transactions frauduleuses ainsi que sur les dispositifs d’alerte à destination des clients.

Le client au cœur du dispositif de détection de fraude

Trois vecteurs principaux de détection sont à disposition des banques : le client fraudé lui-même, la présence d’indicateurs de compromission à son niveau et l’analyse de son comportement.

Le client fraudé identifie la fraude avec certitude après consultation de l’état de ses comptes. Mais il peut également identifier les tentatives de fraudes et noter des comportements anormaux du site (temps de chargement longs, pages inhabituelles, demandes inopportunes de validation, etc.). La priorité pour les banques est donc de faciliter la remontée d’information par les clients. Dans la mesure où l’interlocuteur principal des clients est leur conseiller, une solution efficace consiste en la formation des conseillers et téléconseillers à la fraude : scénarios classiques, questions à poser pour affiner le diagnostic, réponses à apporter, etc. L’escalade vers des téléconseillers dédiés à la gestion des fraudes peut notamment faire partie du processus.

La présence d’indicateurs de compromission caractérise l’infection d’un client par un malware et met ainsi en évidence la nécessité de mettre sous surveillance ses activités. En fonction du malware, les critères analysés peuvent être les suivants : IBAN utilisés pour les virements, méthodes JavaScript invoquées par le client lors de la visite du site, etc. De nombreux éditeurs proposent des solutions de détection, parfois dédiées au secteur bancaire. Elles prennent la forme soit d’un logiciel à installer sur le poste du client, soit d’un composant à installer sur l’infrastructure de la banque en ligne. Ces solutions sont toutefois souvent peu utilisées par les clients car complexes à installer et à maintenir.

L’analyse comportementale du client permet, sur la base d’indicateurs techniques et métiers, d’identifier les actions inhabituelles, et donc suspectes, de chaque client. Les critères suivants peuvent notamment être pris en compte : lieux et horaires de connexion, fréquence et montant des opérations, bénéficiaires habituels (pays, IBAN, etc.), présence d’un même bénéficiaire étranger pour plusieurs clients, etc. Généralement basée sur un système de notation de la transaction, les solutions existantes facilitent le travail des équipes internes en leur permettant de concentrer leurs analyses sur les transactions suspectes uniquement. Ces solutions sont plus largement répandues mais peuvent encore beaucoup progresser.

Réaction : un enjeu fort, une maturité hétérogène

Comment réagir une fois les premiers diagnostics techniques menés si la détection n’est pas réalisée par le client lui-même ? La levée de doute doit nécessairement être effectuée auprès du client. Aussi, afin d’établir un contact avec le client qui soit à la fois rapide et en phase avec la politique de l’agence concernée, la solution la plus répandue est d’informer le conseiller pour qu’il assure un premier traitement.

L’existence et la diffusion de procédures simplifiées à destination des conseillers est également un accélérateur efficace du traitement. Ces procédures indiquent les réflexes à adopter (questions à poser et conseils à donner au client) en fonction de la nature de la suspicion : changement de mot de passe, désinfection du poste, acceptation d’une intervention, etc.

En complément,  les fonctionnalités ciblées par la fraude en cours doivent pouvoir être désactivées client par client, par exemple sur action du conseiller concerné. Cette possibilité évite de réduire les fonctionnalités offertes à l’ensemble des clients alors que seul un nombre réduit est infecté.

Afin d’éviter les sur-sollicitations et d’être plus efficace en cas d’incident avéré notamment, les alertes à destination des conseillers clientèle doivent rester exceptionnelles et être à ce titre « préfiltrées » par des dispositifs techniques ou organisationnels.

Enfin, au-delà de l’efficacité de la réaction en mode nominal, il est également crucial de réussir sa gestion de crise : critères d’entrée, partage des processus par les interlocuteurs, canaux de communication, traitement opérationnel et communication.

Toutes ces opérations nécessitent une refonte souvent en profondeur des outils de gestion de la banque en ligne et des processus de relation clients. Plusieurs grandes banques sont en train de réaliser leurs mues vers la « banque en ligne sécurisé 2.0 » mais les efforts doivent être maintenus dans la durée.

Vers une sécurité de bout en bout des opérations financières

58% des français attendent des améliorations sur la sécurité de la part de leur banque. Bien que sensibilisés au sujet, les acteurs bancaires doivent encore accentuer leurs efforts.

De nombreux défis restent à relever, notamment sur l’identification de nouveaux mécanismes d’authentification qui doivent combiner résistance aux attaques sophistiquées,  compatibilité avec les situations de mobilité et facilité d’utilisation.

Au-delà de cette seule protection, les volets détection et réaction sont le véritable enjeu. On peut s’attendre dans les prochains mois à une uniformisation vers le haut tant dans l’outillage que les processus internes de gestion des fraudes.

Seule une imbrication poussée des filières Cybersécurité et métier permettra de relever ces défis et de garantir ainsi une sécurité de bout en bout des opérations financières. Ce constat est également vrai pour les autres secteurs d’activité. Ce paradigme, construit par les banques et autorités au fil du temps et au gré des nécessités, mérite donc toute leur attention sous peine de subir des attaques aux impacts dévastateurs.

Cet article Sécurité des services bancaires en ligne : combiner détection et réaction ! est apparu en premier sur RiskInsight.

La sécurisation de ces plateformes représente ainsi un triple enjeu pour les banques. Tout d’abord un enjeu financier direct, lié au préjudice que pourraient subir les clients et leur éventuel dédommagement. Enjeu d’image ensuite,  les banques devant rassurer sur leur capacité à protéger leurs clients. Enfin, un enjeu de conformité aux directives émises par les organismes régulateurs tels que la Banque de France et la Banque Centrale Européenne.

Que font concrètement les établissements pour sécuriser leur banque en ligne ? Est-ce suffisant ?

Cet article Sécurité des services bancaires en ligne : où en sommes-nous ? est apparu en premier sur RiskInsight.

Dans ce contexte la sécurité est souvent ressentie comme un mal nécessaire. Le Responsable de la Sécurité du SI doit alors changer de posture et anticiper l’évolution des usages métiers et SI, mais aussi des menaces. Ceci est d’autant plus vrai dans le monde de la banque de détail avec des sujets très concrets comme l’explosion de la mobilité, la mise à disposition de tablettes dans les agences, l’ouverture du back-office bancaire, ou encore la nouvelle concurrence des plateformes d’intermédiation pour les clients.

Maîtriser les risques au service des métiers

Le RSSI doit faire évoluer sa posture, basée aujourd’hui en grande partie sur la protection du SI, en améliorant ses capacités d’observation et d’anticipation des évolutions métiers.

L’enjeu pour lui ? Adopter un rôle de facilitateur, pour amener de la fluidité, autoriser les nouvelles technologies, les nouveaux usages et ainsi rendre concrètes les étapes permettant d’intégrer la sécurité dans les processus métiers. L’agilité et la rapidité de « délivrance » d’un service sont les éléments les plus importants pour les métiers. Si la sécurité répond trop tard, elle sera souvent ignorée.

En parallèle, le RSSI fait face à une explosion de la cybercriminalité. Des attaques plus ciblées, plus sophistiquées et plus destructrices se multiplient. Dans le cadre de l’opération Ababil, de nombreux cas d’attaques DDoS (Distributed Denial of Service) ont été recensés contre des banques hollandaises et américaines (notamment Bank of America). Autre exemple, une campagne de phishing très sophistiquée qui a récemment touché 14 entreprises en France afin de dérober des données bancaires au travers d’e-mails et d’appels téléphoniques ciblés.

Le combat est inégal : les attaquants sont innovants et rapides alors que le RSSI est contraint par des budgets et la rentabilité attendue des projets. Pour inverser la tendance, il doit se focaliser sur une stratégie de détection et de réaction face à ces attaques. Il doit également rester en veille et prendre une longueur d’avance sur les innovations des cybercriminels.

L’idéal est naturellement d’adopter une approche consistant à se concentrer sur les risques jugés prioritaires d’un point de vue sécurité mais aussi… métiers ! Ceci  bien entendu, tout en répondant aux exigences de la conformité qui vont grandissant sur les sujets de la lutte contre le blanchiment, le terrorisme ou encore la fraude.

Face à la multiplication des sujets, il paraît essentiel d’aller plus loin que les pratiques classiques de plans d’action tri-annuels. Il convient se doter d’un outil pour réussir à résoudre l’équation entre innovation et sécurité. Mais alors quel outil utiliser pour avoir une vision globale ?

Mettre en place un outil d’anticipation : construire le radar SSI

Le radar SSI, est un outil simple et visuel permettant le suivi des nouveaux usages, des menaces et des réglementations. Utile dans tous les secteurs, Solucom l’a en particulier décliné dans le secteur de la banque de détail.

Il s’accompagne d’un processus de veille permettant d’anticiper les évolutions et d’orienter la stratégie SSI afin de pouvoir répondre aux besoins d’ouverture, de mobilité, de fluidité exprimés par les métiers.

En partant des sujets bruts identifiés dans les actions de veille de Solucom, le RSSI choisira de prioriser les thèmes majeurs propres à son environnement pour ensuite définir une fiche actions par thème. Ces fiches déclenchent par la suite des réactions à court terme ou des projets à moyen terme afin de fournir une réponse sécurité en avance de phase des demandes. À travers cette transformation du mode opératoire et du positionnement du responsable sécurité, celui-ci devient porteur d’innovation et enraye son image de frein aux innovations.

En mai dernier, au cours de la remise des Trophées de la Sécurité, les discussions ont porté sur l’avenir de la fonction de RSSI. Trois pistes ont été évoquées. Parmi elles, celle d’ « Expert sécurité en solutions métiers ». Cette voie nécessiterait une intégration de la sécurité très en amont dans les projets : la clé selon nous d’une innovation maîtrisée au sein de la DSI. Pour cela, il est crucial que le responsable sécurité aille au-devant des métiers pour en comprendre les enjeux, tout en s’insérant naturellement dans la politique de sécurité et les processus historiquement définis.

Cet article Quelle marge de manœuvre pour le RSSI afin d’accompagner l’évolution des modèles bancaires ? (Épisode 2) est apparu en premier sur RiskInsight.

L’innovation, facteur d’ouverture du SI cœur de métier

De nouvelles initiatives émergent, à l’instar du  « Compte Nickel ». Ce projet consiste à permettre l’ouverture d’un compte bancaire sans aucune condition de revenu, chez un buraliste. Les formalités sont on ne peut plus simple : une photocopie d’une pièce d’identité et un numéro de téléphone portable. Ce projet, qui a obtenu l’agrément de l’Autorité de contrôle prudentiel, le régulateur du secteur bancaire, démontre un mouvement de plus en plus fort vers une désintermédiation de la banque de détail.

Pour répondre à l’apparition de ce type de service, les banques diversifient leur offre, et de fait ouvrent leur système d’information de façon significative. Des offres, telles que celle proposée par Crédit Agricole Private Banking Services pour les banques privées en Suisse, entraînent ainsi une externalisation complète des processus métier du back-office et une sous-traitance informatique. Les banques étant de plus en plus sous pression d’un point de vue coûts et évolutions réglementaires, ce « Business Process Outsourcing » leur permet de rester compétitives et de se recentrer sur l’essentiel : la relation client. Pour autant, ces ouvertures posent la question de nouveaux acteurs qui interagissent au cœur du SI bancaire et doivent être intégrées aux analyses de risques. Par exemple, la solution allemande SOFORT Banking qui effectue les paiements / règlements en se connectant à la place des clients sur leur compte bancaire.

Nous observons par ailleurs une multiplication des moyens et situations de paiement, mais aussi des acteurs. Par exemple, la start-up Klarna propose à ses clients d’effectuer leurs achats et de ne payer qu’à réception. Au-delà, les canaux d’échanges financiers se diversifient. Aux États-Unis, American Express utilise Twitter comme canal d’achats en ligne via l’utilisation des hashtags, ou encore Square qui permet d’échanger de l’argent par courrier électronique. Les questions relatives à la fraude doivent être particulièrement traitées par rapport à ces nouveaux canaux.

Mais comment se positionnent aujourd’hui les banques françaises face à cette multiplication d’usages bancaires ?

Une stratégie défensive « d’occupation du terrain » efficace pour l’instant, avec peu d’impact opérationnel

Le constat est simple : le principal  risque identifié est celui de ne pas faire, risque pouvant entraîner une désintermédiation voire un préjudice en termes d’image.

Les banques traditionnelles cherchent donc à incarner la relation client, en s’appuyant sur des services de gestion de finances.  Ainsi, des applications apparaissent se concentrant notamment sur des nouveaux modèles de gestion, portant l’innovation non pas sur la dépense mais sur l’économie.

Par ailleurs, de nouveaux moyens sont déployés pour améliorer la qualité de la relation client en développant les compétences des conseillers.  Allianz a par exemple lancé un simulateur d’entretien client virtuel « Sales Game » pour développer les compétences relationnelles et commerciales de leurs conseillers. Plus de 16 millions de scénarios différents sont proposés, par un outil qui a réclamé plus d’un an de développement.

Ces innovations poussent le SI vers plus d’ouvertures (canaux, partenaires…) et nécessitent de faire évoluer les modèles que l’on connait. En parallèle, le secteur bancaire est de plus en plus ciblé par des menaces directes sur son SI (nouveaux types d’attaques, plus ciblées, plus destructives) et les réglementations accentuent la pression. Quelle est dans ce contexte la marge de manœuvre du Responsable de la Sécurité du Système d’Information pour accompagner ces évolutions métiers ?

(À suivre)

Cet article Modèles bancaires : quid de l’évolution des usages et de la relation client ? est apparu en premier sur RiskInsight.

Le recensement de ces risques nous conduit à nous pencher sur les exigences réglementaires de Bâle II & III.

Les 3 types de risques du système financier : risques de marché, risques de crédit, risques opérationnels

Il existe trois types de risques liés aux marchés financiers. La mesure et la gestion de ces risques sont devenues un des objectifs majeurs des grandes institutions bancaires. Les réglementations prudentielles, les techniques de contrôle et les prérogatives des autorités de surveillance visent à s’appliquer à l’ensemble des banques en vue de garantir un contrôle bancaire efficace.

Le premier type de risque est le risque de marché, il est fonction de la variation de facteurs tels que : taux d’intérêt, cours de change, prix des matières premières, cours des actions…le tout dans un contexte mondial. Ces différents facteurs peuvent donner lieu à des pertes financières substantielles et par effet-dominos à un effondrement du marché financier mondial.

Le second est le risque de crédit, il est quant à lui lié à la défaillance du paiement des créances, il est fonction du montant de celle-ci, de la probabilité de défaut et de la proportion de la créance non recouvrée en cas de défaut.

Enfin, les risques opérationnels relèvent des pertes potentielles liées aux défaillances des procédures, des systèmes informatiques, à la fraude interne ou à des évènements extérieurs (fraudes externes, sinistres, réglementations ou actes de terrorisme).

Au-delà des principes fixés par le comité de Bâle en vue de la gestion de ces trois types de risques, un des trois piliers de Bâle II vise le renforcement de la discipline des marchés. L’exigence et la surveillance des fonds propres constituent les deux autres piliers adoptés par le Comité de Bâle. Pour respecter ces piliers, les établissements financiers doivent fournir aux parties prenantes et selon leur degré d’implications, des informations financières en toute transparence portant sur la structure des fonds propres, leur adéquation et les expositions aux risques.

Si Bâle II a été un projet de mise en conformité rapprochant la vision réglementaire de la vision économique, son impact n’a concerné que les métiers liés au crédit et aux activités de marchés. En revanche, Bâle III a un périmètre beaucoup plus large et des impacts plus significatifs susceptibles de changer certaines activités en profondeur, et d’inciter à des changements de stratégie. Un renforcement des systèmes de gestion des risques et des équipes d’audit viendra accompagner ces changements de stratégie.

Un moyen d’action pour contrer la crise financière : Bâle III

Avec les nouvelles exigences de Bâle III sur les ratios de liquidité LCR (Liquidity Coverage Ratio) et NSFR (Net Stable Funding Ratio), le liquidity risk management est devenu un sujet de préoccupation majeur des banques. Celles-ci doivent également s’impliquer plus fortement dans l’implémentation des règles bâloises en assurant un contrôle permanent des processus, de la gestion de l’information et de l’optimisation des profits sous des contraintes de financement en quête de stabilité.

La gestion des risques de marchés est finalement fonction de l’information financière. Quant aux banques, de nouveaux défis seront lancés en vue d’identifier et d’appliquer la bonne gestion des besoins bancaires et de leurs systèmes d’informations.  La mise en place de nouveaux modèles quantitatifs de gestion de risques ou le renforcement d’audits internes vont accroître la sensibilisation des établissements bancaires à ces risques financiers.

Cet article L’intérêt des réglementations bâloises face aux risques financiers est apparu en premier sur RiskInsight.

Parmi ces services, nous retrouvons notamment le Mpaiement. Faire ses achats sur internet à n’importe quel moment et de n’importe où (transport, salle d’attente…) a enthousiasmé les utilisateurs. Cependant, les débuts ont été laborieux : saisir les 16 caractères de sa carte bancaire sur un clavier tactile de taille réduite génère forcément des erreurs et peut décourager plus d’un client. L’achat sur smartphone ne peut être qu’efficace que s’il est simple et rapide !

Protéger sa carte bancaire à travers les portefeuilles virtuels

Les portefeuilles virtuels proposés par les commerçants ont apporté une solution : les données de carte bancaire sont enregistrées chez le commerçant et par le biais d’un login et d’un mot de passe, l’utilisateur s’identifie pour réaliser son paiement en « un clic », tout simplement. La sécurité des données est assurée par les mesures mises en œuvre dans le cas d’une certification PCI DSS du commerçant ou d’une externalisation du service auprès d’un fournisseur de service de paiement (Payment Service Provider), lui-même certifié PCI DSS. (cf. un article précédent).

S’identifier pour réaliser un paiement n’est cependant pas une solution totalement innovante. Paypal, le leader mondial du portefeuille virtuel pour les sites web a naturellement décliné son offre pour les smartphones.  Ce service remporte un net succès et attise les convoitises, comme l’on peut le voir en ce moment avec  l’arrivée de nouvelles solutions sur le marché français telles que Kwixo, Buyster ou Lemonway qui utilisent notamment le numéro de téléphone du client comme identifiant.

Au-delà des mesures techniques de sécurité pour l’hébergement des données, ces solutions proposent, pour certaines d’entre elles, une sécurisation intéressante des mots de passe du client (longueur minimale, caractères spéciaux, questions secrètes pour le renouvellement) mais malheureusement elles font également le sujet d’attaque par Phishing et l’utilisateur non averti peut alors se retrouver malgré lui piégé en livrant lui-même ses identifiants au fraudeur….

La course aux moyens de paiement de demain est lancée !

De nouveaux moyens de paiement vont changer nos habitudes de demain comme les smartphones ont pu le faire ces dernières années.

Solution déjà lancée outre-atlantique dans les Starbucks New-Yorkais, le code barre 2D (ou QR code) est une nouveauté pour le paiement mobile. Initialement envisagé pour obtenir de l’information en le flashant, le QR code, a été détourné aujourd’hui pour proposer une « facture électronique » que le client va flasher avec son smartphone, et régler via une application de portefeuille virtuel, protégé par un code PIN.

Autre challenger qui se fait dorénavant attendre… le NFC. Le Near Field Communication est un protocole sécurisé d’échange de données entre une borne et une puce, intégré par exemple dans un smartphone ou une carte bancaire. Le NFC permet de centraliser divers services en un seul support, tels que le titre de transport ou la carte fidélité. Il peut également offrir la possibilité de payer « sans contact », une solution simple et transparente pour les utilisateurs. En expérimentation depuis 2010 dans la ville de Nice, ce test grandeur nature n’a pas rencontré le succès escompté. Pour 200 000 cartes avec module NFC livrées, seules 2 800 transactions sans contact ont été effectuées la première année au sein des 1 500 commerces de proximité de la ville (source ZDNet.fr).

Cependant, Google est l’un des acteurs qui y croit fort, notamment avec sa solution Wallet, basée sur la technologie NCF. Uniquement disponible aujourd’hui aux États-Unis, Google compte bien utiliser sa force pour prendre une place importante sur ce marché avant que son concurrent Apple ne propose également sa solution.

L’un des principaux freins au développement de ce nouveau moyen de paiement reste, notamment, le nombre très limité de terminaux mobiles intégrant directement une puce NFC. Mais avec le récent dépôt de brevet d’Apple sur le NFC, on peut s’imaginer que le message a été compris par les grands fabricants de smartphones…

Cet article Un téléphone ça sert à payer ! est apparu en premier sur RiskInsight.

Les cartes de paiement ont envahi notre quotidien, que ce soit pour les achats en magasin comme pour la vente à distance en particulier via internet Pour autant, cette généralisation de l’utilisation de la carte de paiement a entrainé une augmentation du montant total de la fraude de 9,8% par an en moyenne, pour atteindre 342,3M€ en 2009*. Les grands émetteurs de cartes comme Visa et Mastercard  se devaient de réagir et de proposer de nouvelles mesures de sécurité.

PCI DSS, un standard de sécurité exigeant…

Pour contrer cette augmentation des fraudes, les acteurs majeurs des cartes de paiement ont défini le standard de sécurisation PCI DSS, dont les objectifs sont les suivants :

• Réduire les risques de fuite de données bancaires en renforçant et uniformisant à l’échelle mondiale leur sécurisation
• En cas de fraude, déplacer les responsabilités des sociétés de cartes de paiement vers les garants de la certification PCI DSS (banques et sociétés d’audit)

Le standard adresse 12 thèmes classiques de la sécurité. Mais il est particulièrement exigeant ! Toutes les règles doivent être appliquées et elles sont précises. Durcissement des serveurs, revue quotidienne des logs, détection des points d’accès wifi pirates, sont autant de chantiers complexes à adresser dans le cadre d’une mise en conformité. D’autant plus que leur application est contrôlée à travers des audits annuels pour les sociétés réalisant plusieurs millions de transactions par an.

Quelle stratégie de mise en conformité ?

Au vu de cette complexité, notre recommandation est d’initier tout projet de mise en conformité PCI DSS par la réduction du périmètre d’application du standard. Pour cela, plusieurs méthodes se détachent :

• Aligner le périmètre applicatif avec les besoins métiers réels. Cet exercice  consiste à supprimer les données de cartes bancaires partout où leur présence n’est pas justifiée par un besoin métier réel.
• Désensibiliser les données de cartes bancaires. Il est possible de remplacer les données bancaires par une donnée non exploitable en cas de fraude –  troncature, hash, ou identifiant unique (token) – différente de la donnée bancaire. Des éditeurs se positionnent sur la fourniture de solutions de désensibilisation.

Cette étape effectuée, le périmètre d’application du standard PCI DSS se résume alors aux applications restantes et aux services d’infrastructures sous-jacents (réseau, postes de travail concernés, sauvegardes, base d’identifiants uniques…). C’est a priori sur ce périmètre que s’appliqueront donc les exigences de PCI DSS.

Sauf si…  la réduction de périmètre se poursuit à travers l’externalisation de ces ressources applicatives. Et cette externalisation pourrait même servir à améliorer les services offerts…

L’externalisation : une solution à PCI DSS ?

Historiquement implantés dans beaucoup d’entreprises pour assurer un rôle d’intermédiaire avec les banques, les PSP (Payement Service Providers) peuvent jouer un rôle majeur dans une stratégie de mise en conformité, dans la mesure où toutes leurs offres sont proposées en standard sur des environnements entièrement certifiés PCI DSS.

En particulier, les PSP sont aujourd’hui en mesure de proposer l’externalisation de tous les composants de la chaîne de liaison paiement par internet ou par téléphone : collecte des données, demandes d’autorisation et de paiement, contrôles anti-fraude avancés…

Et l’externalisation peut aller encore plus loin ! Les PSP proposent dorénavant des tables de correspondance « tokenizer » facilitant la désensibilisation des données carte de paiement. Lors de la collecte de données, un identifiant unique, personnalisable, est renvoyé à l’entreprise et peut donc circuler dans le SI sans aucune contrainte vis-à-vis de la norme PCI DSS.

L’externalisation permet ainsi de réduire de manière conséquente le périmètre applicatif, mais attention… ce n’est pas la solution ultime pour être conforme à PCI DSS.  Certaines populations conservent souvent le besoin d’accéder au numéro de carte depuis leur poste de travail, pour des raisons réglementaires, entre autres. Nous pouvons par exemple citer les services de lutte anti-fraude ou les téléconseillers, dont les terminaux devront sans doute rester dans le périmètre PCI DSS. Il est donc difficile de penser qu’aucun composant du SI ne manipulera de données cartes surtout dans une grande entreprise.

Mais bien plus qu’un simple levier de mise en conformité PCI DSS, un projet d’externalisation peut devenir stratégique pour l’entreprise en lui permettant de développer de nouveaux moyens de paiements (ex : cartes cadeaux), de nouveaux marchés internationaux (facilités de connexions aux acquéreurs étrangers) ou de nouvelles fonctionnalités (ex : paiement one-click sans renseignement des données CB). Le recours à ces acteurs peut aider à la conformité mais aussi faciliter de nouveaux usages.

*Ces statistiques sont issues du rapport d’activité annuel 2009 de l’Observatoire de la sécurité des cartes de paiement publié en Juillet 2010

Cet article PCI DSS : l’externalisation est-elle une solution ? est apparu en premier sur RiskInsight.