Retour sur ce règlement et sur ce projet de mise en conformité avec Didier Lefèvre (DSI, CSN) et Yannick Thomassier (DSSI, Real.Not, opérateur de l’IGC du CSN).

Que pensez-vous de ce nouveau règlement ?

Yannick Thomassier : Avant ce règlement, il existait la directive 1999/93/CE mais un audit effectué dix ans après sa mise en place a mis en lumière ses limites. La réflexion initiée alors par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe) est claire : « […] la Commission a désigné la fragmentation du marché du numérique, le manque d’interopérabilité et l’augmentation de la cybercriminalité comme les principaux obstacles au cercle vertueux de l’économie numérique ». Le règlement européen se veut remédier à certaines lacunes de la directive 1999/93/CE en imposant une même base légale à tous les États membres. Cependant le règlement n’a pas été pour le moment assorti des actes d’exécution nécessaires à une transposition technique unique au sein de l’Europe. Chaque État membre doit donc décider de la façon dont il l’appliquera et ainsi fixer ses propres règles. Ceci correspond finalement au schéma d’implémentation que nous connaissons actuellement avec la directive 1999/93/CE. En cela le règlement n’a pas encore complètement rempli ses promesses.

Didier Lefèvre : Néanmoins, une des vertus d’eIDAS est qu’il vise à établir une référence sur l’ensemble de la chaine de confiance. Ceci est une amélioration par rapport à la directive 1999/93/CE qui n’adressait qu’un spectre réduit, à savoir la signature électronique.

Pourquoi vous lancez-vous aujourd’hui dans cette mise en conformité eIDAS ?

YT : Nous sommes dans l’obligation de nous mettre en conformité dans la mesure où la signature des notaires est une signature qualifiée.

Quelles sont les opportunités que représente ce règlement pour vous ?

YT : Nous y voyons un intérêt pour le développement de la signature dans le Cloud. L’utilisation de la carte à puce pour signer des actes notariés est un premier pas vers la dématérialisation, mais celle-ci reste encore très contraignante. Or aujourd’hui, l’usage informatique ne se limite plus à un ordinateur, mais il inclut les smartphones, les tablettes, etc. Le notaire est de plus en plus mobile, et il doit être capable de signer via ces dispositifs afin de se démarquer et répondre aux besoins de ses clients. Le règlement eIDAS est une formidable opportunité d’offrir d’autres moyens de signature qualifiée.

Quelles sont la/les principale(s) difficulté(s) que vous avez rencontrée(s) ?

YT : Le planning. Nous avons opté pour une anticipation maximale de cette mise en conformité, car le changement est un processus fastidieux et très long : il faut compulser de nombreux documents, définir de nouveaux processus, mettre en œuvre parfois de nouveaux produits et faire concorder le tout dans un planning qui respecte les jalons fixés dans le règlement lui-même. D’autant plus qu’en tant que professionnel du droit, nous nous devons d’être prêts au bon moment.

Quels conseils donneriez-vous à ceux qui souhaiteraient se lancer dans un projet de conformité similaire ?

YT : Il y a principalement deux points sur lesquels il faut être vigilant. D’une part, il est nécessaire de faire preuve d’agilité face à un nouveau règlement, soumis à de potentielles évolutions. Le corpus documentaire technique français par exemple n’est pas encore figé. D’autre part il faut se mettre en ordre de marche assez rapidement afin de préparer l’audit de certification dans de bonnes conditions.

Comment voyez-vous le futur concernant ce règlement européen ?

YT : L’implémentation technique du règlement eIDAS est sujette à l’interprétation de la part des organes de contrôle nationaux. Cela pourrait impacter son déploiement. Il pourrait donc il y avoir une phase 2 au règlement afin d’en clarifier l’implémentation et rendre ainsi son déploiement homogène au sein de l’Europe.

Et pour la suite ?

YT : Nous espérons obtenir notre qualification eIDAS dans les temps. Rendez-vous le 1er juillet 2017 !

Cet article Nouveau règlement eIDAS : retour sur un projet de mise en conformité est apparu en premier sur RiskInsight.

VERS UN CADRE COMMUN

Bien qu’aujourd’hui le règlement reprenne la majeure partie des dispositions de la directive qu’il abroge, il y apporte cependant quelques modifications, et de nouvelles dispositions, renforçant ainsi cette reconnaissance européenne des services de confiance. Le règlement détermine notamment :

• Les conditions dans lesquelles un État membre reconnaît les moyens d’identification électronique des personnes physiques et morales qui relèvent d’un schéma d’identification électronique notifié d’un autre État membre ;
• Les règles applicables aux services de confiance, en particulier pour les transactions électroniques ;
• Le cadre juridique pour les services de signatures électroniques, de cachets électroniques, d’horodatages électroniques, de documents électroniques, d’envoi recommandé électronique et les services de certificats pour l’authentification de site internet.

Contrairement à la directive 1999/93/CE, eIDAS est un règlement, il n’y a donc pas de transposition nationale, le texte est applicable pour l’ensemble des États membres.

VERS UNE HARMONISATION EUROPÉENNE : LES POINTS CLÉS

Le règlement introduit un certain nombre de nouvelles notions, parmi lesquelles on peut noter :

• L’acceptation du document électronique en tant que preuve devant la justice;
• La création d’un label de confiance pour un marché plus transparent ;
• L’encadrement des méthodes de validation de signatures qualifiées par le biais de prestataires de services de confiance ;
• Le service de conservation qualifié des signatures électroniques qualifiées pour garantir la fiabilité des signatures et donc leur valeur dans le temps ;
• L’horodatage au niveau européen permettant une reconnaissance de la datation et de l’intégrité de données numérique et donc de la validité juridique du document dans toute l’UE ;
• L’obligation pour les États membres de maintenir des listes de confiance des services et prestataires qualifiés et labélisés à disposition du grand public ;
• L’assouplissement de la signature sécurisée : reconnaissance de la signature créée à distance par un tiers de confiance au nom du signataire pour faciliter les usages en mobilité.

Parmi les autres points remarquables, nous pouvons citer l’apparition d’un nouveau principe juridique : la signature électronique de personne morale. Le cachet électronique permettra donc aux entreprises et administrations de signer électroniquement en leur nom des documents afin de certifier leur provenance. Concrètement, un juge français ne pourra pas refuser un cachet ou une signature électronique apposé par un italien avec une solution allemande. Enfin, nous pouvons également souligner l’introduction de la notion de signature qualifiée côté serveur, ce qui permettra otamment le développement de nouvelles offres (en SaaS), objectif clairement affiché de ce nouveau règlement.

eIDAS définit ainsi une graduation en 3 niveaux de signature de personne physique, synthétisé dans le tableau ci-dessous, contre 2 niveaux anciennement pour la directive.

3 niveaux de signature physique

L’Europe s’intéresse à l’adoption de ces technologies dans les pays membres

Les autorités européennes, en particulier la direction générale de l’informatique (DG DIGIT) en charge des 4 piliers fondamentaux que sont l’eInvoicing, l’eDelivery, l’eSignature et l’eID, ont souhaité évaluer concrètement les forces en présence dans chaque pays. À ce titre, ils ont fait réaliser par Wavestone Luxembourg un sondage et organisé des groupes de travail à l’échelle européenne pour identifier les acteurs présents sur le marché et leurs besoins. Les différentes solutions pour stimuler l’adoption de chacun de ces piliers fondamentaux ont été analysées et discutées avec l’ensemble des acteurs. Résultats à venir !

Cet article Nouveau règlement eIDAS : en route vers une Europe de la confiance numérique est apparu en premier sur RiskInsight.

Cette réflexion avait notamment été initiée par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe).  Bien qu’aujourd’hui le règlement reprenne la majeure partie des dispositions de cette directive auxquelles sont apportées quelques modifications, de nouvelles dispositions y sont décrites et viennent renforcer et développer l’acquis qu’elle représente.

Création d’un cadre transnational et intersectoriel

Le principal problème recensé est notamment cité au point (9) du règlement : « Dans la plupart des cas, les citoyens ne peuvent pas utiliser leur identification électronique pour s’authentifier dans un autre État membre parce que les systèmes nationaux d’identification électronique de leur pays ne sont pas reconnus dans d’autres États membres ». Cette non-reconnaissance est due à l’interprétation et à la mise en œuvre technique par chaque État membre de la directive, ce qui amène ainsi  des problèmes d’interopérabilité et des divergences  lors des contrôles effectués. Concernant les services de confiance tels que l’horodatage ou encore le cachet, les divergences pouvaient émaner de l’absence de cadre juridique clair au niveau européen.

C’est pourquoi, l’objectif du règlement eIDAS (electronic IDentification And trust Services) est d’«instaurer un climat de confiance dans l’environnement en ligne » en fournissant un cadre transnational et intersectoriel complet pour des transactions électroniques sûres, fiables et aisées entre citoyens. Ce climat de confiance couvre donc l’identification et l’authentification électroniques, mais également d’autres services de confiance tels que l’horodatage ou encore le recommandé électronique. La mise en place d’un tel cadre permettra d’effectuer des démarches administratives dans tous les pays membres de l’Union et imposera la reconnaissance mutuelle.

Cependant, il est nécessaire de souligner que le règlement reste ouvert puisqu’il laisse la liberté aux pays membres de définir d’autres types de services de confiance à des fins de reconnaissance au niveau national comme des services de confiance qualifiés.

Concrètement, qu’est-ce que eIDAS va changer ?

Un des premiers points notables concerne la mise en conformité en vue d’une qualification eIDAS pour les Prestataires de Services de Confiance (PSCO). Afin d’intégrer la liste des PSCO qualifiés (qui devra être publiée régulièrement) et donc reconnus par les États membres, ils devront respecter un ensemble d’exigences de sécurité (mesures techniques, organisationnelles, etc.). Pour cela, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, processus de délivrance en face à face, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, etc. L’interopérabilité technique des systèmes passe donc par la revue des référentiels nationaux, comme le Référentiel Général de Sécurité (RGS) ; et la coopération des pays membres.

Cependant, la qualification reste une démarche volontaire, et un label de confiance UE sera créé pour identifier les PSCO qualifiés. Pour obtenir ce label, les prestataires de services de confiance devront se soumettre à des audits qui attesteront du respect des mesures définies dans les standards adossés au règlement. Il est donc fort probable que dans les mois qui viennent, les PSCO recherchant la qualification eIDAS lancent des projets globaux de mise en conformité comprenant la mise à jour documentaire (PC, DPC, PH, DPH, CGU, etc.), la revue de leur architecture d’Infrastructures de Gestion de Clés (IGC), de leurs gabarits de certificats, etc. À noter que les prestataires qualifiés dans le cadre de la Directive restent qualifiés au sens du règlement jusqu’au renouvellement de leur qualification mais devront passer un audit avant le 1er Juillet 2017 pour renouveler leur qualification.

Parmi les autres points remarquables, nous pouvons citer l’apparition d’un nouveau principe juridique : la signature électronique de personne morale. Le cachet électronique permettra donc aux entreprises et administrations de signer électroniquement en leur nom des documents afin de certifier leur provenance. Concrètement, un juge français ne pourra pas refuser un cachet ou une signature électronique apposé par un italien avec une solution allemande.

Enfin, nous pouvons également souligner l’introduction de la notion de signature qualifiée côté serveur, ce qui permettra notamment le développement de nouvelles offres (en SaaS) ; objectif clairement recherché du règlement eIDAS.

Cet article Confiance numérique: que doit-on attendre du règlement eIDAS ? est apparu en premier sur RiskInsight.

La Directive de Services des Paiements : une première initiative

L’adoption par le Parlement Européen en 2007 de la Directive de Services des Paiements (DSP) et sa transposition sur le plan national en 2009 avait pour objectifs majeurs d’harmoniser les services de paiements de l’Union Européenne et de stimuler la concurrence. Mise à part le fait qu’à partir de cette adoption, il est possible d’effectuer et recevoir des paiements d’Allemagne, d’Espagne, du Royaume-Uni… aussi aisément qu’en France ; un nouveau statut d’Établissement de Paiement (EP) a été créé. Il permet à de nouveaux acteurs autres que les banques et les établissements de crédit de fournir des services de paiement. En France, les EP sont agréés par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).

L’héritage de cette première version concernait 3 types de Fintech : celles proposant des opérations de paiements associés à un compte (ex : Slimpay qui permet de générer des mandats de prélèvements électroniques), les transferts de fonds et les émissions d’instruments de paiement (ex : portefeuille électronique). Les plateformes de financement (crowdfunding) qui ne fournissent pas de services de paiement n’entrent pas dans le champ d’application de la DSP1. Elles sont par ailleurs réglementées par l’ordonnance du 30 mai 2014 en tant que service de financement. Celles qui perçoivent des fonds bénéficient jusqu’à présent d’une dérogation, du fait que le montant total de leurs opérations de paiement soit inférieur à 3 000 000 € sur un mois (article 26 de la DSP1).

De nouveaux types d’acteurs, un nouveau cadre réglementaire

Le développement des Fintech a fait apparaître de nouveaux services de paiements depuis la DSP1 : les services d’information sur les comptes (ex : agrégateur de données Bankin’) et les services d’initiation de paiement (ex : Sofort), autrement appelés les tiers de paiement (Third Party Providers ou TPP). Ces nouveaux acteurs, se connectant aux banques des utilisateurs via leur login/mot de passe bancaire, ne sont pas pris en compte par la DSP1 et engendrent de nouveaux risques (données n’étant plus sous la protection du secret bancaire, problématique liée aux responsabilités en cas de fraude, etc.).

La DSP2 (adoptée par le Parlement Européen le 8 octobre 2015 et qui devrait être transposée dans le droit national fin 2017) stimule toujours la concurrence tout en fournissant un nouveau cadre réglementaire adéquat entre les TPP et les banques. Concernant la DSP1, les contrôles sont effectués par l’ACPR, la CNIL et la DGCCRF et les sanctions peuvent aller jusqu’au retrait d’agrément de l’Établissement de Paiement (EP). La nouvelle version de la Directive laisse aux États membres la charge de définir le régime de sanctions à appliquer en cas de son non-respect, sanctions qui ne sont donc pour l’instant pas connues.

Extrait de l’article 103 de la Directive : « Les États membres déterminent le régime de sanctions applicables en cas d’infraction aux dispositions de droit national visant à transposer la présente directive et prennent toutes les mesures nécessaires pour en assurer l’application. Ces sanctions sont effectives, proportionnées et dissuasives ».

Une obligation pour les banques qui ouvre de nouvelles opportunités : la coopétition

La DSP2 impose aux banques de transmettre de façon sécurisée les données seulement nécessaires à l’activité des TPP et de rembourser le payeur en cas d’incident de paiement dans un délai de 1 jour (excepté si la responsabilité du TPP est engagée dans un incident de paiement, auquel cas, il doit lui-même rembourser immédiatement la banque). Pour autant, la directive ne précise pas les exigences techniques de sécurité auxquelles devront se soumettre les banques et les TPP. Le contenu des guidelines de l’Autorité Bancaire Européenne (prévus pour fin 2016) sera déterminant : les normes techniques devront prendre en considération l’éventail des risques inhérents aux nouveaux services de paiement.

Cette obligation peut être vue comme une opportunité pour les banques de développer des Open API. L’Open API est une interface de programmation qui permet à des tiers d’accéder à des ressources internes. Cet accès n’est pas forcément autorisé en lecture et en écriture à l’intégralité des données. La plupart du temps, il est limité et nécessite l’accord de l’utilisateur.

Les banques peuvent utiliser et promouvoir ces mécanismes afin de renforcer leur compétitivité, leur image de marque et proposer de nouveaux services plus rapidement en offrant la possibilité aux développeurs externes de créer de nouvelles applications à partir de l’Open API et en les rémunérant en échange. Ce mouvement est essentiel pour que les banques gardent la main sur l’innovation et les nouveaux services pour continuer à se différencier. Certaines banques ont déjà initié une démarche proactive et innovante en mettant en place un Open API soit ouvert au public (CA Store, Fidor Bank) soit restreint à des partenaires (Bradesco, Garanti).

Cet article La DSP2 : une directive sur les services de paiements qui prône la concurrence est apparu en premier sur RiskInsight.

Dans ce contexte la sécurité est souvent ressentie comme un mal nécessaire. Le Responsable de la Sécurité du SI doit alors changer de posture et anticiper l’évolution des usages métiers et SI, mais aussi des menaces. Ceci est d’autant plus vrai dans le monde de la banque de détail avec des sujets très concrets comme l’explosion de la mobilité, la mise à disposition de tablettes dans les agences, l’ouverture du back-office bancaire, ou encore la nouvelle concurrence des plateformes d’intermédiation pour les clients.

Maîtriser les risques au service des métiers

Le RSSI doit faire évoluer sa posture, basée aujourd’hui en grande partie sur la protection du SI, en améliorant ses capacités d’observation et d’anticipation des évolutions métiers.

L’enjeu pour lui ? Adopter un rôle de facilitateur, pour amener de la fluidité, autoriser les nouvelles technologies, les nouveaux usages et ainsi rendre concrètes les étapes permettant d’intégrer la sécurité dans les processus métiers. L’agilité et la rapidité de « délivrance » d’un service sont les éléments les plus importants pour les métiers. Si la sécurité répond trop tard, elle sera souvent ignorée.

En parallèle, le RSSI fait face à une explosion de la cybercriminalité. Des attaques plus ciblées, plus sophistiquées et plus destructrices se multiplient. Dans le cadre de l’opération Ababil, de nombreux cas d’attaques DDoS (Distributed Denial of Service) ont été recensés contre des banques hollandaises et américaines (notamment Bank of America). Autre exemple, une campagne de phishing très sophistiquée qui a récemment touché 14 entreprises en France afin de dérober des données bancaires au travers d’e-mails et d’appels téléphoniques ciblés.

Le combat est inégal : les attaquants sont innovants et rapides alors que le RSSI est contraint par des budgets et la rentabilité attendue des projets. Pour inverser la tendance, il doit se focaliser sur une stratégie de détection et de réaction face à ces attaques. Il doit également rester en veille et prendre une longueur d’avance sur les innovations des cybercriminels.

L’idéal est naturellement d’adopter une approche consistant à se concentrer sur les risques jugés prioritaires d’un point de vue sécurité mais aussi… métiers ! Ceci  bien entendu, tout en répondant aux exigences de la conformité qui vont grandissant sur les sujets de la lutte contre le blanchiment, le terrorisme ou encore la fraude.

Face à la multiplication des sujets, il paraît essentiel d’aller plus loin que les pratiques classiques de plans d’action tri-annuels. Il convient se doter d’un outil pour réussir à résoudre l’équation entre innovation et sécurité. Mais alors quel outil utiliser pour avoir une vision globale ?

Mettre en place un outil d’anticipation : construire le radar SSI

Le radar SSI, est un outil simple et visuel permettant le suivi des nouveaux usages, des menaces et des réglementations. Utile dans tous les secteurs, Solucom l’a en particulier décliné dans le secteur de la banque de détail.

Il s’accompagne d’un processus de veille permettant d’anticiper les évolutions et d’orienter la stratégie SSI afin de pouvoir répondre aux besoins d’ouverture, de mobilité, de fluidité exprimés par les métiers.

En partant des sujets bruts identifiés dans les actions de veille de Solucom, le RSSI choisira de prioriser les thèmes majeurs propres à son environnement pour ensuite définir une fiche actions par thème. Ces fiches déclenchent par la suite des réactions à court terme ou des projets à moyen terme afin de fournir une réponse sécurité en avance de phase des demandes. À travers cette transformation du mode opératoire et du positionnement du responsable sécurité, celui-ci devient porteur d’innovation et enraye son image de frein aux innovations.

En mai dernier, au cours de la remise des Trophées de la Sécurité, les discussions ont porté sur l’avenir de la fonction de RSSI. Trois pistes ont été évoquées. Parmi elles, celle d’ « Expert sécurité en solutions métiers ». Cette voie nécessiterait une intégration de la sécurité très en amont dans les projets : la clé selon nous d’une innovation maîtrisée au sein de la DSI. Pour cela, il est crucial que le responsable sécurité aille au-devant des métiers pour en comprendre les enjeux, tout en s’insérant naturellement dans la politique de sécurité et les processus historiquement définis.

Cet article Quelle marge de manœuvre pour le RSSI afin d’accompagner l’évolution des modèles bancaires ? (Épisode 2) est apparu en premier sur RiskInsight.

L’innovation, facteur d’ouverture du SI cœur de métier

De nouvelles initiatives émergent, à l’instar du  « Compte Nickel ». Ce projet consiste à permettre l’ouverture d’un compte bancaire sans aucune condition de revenu, chez un buraliste. Les formalités sont on ne peut plus simple : une photocopie d’une pièce d’identité et un numéro de téléphone portable. Ce projet, qui a obtenu l’agrément de l’Autorité de contrôle prudentiel, le régulateur du secteur bancaire, démontre un mouvement de plus en plus fort vers une désintermédiation de la banque de détail.

Pour répondre à l’apparition de ce type de service, les banques diversifient leur offre, et de fait ouvrent leur système d’information de façon significative. Des offres, telles que celle proposée par Crédit Agricole Private Banking Services pour les banques privées en Suisse, entraînent ainsi une externalisation complète des processus métier du back-office et une sous-traitance informatique. Les banques étant de plus en plus sous pression d’un point de vue coûts et évolutions réglementaires, ce « Business Process Outsourcing » leur permet de rester compétitives et de se recentrer sur l’essentiel : la relation client. Pour autant, ces ouvertures posent la question de nouveaux acteurs qui interagissent au cœur du SI bancaire et doivent être intégrées aux analyses de risques. Par exemple, la solution allemande SOFORT Banking qui effectue les paiements / règlements en se connectant à la place des clients sur leur compte bancaire.

Nous observons par ailleurs une multiplication des moyens et situations de paiement, mais aussi des acteurs. Par exemple, la start-up Klarna propose à ses clients d’effectuer leurs achats et de ne payer qu’à réception. Au-delà, les canaux d’échanges financiers se diversifient. Aux États-Unis, American Express utilise Twitter comme canal d’achats en ligne via l’utilisation des hashtags, ou encore Square qui permet d’échanger de l’argent par courrier électronique. Les questions relatives à la fraude doivent être particulièrement traitées par rapport à ces nouveaux canaux.

Mais comment se positionnent aujourd’hui les banques françaises face à cette multiplication d’usages bancaires ?

Une stratégie défensive « d’occupation du terrain » efficace pour l’instant, avec peu d’impact opérationnel

Le constat est simple : le principal  risque identifié est celui de ne pas faire, risque pouvant entraîner une désintermédiation voire un préjudice en termes d’image.

Les banques traditionnelles cherchent donc à incarner la relation client, en s’appuyant sur des services de gestion de finances.  Ainsi, des applications apparaissent se concentrant notamment sur des nouveaux modèles de gestion, portant l’innovation non pas sur la dépense mais sur l’économie.

Par ailleurs, de nouveaux moyens sont déployés pour améliorer la qualité de la relation client en développant les compétences des conseillers.  Allianz a par exemple lancé un simulateur d’entretien client virtuel « Sales Game » pour développer les compétences relationnelles et commerciales de leurs conseillers. Plus de 16 millions de scénarios différents sont proposés, par un outil qui a réclamé plus d’un an de développement.

Ces innovations poussent le SI vers plus d’ouvertures (canaux, partenaires…) et nécessitent de faire évoluer les modèles que l’on connait. En parallèle, le secteur bancaire est de plus en plus ciblé par des menaces directes sur son SI (nouveaux types d’attaques, plus ciblées, plus destructives) et les réglementations accentuent la pression. Quelle est dans ce contexte la marge de manœuvre du Responsable de la Sécurité du Système d’Information pour accompagner ces évolutions métiers ?

(À suivre)

Cet article Modèles bancaires : quid de l’évolution des usages et de la relation client ? est apparu en premier sur RiskInsight.