To learn more about the regulation’s details, you can refer to this article: What does DORA mean for Resilience of financial organisations?

The key deadline of January 17, 2025, marks the theoretical compliance date for financial entities. It also signals the beginning of supervisory operations by regulatory authorities.

In this context, Damien LACHIVER and Etienne BOUET, Senior Managers at Wavestone and experts in DORA compliance, with extensive experience supporting CAC40 entities, share their insights into the practical challenges and opportunities brought by this regulation, as well as the regulators’ expectations and essential actions for effective preparation.

How does DORA go beyond mere regulatory compliance?

E.BOUET: DORA should not be seen merely as a compliance exercise. Yes, there are regulatory requirements to meet, but the real challenge lies in building resilience. The question to ask is: how can compliance with DORA effectively enhance operational resilience? This connection is not always straightforward. For instance, gap analyses or cybersecurity audits often reveal vulnerabilities, and compliance alone is insufficient if it doesn’t come with genuine improvements in resilience.

D.LACHIVER: Many entities are still focused on compliance since DORA addresses areas already well established, such as cybersecurity, business continuity, and IT risk management. Large organizations, in particular, already benefit from high compliance levels due to decades of experience.

However, beyond this compliance phase, it is crucial to shift towards remediation and anticipation, implementing initiatives that will not be fundamentally different from the historical programs already initiated. The real focus should be on identifying new scenarios or solutions that can strengthen resilience.

What are the critical scenarios to consider for improving resilience?

D.LACHIVER: Two major scenarios require significant attention and investment:

• Total loss of internal IT systems: how can information systems be restored and fully rebuilt after a large scale cyberattack?
• The sudden loss of a critical third party: what happens if I lose a partner or service provider whose operational disruption has a significant structural impact on my business?

E.BOUET: The growing dependence on third parties has noy yet been fully recognized as a major risk. The associated scenarios are not sufficiently integrated into strategic priorities, leading to a lack of investment in preparedness.

Will financial entities be ready by January 17, 2025?

E.BOUET: It is unlikely that all companies will be fully ready by January. The market as a whole faces delays, although significant progress has been made. For instance, most of the normative documents required for compliance have been finalized, and priorities have been aligned with risk management needs.

D.LACHIVER: Indeed, January 17, 2025, will mark more of a milestone than a conclusion. Most operational projects, such as third-party management, remain to be addressed and will require ongoing effort.

What are the main challenges in implementing DORA?

E.BOUET: Initially, the main challenge was mobilizing a wide range of stakeholders: cybersecurity, risk management, procurement, legal, business, IT… While the topics addressed by DORA were already familiar to these teams, the regulation raises expectations and introduces additional requirements to roles thar are already well-defined.

D.LACHIVER: Historically, these areas have often been handled in a fragmented, siloed manner. However, DORA demands significant and measurable progress in resilience, which requires a more coherent and integrated approach. Today, two key priorities stand out:

• Third-party management, which represents a massive challenge.
• Threat-Led Penetration Testing (TLPT), an ambitious but complex novelty.

Why is third-party management such a significant challenge?

E.BOUET: Third-party management (TPRM) is one of the key challenges posed by DORA. Third parties are everywhere, but they are often poorly managed. It’s not always clear whether they are critical or not, and relationships often lack proper structure. Managing reliance on critical third parties is common sense, but it goes far beyond contractualization: organizations need to identify their third parties, assess their criticality, and manage this dependency operationally, a challenge for many.

D.LACHIVER: Historically, this has been a neglected area, often handled in silos by procurement, cybersecurity, business continuity, and other functions. There is a lack of a comprehensive view of third-party risks. DORA’s aims is precisely to move beyond this fragmented approach and build a cohesive end-to-end management framework throughout the contract lifecycle.

What does “testing exit strategies” with critical third parties mean?

D.LACHIVER: Testing exit strategies means anticipating how an organization would respond if a third party’s services were interrupted, whether voluntarily or involuntarily. For example, in the case of a cyberattack on a service provider, it may be necessary to sever the relationship to protect the organization’s own information systems.

E.BOUET: Tabletop exercises help assess reliance on third parties and theoretically simulate the procedures to follow in different scenarios. They also encourage organizations to rethink their relationships with certain providers, particularly those unable to align with DORA’s requirements.

What makes TLPT (Threat-Led Penetration Testing) a specific challenge?

D.LACHIVER: TLPT is one of the key innovations introduced by DORA. It involves threat-led penetration tests guided by the DORA regulation, the theoretical TIBER framework and adapted by national authorities. While the theoretical framework is well-defined, practical implementation remains challenging, as these tests are not yet common in the financial sector. Their limited frequency (one test every three years) and the regulator’s resources reduce the immediate urgency, but they are crucial for strengthening resilience.

E.BOUET: These tests still raise many questions, as they require a new approach for some players, especially those less experienced with this type of exercise. Currently, we are in a waiting phase, with a few dry-run initiatives underway. The actual implementation will depend on the regulator’s planning and the lessons learned from the first fully executed TLPTs in the coming months.

How can DORA transform IT risk governance?

D.LACHIVER: DORA promotes a unified approach to IT risk management by breaking down silos between various functions, such as cybersecurity, business continuity, and procurement. This involves:

• Harmonizing key terminologies and concepts (for example, ensuring that the concept of criticality is understood consistently across all functions) to streamline and improve interactions with business units.
• Implementing structural changes (such as adopting a CSO model – Chief Security Officer) to establish unified governance across functions, enabling more effective and coherent decision-making.

What are the concrete requirements to comply with DORA by January 17, 2025, and beyond?

E.BOUET: The first major expectation for January 17 is the ability to identify a major incident according to DORA’s criteria and notify the regulator. This requires well-defined operational processes to ensure rapid detection and reporting. This requirement is justified, given the history of IT and security teams in a sector accustomed to managing critical incidents.

D.LACHIVER: Then, by April 30, 2025, financial entities will need to produce a register of information on their third parties. I believe organizations will be able to provide such a register by this date. However, additional work will likely be needed to improve its quality and completeness.

E.BOUET: Finally, throughout 2025, what matters is demonstrating that entities are making progress. Regulators expect projects to be initiated, identified gaps to be gradually addressed, and tangible advancements to be made. The key is to have a clear and structured roadmap to meet DORA’s expectations.

What are the long-term benefits expected from DORA?

D.LACHIVER: DORA has the potential to create a virtuous cycle by strengthening risk management, business alignment, and operational resilience within the sector. It encourages entities to go beyond compliance and integrate these priorities into their overall strategy.

E.BOUET: One key aspect is the reaffirmed responsibility of executive leadership. Their involvement, particularly through regular risk validation, enhances overall awareness and drives the investments necessary to improve resilience.

D.LACHIVER: This connection between operational teams and leadership aligns strategic and operational priorities, fostering a culture of continuous improvement. It also empowers IT risk teams and supports the transformation of organizations toward greater digital resilience.

For any support in achieving DORA compliance, you can contact:

• damien.lachiver@wavestone.com
• etienne.bouet@wavestone.com

Cet article DORA – The Challenges of Digital Resilience in the Financial Sector by 2025 est apparu en premier sur RiskInsight.

The European Union published the Digital Operational Resilience Act, or “DORA”, on December 27^th, 2022, and it entered into force on January 16^th, 2023. It sets new rules for financial entities and their ICT third-party service providers in terms of ICT resilience. Compliance to the text will be mandatory starting January 17^th, 2025.

The Digital Operational Resilience Act aims at simplifying and improving the resilience of financial service organisations by establishing a robust regulatory framework and oversight body. As previously shared in details, in our article Decrypting DORA: what does it mean for resilience of financial organisations?, it introduces requirements across five pillars: 

• ICT risk management
• ICT-related incident management, classification and reporting​
• Digital Operational resilience testing
• Managing of ICT third-party risk​
• Information and intelligence sharing (optional)

Main DORA topics and articles applying to financial entities
(article references between brackets)​

When analysing the content of the regulation and while taking into account the current maturity of the financial sector, the complexity largely differs depending on the topic addressed. As ICT frameworks are already a best practice widely adopted within the financial services sector, the effort will mainly focus on bringing more consistency across the organization. Similarly, ICT-related incident management has already integrated within its processes and tools numerous regulatory constraints in terms of classification and notification. Consequently, integrating the DORA requirements should not present major difficulties.

Nevertheless, meeting the requirements to be compliant will still have its challenges… And opportunities!

An ambitious regulation that puts the finger on known fragilities

The first challenge for many organisations will be to onboard the top management in the initiative. As DORA appoints them as accountable for monitoring, approving, reviewing, and setting the direction in terms of operational resilience, their involvement is key to the success of a potential program. Early onboarding will allow to gain precious time in identifying and validating critical functions in the scope, prioritizing the main threat scenarios, and set the pace on the topic. However, this will imply for the teams to carefully think about the proper and comprehensible KPIs and KRIs to report on the operational resilience level of the organization. As much as possible, give them quickly an overview of the regulation content and their expected role in this context!

The second challenge will be to raise the bar in terms of third-party risk management. Large organisations often have hundreds, if not thousands of third-party providers implying a fastidious sorting to focus on the most critical. Third-party operational resilience risk management mainly relies today on integrating steps within the purchasing processes and, in the end, including specific clauses within the contracts. DORA asks for more with responsibility falling on financial services to make sure third-party compliance to these requirements are met. It also requires working on potential exit strategies and joint testing where relevant. This step up may define a shift in how business is done with suppliers in the future and should be anticipated by the concerned third parties to be able to provide proofs of their operational resilience risk management.

Finally, testing is a crucial point and a challenge within DORA. Organisations will need to structure and regularly test their resilience to continually assess risks and the suitability of their resilience strategies. It requires to gain a strategic vision on the topic, which rarely pre-exists as the tests are often managed in silos (vulnerability tests, penetration tests, business continuity tests…). In this context, they will also need to ensure the proper coverage of their critical functions over the years within the testing approach. Organizations are also expected to conduct threat-led penetration tests in live production every three years at least and potentially including ICT third-party providers.

Overcoming these challenges will not be an easy journey. It is key to start working on these topics quickly as they will ask for true changes for the concerned organizations. Obviously, a detailed gap analysis with the regulation requirements is a good starting point.

Resilience first, compliance second?

Clearly, a regulation such as DORA brings along opportunities for those who will try to see beyond the compliance constraints.

First, the regulation introduces a holistic approach to ICT risk management that could bring more consistency across the organizations. It could constitute a first step in putting together a unified framework, allowing a better assessment of the organization’s ICT risks and simplifying overall reporting to the top management. It could also initiate the idea of a converged governance on ICT risk management gathering cybersecurity, business continuity and IT service continuity. 

Second and foremost, it is a unique opportunity to work on your real resilience level by asking yourself complex questions. If you were to face a no-IT situation tomorrow, would your organization survive? Would your existing capabilities fully cover the needs that such situation asks for? And are you confident that your resilience solution would work on D-day?

Cet article <strong><u>DORA: challenges and opportunities</u></strong> est apparu en premier sur RiskInsight.

Why Digital Operational Resilience Act (DORA)?

DORA is part of an EU-wide “Digital Finance Package”, aimed at making sure the financial sector can leverage opportunities brought by technology and innovation whilst mitigating the new risks associated. This package involves regulation on crypto assets, blockchain technology, and digital operational resilience.  

With the Digital Operational Resilience Act, the EU aims to make sure financial organisations mitigate the risks arising from increasing reliance on ICT systems and third parties for critical operations. Organisations need to be able to “withstand, respond and recover” from the impacts of ICT incidents, thereby continuing to deliver critical and important functions and minimising disruption for customers and for the financial system. This means establishing robust measures and controls on systems, tools and third parties, having the right continuity plans in place, and testing their effectiveness.  

This global, large scope regulation is coming in to rationalise an increasingly fragmented regulatory landscape on the topic, with a number of local regulatory initiatives in member states and smaller scope EU guidelines on related topics (e.g. testing requirements, management of ICT third party dependencies, cyber resilience). Setting up a global regulatory framework will ensure there are no overlaps or gaps in regulation and maintain good conditions for competition in the single market.  

DORA also fits into a worldwide trend in regulation on resilience for the financial sector, pioneered by the Bank of England’s (FCA and PRA) consultation papers on operational resilience and impact tolerances, and followed by principle-based papers on operational resilience from the Bank of International Settlements (BIS) and the Federal Reserve.  

DORA in a nutshell: what does it change?

Contrary to the FCA/PRA, the Federal Reserve and the BIS, DORA focuses on solely resilience to ICT-related incidents and introduces very specific and prescriptive requirements. It is not just a set of guidelines but rather criteria, templates and instructions that will shape how financial organisations manage ICT risk. It demonstrates that EU regulators want to be very hands-on on the topic, with a lot of reporting, communication and assessments that need to happen frequently, enabled by standardised MI and reporting.  

DORA introduces requirements across five pillars:  

• ICT risk management 
• ICT incident reporting 
• Digital Operational resilience testing 
• ICT third-party risk management  
• Information and intelligence sharing 

Some of the requirements are straight-forward and largely built on what is already being done in organisations (for example, the risk management framework that needs to be developed is similar to industry standards like NIST); but some are also challenging and will mean organisations need to launch some work to be compliant. We have summarised the requirements and these key challenges to start addressing now for each of the 5 pillars.  

1. ICT risk management

Why? Ensure specific measures and controls are in place to limit the disruption to the market and to consumers caused by incidents, and ensure accountability of the management body on ICT risk management.   

Key requirements: Firms will need to follow governance principles around ICT risk, with a focus on accountability of the management body. They will need to identify their risk tolerance for ICT risk, based on the risk appetite of the organisation and the impact tolerance of ICT disruptions. They will also need to have a risk management framework in place that includes identification of critical and important functions, risks associated and a mapping of the ICT assets that underpin them; as well as specific protection, prevention, detection, response and recovery plans and capabilities, continuous improvement processes and metrics, and a crisis communication strategy with clear roles and responsibilities.  

Biggest challenge: As part of the continuous improvement processes, DORA introduces compulsory training on digital operational resilience for the management body but also for the whole staff, as part of their general training package.  

2. ICT incident reporting

Why? Harmonise and centralise reporting of incidents to enable the regulator to react fast to avoid spreading of the impact, and to promote collective improvement and firms’ knowledge of current threats to the market. 

Key requirements: DORA introduces a standard incident classification methodology with a set of specific criteria (number of users affected, duration, geographical spread, data loss, severity of impact on ICT systems, criticality of services affected, economic impact) with thresholds that are yet to be published. Following this methodology, incidents classified as major will have to be reported to the regulator within the same business day, following a certain template. Follow-up reporting will also be required after a week, and after a month. These reports will all be anonymised, compiled, and released regularly to the whole community.  

Biggest challenge: Firms will need to change their incident classification methodology to fit with the requirements. They will also need to set up the right processes and channels to be able to notify the regulator fast in case a major incident occurs. Based on what gets classified as “major”, this might happen frequently. To help organisations prepare, we anticipate that the incident classification methodology will align with the ENISA Reference Incident Classification Taxonomy.  

3. Digital Operational Resilience testing

Why? Ensure that financial entities test the efficiency of the risk management framework and measures in place to respond to and recover from a wide range of ICT incident scenarios, with minimal disruption to critical and important functions, in a way that is proportionate to their size and criticality for the market. 

Key requirements: With DORA, all firms must put in place a comprehensive testing programme, including a range of assessments, tests, methodologies, practices and tools, with a focus on technical testing. The most critical firms will also have to organise a large-scale threat-led live penetration test every 3 years (red team type exercise), performed by independent testers, covering critical functions and services and involving EU-based ICT third parties. The scenario will have to be agreed by the regulator in advance and firms will receive a compliance certificate upon completion of the test. More guidance for these tests, as well as the criteria which defines a critical firm, will be published in 2021. 

Biggest challenge: It is likely that critical firms will need to organise this threat-led penetration test by the end of 2024 and this type of test requires a lot of preparation. The fact that it needs to involve critical ICT third parties will also mean they need to be involved in the preparation. Firms that believe they will be in scope (might be firms already in the scope of NIS regulation) should start thinking about the scenario as soon as possible to enable validation with the regulator at least 2 years before the deadline.  

4. ICT third party risk management

Why? Ensure that financial organisations have an appropriate level of controls and monitoring of their ICT third parties, especially the ones that underpin critical functions; and set up specific oversight on providers that are critical to the market as a whole.  

Key requirements: With this regulation, the EU introduces requirements on both financial organisations and critical ICT providers.  

• Financial organisations will need to have a defined multi-vendor ICT third-party risk strategy and policy owned by a member of the management body. They will need to compile a standard register of information that contains the full view of all their ICT third-party providers, the services they provide and the functions they underpin; and report on changes to this register to the regulator once a year. They will need to assess ICT service providers according to certain criteria before entering a contract (e.g. security level, concentration risk, sub-outsourcing risks), and they will need to plan for an exit strategy in case of failure of a provider. DORA also contains guidelines for contract contents and reasons for termination of contract, which has to be linked to a risk or evidence of non-compliance at the provider level.  
• Under a new Oversight Framework, critical providers will be the subject of annual assessments against resilience requirements such as availability, continuity, data integrity, physical security, risk management processes, governance, reporting, portability, testing… These assessments will be performed directly by the regulator and will result in penalties for non-compliance.  

Biggest challenge: Collating information on all ICT vendors (not only the most critical), with the services provided and functions they underpin for the register of information will be a very big task for large financial organisations that typically rely on thousands of big and small providers and legacy contract management systems that make it difficult to mine data from.  

5. Information and intelligence sharing

Why? Promote sharing of information and intelligence on cyber threats between financial organisations to enable them to be better prepared.  

Key requirements: DORA introduces guidelines on setting up information sharing arrangements between firms for cyber threats, including confidentiality requirements and the need to notify the regulator.  

Biggest challenge: We do not see any particular challenge in this space as many organisations already have such agreements in place. It will be an opportunity to make local initiatives, networks or associations visible and encourage more companies to become part of them.  

What happens next?

DORA is currently going through the EU legislative process and it is expected to take 6-12 months before it becomes law. A few questionable topics might lead to some debates and slow down the process, especially on third-party management: restrictive criteria for organisations to terminate contracts, banned non-EU based critical third parties, penalty system and financing of the Oversight framework by the critical providers. There are also details that still need to be published to clarify some of the requirements (e.g. templates, criticality criteria and thresholds…), which might also create some debates.  

Once DORA is passed, firms should have one year to get into compliance with most of the requirements (i.e. probably by the end of 2022 – but this one-year deadline is short and we anticipate it may shift to 18 months following market feedback) and 3 years to organise a large-scale penetration test if required (i.e. probably by the end of 2024).  

In order to be ready, we recommend organisations take the following steps in 2021:  

• Perform a maturity assessment against the DORA requirements, with associated gap analysis and mitigation plan to reach compliance by the end of 2022 
• Begin thinking about a scenario for the large-scale penetration test, aiming to get it validated by the regulator by mid-2022 
• Start work on consolidation of the register of information for all ICT third party providers 

Cet article Decrypting DORA: what does it mean for Resilience of financial organisations? est apparu en premier sur RiskInsight.

We are now opening contributions to this blog to start-ups accelerated by our Shake’Up project. Hazy offers a synthetic data generator, combining differential confidentiality, referential integrity, multi-table database support and aerial deployment.

Contingency planning. It’s what the few orgs that are thriving during these multilayered crises have done well.

For those success cases, this planning started at the personnel level. From the CEO and CTO on down, these orgs asked, if a member of the staff gets sick, who is next? What if multiple key players are hospitalized at once? They logged the Internet providers and regions for all on-call engineers and created a chain of replacements if there’s an outage. These orgs made sure not only their internal and customer-facing systems have backups, but that their third-party integration partners did, too.

But some would call all this reacting, not planning. Or simply luck. After all, each organization and industry has its own barriers to overcome. How could any company really prepare for the unknown?

How could any org prepare for a global pandemic if there hasn’t been one of this magnitude for a hundred years?

This is where synthetic data offers an interesting opportunity to hope for the best, but prepare for the worst. Synthetic data — which is highly accurate but highly private, utterly artificial data — can allow your organization to simulate unforeseen events like pandemics and natural disasters.

Synthetic data allows you to contingency plan for even the unpredictable.

What is synthetic data and how is it used?

As its name suggests, synthetic data is completely artificial. In the case of Hazy, synthetic data is generated by cutting-edge machine learning algorithms that offer certain mathematical guarantees of both utility and privacy. This is essential because no customer data is really used, while the curves or patterns of their collective profiles and behaviors are preserved.

This is incredibly useful for breaking down barriers to innovation and testing. You can learn all the need-to-know information about your customers, demographics, and habits while dramatically decreasing the risk of re-identification. You can then easily and securely port that synthetic data and insights across different divisions, government agencies, nongovernmental organizations, and geographical restrictions. And you can quickly evaluate third-party integrations partners.

Since smart synthetic data retains both value and compliance, its potential is nearing limitless. It can be applied to solving some of the world’s biggest problems, from escalating international pandemic research and tracing to fairer access to banking to fraud and money laundering detection at a cross-border, cross-organizational scale. It can be used to break down boundaries and optimise cross-governmental collaboration, up until now hindered by divergent databases stuck behind regulatory walls.

Synthetic data allows organizations and governments to overcome both geographical and resource barriers.

Then that synthetic data can even be applied to events that haven’t happened yet.

The world’s leading organizations are starting to leverage synthetic data to build predictive scenarios in order to better respond to future economic, health, political and environmental crises.

It should be noted that synthetic data is not as advanced and mainstream as other enterprise tooling. Since each organization has very complex and varied datasets, they have to be transformed, pre-processed and configured in order to make them accessible to machine learning models. This means while anyone in your org can benefit from synthetic data, your data scientists still have to be involved in this data preparation.

Synthetic data to simulate unforeseen events

Synthetic data is created by generative machine learning models, which, in a way, can be thought of as simulators of the world.

Hazy synthetic data is already being used at major financial institutions for app developers to simulate realistic client behavior patterns before there are even users. This can carry over to machine learning engineers who can better model for this sort of future-demand scenarios.

Our most innovative customers are beginning to extend the use cases of this vanguard technology to these mostly unforeseeable events.

This has only been made a possibility quite recently through conditional synthetic data generation, which allows for the exploration of how some relationships in a dataset can play out with other relationships when their effects are amplified or diminished.

Right now, it’s making headlines in the deep fake images space. Someone could ask a conditional generator for faces that have pink hair, glasses and a nose piercing. Now, the generator may have never seen someone with all of those characteristics combined, but it knows roughly how each of these entities logically combine at a higher level. The machine learning model has learned how lower level entities come together to build meta entities —  for example it knows that a nose has a fairly predictable relationship with eyes and mouth. This allows the generator to take what it knows and to accurately fill in the gaps and predict what those punk rockers would look like.

This works slightly differently with customer data like sequential financial data, as these tables often include thousands of columns and have a lot of categorical values — each column can be thought of as a dimension. Working out how categorical values in a table interrelate within a dataset is often more challenging than when working with a dataset consisting of the pixel dimensions of a data set of human faces.

The positive is that banks indisputably have lots of data to work with. Banks also often have access to additional datasets like stock measurements, interest rates, and exchange rates. The interrelationships across different datasets can potentially be combined to better model relationships and explore scenarios and model tradeoffs. With these, machine learning models you can ask questions like how a product might behave when you have a combination like high interest rates and low unemployment.

Maybe the world hasn’t seen that happen in real life, but the generators can be used to extrapolate and fill in the blanks because it generally knows how they trend together.

Insurance companies live in a world of “if then, then this”, but so much of their actuarial insights are based on past data. What can you do if you have no data because these events haven’t happened yet? Synthetic data is a good way to build predictive scenarios that can help organizations adequately price the risk of unforeseen events.

And this crystal ball reading doesn’t have to just be applied to world changing events. You can use synthetic data generators to understand how a new market would react to your launching of a new product.

Say you have a million clients in the UK and only 50,000 in France. And you know the income variability, the geographical zones they live in, and the ages, income and educational level for each customer. First you create synthetic data that protects all the personally identifiable information across two distinct geographic regions. The model then learns both the predictable way the product sold in the UK and it knows the behavioral differences between the two countries. This model can even learn to cleverly extrapolate UK consumer behavior into French consumer behaviour to predict the best way an expansion in the French market might play out. These disparate insights turn into a solid predictor for global expansion KPIs.

These results can again be combined with more probabilities like how your customers or local markets will react depending on how many points the stock market falls or how summer temperatures impact sales. However, if you want to predict very rare events or a combination of rare events with limited data, making predictions remains very challenging without enough data to meaningfully extrapolate trends and relationships in the data.

The limitless potential of securely synthetic data

Synthetic data is the best way to safely unlock the potential of the data economy. Because synthetic data — by being completely artificial — can solve the essential privacy problem, it can significantly reduce data leaks and protect your customers’ personal information, while still retaining utility.

Synthetic data becomes the best way for multinational organizations to stay as competitive, responsive and innovative as startups. And to allow you to capacity plan, based on the completely unknown.

Because large financial institutions have such a wealth of data, they are perfectly positioned to take advantage of the unique potential of data and synthetic data. Organizations can now limit risk-taking by predicting responses for an unpredictable future.

The world is changing rapidly. Your business has to be ready for it.

Cet article Hazy | Shake’Up – How synthetic data could have let us prepare for this pandemic? est apparu en premier sur RiskInsight.

What is credit card skimming ?

Skimming is the crime of getting private information about someone else’s credit card in an otherwise normal transaction. The thief can procure a victim’s card number using basic methods such as photocopying receipts or more advanced methods such as using a small electronic device (Skimmer) to swipe and store hundred of victims’ card numbers.

When a Credit or Debit Card is swiped through a skimmer, it stores all the information stored in the card’s magnetic stripe. This last one contains the credit card’s numbers and expiration date and all other details related to it. Credit card skimmers are often placed over the card swipe mechanism on almost any type of credit card reader (ATM, gas station, etc.).

For ATMs for example, the thief installs a device that fits over the real ATM card-reader slot. Consequently, ATM users (bank & customers) do not know that their information is being intercepted as their card is inserted into a false reader. While using the ATM, the skimmer duplicates the data stored in the card. Sometimes, it is paired with a camera that records the user entering his PIN code. Another technique used is a keypad overlay that matches up with the buttons of the legitimate keypad below it and presses them while operated, but records or remotely transmits the keylog of the PIN entered.

Once the victim’s credit card information is stolen, thieves can either create a cloned card to proceed to purchases in stores or sell the credit card information on the Darknet. Victims are generally unaware of the theft until they notice unauthorized charges on their account and as thieves are generally hard to track down. But for a large part of them, it is possible for card issuers to detect them. The issuer collects every customer’s claims related to fraudulent transactions, and then uses data mining (regression) to discover insights, the relationship among them and the associated merchants. For example if a large amount of abused customers use a particular merchant, this last one will be investigated. Other sophisticated algorithms can also search for patterns of fraud.

Credit card skimming has expanded and takes place nowadays in every corner of the world. This practice is present from Europe to South Africa and is expected to grow in developing countries, as credit cards users are growing.

How to protect from credit card skimming ?

According the Fair Isaac Corporation (FICO), the number of compromised ATMs and points of sales in USA jumped 21 percent during the first six months of 2017. That comes on the heels of a 70% increase between 2015 and 2016. There are no statistics regarding Gas Pump Skimming since it’s a local crime and not centrally tracked. However the risk of theft is quite significant : according to the National Association for Convenience Stores, 29 Million Americans refuel every day using their credit card, a single compromised pump can capture data from 30 to 100 cards per day. And when skimming occurs at a gas station, it is usually limited to one pump which makes it more difficult to spot.

Credit Card skimming is becoming a serious and real threat of the modern digitalized world and governments are becoming aware of this. Many ATMs worldwide are now equipped with a guide to help people identify whether the ATM is compromised or not. Banks may also not process suspicious charges until the identity of the one who initiated the transaction is verified. However progress is still needed. In US for instance, gas pumps received a three-year extension on EMV transition in 2017, meaning that fuel pumps will continue to be field for fraudsters with skimmers until October 2020. Therefore, we should all be cautious and adapt our behaviour to avoid and/or counter skimmers. Firstly, everyone must watch where they shop with their credit card. Secondly, people should check the ATM before using it. Skimmers are generally produced using a 3D printer, there should be therefore some noticeable differences. Finally, we should act in a responsible manner, for example we should never fall to those “credit card cleaning“ scams where thieves claim to clean the magnetic strip on your credit card to help it work better (whereas he plugs it into a skimmer) or we can rely on apps that helps detects skimmers such as “Skimmer Scanner” a free skimmer scanner Android app released in September 2017 .

Cet article Guest author Article – What is credit card skimming ? est apparu en premier sur RiskInsight.

Les limites de la DSP2

La limitation du périmètre aux seuls comptes de paiement

La DSP2, en tant que directive sur les services de paiement régit les opérations en ligne des acteurs de ces services uniquement sur les périmètres concernés qui sont les comptes intervenant dans les opérations de paiements.

Dans les faits cependant, les acteurs, et en particulier les agrégateurs, réalisent aujourd’hui des opérations sur l’ensemble des comptes des utilisateurs, notamment leurs comptes d’épargne. Un des enjeux de ces agrégateurs étant de fournir des services à valeur ajoutée touchant à l’ensemble de l’activité de l’utilisateur sur ses comptes : comptes courants, comptes d’épargnes, chèque, cartes, crédits, plan en actions, …

En réglementant uniquement sur l’accès aux comptes de paiement, la commission européenne et l’ABE mettent en lumière le fonctionnement des agrégateurs (rejeu des secrets de connexion utilisateurs) sans fournir une solution à l’ensemble des problématiques des échanges entre ces acteurs non bancaires (agrégateurs) et les banques.

Dans l’intérêt du développement des agrégateurs, des solutions devront donc être actées pour élargir cette législation. Par ailleurs, les travaux engagés par les banques dans le cadre de la DSP2 les ayant amenées à construire l’architecture nécessaire à l’exposition de services sur internet, une évolution de ces services à plus des comptes et à plus de services utilisateurs est probablement à venir.

Incompatibilité avec les standards existants

Contrairement à l’initiative OpenBanking UK, basé sur le standard reconnu du groupe de travail Financial API, au sein de la fondation OpenID, les nouveaux services offerts par les banques dans le cadre de la DSP2 se fondent sur des exigences réglementaires plutôt que sur des standards de sécurité établis.

Consentement utilisateur

Le consentement utilisateur est un bon exemple de cet éloignement entre le standard, ici OpenID Connect, et la réglementation.

La directive implique que le consentement de l’utilisateur à l’utilisation d’un ou plusieurs comptes pour un agrégateur :

• Doit être recueilli par le TPP (donc l’application qui va consommer les API) ;
• Doit être appliqué et vérifié par l’ASPSP (hébergeant les API).

Ceci est réalisé à rebours du standard OpenID Connect (implémenté dans le cadre de OpenBanking UK), dans lequel le consentement doit être recueilli par le service hébergeant les données et les API.

Cinématique authorization code

Mise en œuvre pour l’usage des AISP, la cinématique authorization code requiert une redirection de l’utilisateur de l’AISP vers le service d’authentification et de consentement de l’ASPSP, puis en retour une nouvelle redirection vers l’application de l’AISP.

Cette redirection peut être considérée comme un obstacle à l’utilisation des services comme le mentionne en exemple l’article 32 des RTS. En conséquence elle peut s’avérer illégale et des travaux sont en cours pour trouver des alternatives conformes ou non aux standards OAuth2.

L’acceptation de l’usage de cette cinématique pour les besoins de la DSP2 relève alors de chaque autorité nationale, ce qui a pour effet de limiter l’uniformisation européenne de ces interfaces. Actuellement, en France, l’ACPR a validé l’usage de cette redirection.

Figure 3: Les acteurs de la DSP2 en scène

Conclusion

Dans un environnement numérique en constante mutation, la DSP2 prend le parti de favoriser le développement des acteurs intermédiaires de services de paiement, pour mieux standardiser les échanges et apporter une meilleure ergonomie de navigation des utilisateurs et une meilleure sécurité des transactions.

Elle comporte des apports importants sur des sujets de sécurité, qui imposent des évolutions des SI bancaires : l’ouverture des services sur internet et le changement des moyens d’authentification sont en particulier un sujet compliqué pour les banques historiques.

Cet article Sécurité des opérations financières en ligne en 2020 : Quelles limitations à l’efficacité de la DSP2 ? (2/2) est apparu en premier sur RiskInsight.

Cet engouement invite les acteurs historiques et de nouvelles fintechs à se positionner sur le marché des services bancaires en ligne. De nombreuses solutions se déploient aujourd’hui à grande échelle, nécessitant une réglementation adaptée.

La DSP2 et les acteurs financiers

La DSP2, Directive sur les services de paiements 2, s’inscrit dans l’évolution des transactions électroniques. Elle est une nouvelle étape dans la normalisation des échanges financiers après la DSP1 et en parallèle des travaux OpenBanking au Royaume-Uni.

Avec l’évolution du nombre d’acteurs sur le marché, les solutions mises en œuvre pour l’authentification des utilisateurs et la sécurisation des opérations financières se multiplient. Ces solutions peuvent s’appuyer sur des moyens d’échange reconnus comme sécurisés (EBICS, SWIFT…) mais elles ne sont pas les plus aptes à répondre à un besoin de plus en plus important d’accès aux données en temps réel.

Le but de cette directive est d’apporter un cadre réglementaire aux banques et aux acteurs non-bancaires tout en favorisant la concurrence.

Pour cela, la directive circonscrit les prestations réalisées par les acteurs des services de paiements en trois services :

• Le Service d’Information sur les Comptes (« Account Information Service » ou AIS) consiste en l’affichage et l’agrégation des données de solde et des transactions des comptes de paiement.
• L’Initiation de Paiement (« Payment Initiation Service » ou PIS) consiste en la transmission d’un ordre de paiement pour le compte d’un payeur, à son établissement teneur de compte.
• L’Emission d’Instruments de Paiement (« Payment Issuer Instrument Service » ou PIIS) met à la disposition des utilisateurs des moyens de paiement.

Elle impose aux fournisseurs (« Provider ») de ces services un ensemble de règles et d’obligations à remplir. À la condition que ces règles soient appliquées, les AISP, PISP et PIISP auront la possibilité d’accéder gratuitement aux données sur les comptes de paiement de l’utilisateur dans leur établissement teneur de comptes (« Account Servicing Payment Service Provider » ou ASPSP).

Figure 1: Les services du périmètre de la DSP2

L’apport sécuritaire de la DSP2

Pour offrir la possibilité d’accéder aux données des établissements teneur de compte (les banques), la directive impose à ces dernières d’exposer de nouvelles interfaces répondant à un ensemble de mesures de sécurité et permettant la réalisation de ces services.

Figure 2: Exigences sécuritaires de la DSP2

Sous l’impulsion de plusieurs groupes de travail (en particulier le STET et le Berlin Group), la solution retenue est la construction d’API exposant les services des ASPSP, à l’aide des standards Open API adoptés par les géants du Web. En particulier, d’un point de vue sécurité, les standards retenus sont OAuth2 et OpenID Connect.

Identification et authentification des acteurs

En réponse au fonctionnement actuel des agrégateurs, une des mesures d’importance de la directive est l’obligation pour les acteurs bancaires de s’identifier et de s’authentifier entre eux pour réaliser toute opération liée aux comptes de paiement.

En effet, en l’absence d’interface adéquate, les agrégateurs fonctionnent actuellement par « web scraping » qui consiste à simuler la navigation d’un utilisateur sur sa banque en ligne, en rejouant ses secrets de connexion. Cette méthode comporte trois défauts principaux :

• L’agrégateur client n’est pas formellement identifié, empêchant l’établissement teneur de comptes de déterminer s’il s’agit d’un acteur légitime ou non ;
• Les secrets de connexion de l’utilisateur sont transmis et connus par un acteur tiers et ne sont pas gardés confidentiels par l’utilisateur ;
• La traçabilité des opérations n’est pas assurée car il est impossible d’établir la preuve d’origine d’une requête. Plus particulièrement, la granularité d’accès aux services utilisés et informations consultées par un acteur tiers n’est pas possible.

La directive (articles 66 et 67) oblige donc tous les acteurs, notamment AISP et PISP à s’identifier et s’authentifier pour consommer les services. Un consensus s’est établi autour de la réalisation d’une authentification mutuelle par certificat lors de l’établissement de toutes les communications entre un fournisseur de service (TPP) et un établissement teneur de compte (ASPSP).

Renforcement de l’authentification de l’utilisateur

Elément récurrent dans la directive et au cœur de l’un des Regulatory Technical Standards (RTS) définis par l’ABE (Autorité Bancaire Européenne), l’authentification renforcée des utilisateurs est une des mesures structurantes de cette directive.

Aujourd’hui, les solutions s’appuient principalement sur l’utilisation d’un mot de passe (rejouable et sujet au phishing) et sur l’OTP SMS (présentant des risques d’interception) pour l’authentification renforcée. Ces deux méthodes sont très répandues mais présentent des failles de sécurité et sont parfois coûteuses. Les nouveaux services de paiement mobile permettent aussi une identification par l’adresse e-mail ou par le numéro de mobile, non connu de la banque.

Les RTS visent à sécuriser cette authentification de l’utilisateur par la définition d’une authentification renforcée (« Strong Customer Authentication » ou SCA) comme une authentification à deux facteurs indépendants, c’est-à-dire que la compromission de l’un n’entraîne pas la compromission du second. La directive impose que l’établissement teneur de compte fournisse les moyens de réaliser cette authentification renforcée, et que chacun des deux facteurs soit sécurisé sur toute la chaîne de transmission.

Les solutions envisagées pour répondre à ce besoin sont de plusieurs natures :

• Le mot de passe reste un facteur principal aujourd’hui, à condition d’être accompagné d’un second facteur pour l’authentification renforcée.
• Les solutions matérielles, plus sures, présentent l’inconvénient d’un coût supplémentaire : token d’authentification physique, clé ou dispositif FIDO U2F…
• Les solutions logicielles sur smartphone sont en développement constant : notification in-app, token d’authentification logicielle, biométrie à l’aide des capteurs de l’appareil, MobileConnect…

Le lien dynamique, « dynamic linking »

Dans le cas particulier des transactions de paiement, la directive impose qu’un code unique soit généré pour permettre aux acteurs de la transaction d’être, à tout moment du processus d’authentification et d’autorisation, en mesure de retrouver les caractéristiques de la transaction. En particulier, l’utilisateur doit être conscient, durant la totalité du processus, du montant et du bénéficiaire de la transaction qu’il autorise.

Cette mesure est similaire à ce qui est déjà réalisé dans certains cas de paiement en ligne. L’utilisateur est en effet notifié par SMS avec le code OTP correspondant à une transaction unique, de son montant et de l’origine de la demande. Elle généralise donc cet usage et l’impose en condition pour toute transaction de paiement.

Les exemptions à l’authentification forte

Dans la définition du besoin d’authentification forte et les exigences sur la « Strong Customer Authentication », la DSP2 essaie également de maintenir un équilibre avec l’ergonomie de la navigation pour les utilisateurs des services. Pour cela, elle prévoit des cas où les fournisseurs de services de paiement peuvent choisir d’exempter leurs utilisateurs de la réalisation d’une authentification forte.

Les conditions en place pour réaliser ces exemptions sont précisément décrites dans les RTS, notamment suivant les modes de paiement de l’utilisateur. Il est ensuite de la responsabilité des fournisseurs de service de paiement de déterminer, à l’aide d’un score de risque, si une exemption doit être appliquée ou non.

Conclusion

Dans un contexte de digitalisation des services financiers induit par la montée en puissance des fintechs, la Commission Européenne et l’ABE favorisent l’ouverture à la concurrence et donc l’intégration des nouveaux acteurs au sein de l’écosystème des services de paiement. La DSP2 pose un cadre clair pour la sécurisation des services et interconnexions entre acteurs historiques et fintechs. Dans l’état cependant, elle comporte des limitations qui réduisent la portée des mécanismes de sécurité mis en avant. Un prochain article détaillera la nature de ces limitations.

Cet article Sécurité des opérations financières en ligne en 2020 : Quels sont les apports de la DSP2 ? (1/2) est apparu en premier sur RiskInsight.

Le dilemme de l’évolution des dispositifs antifraude : quels leviers pour intégrer ces technologies ?

Faisant écho à ces problématiques, l’écosystème des éditeurs s’est organisé pour proposer des solutions antifraude s’appuyant sur ces technologies. Ainsi éditeurs et start-ups se sont très largement développés, partout dans le monde (plus de 150 fournisseurs ont été recensés au sein du radar « Antifraude » Wavestone). Le besoin de lutte antifraude a en effet par nature une dimension internationale, notamment dans la protection des flux monétaires qui sont rarement limités à un seul pays.

Figure 2 :Exemple du radar des éditeurs antifraude Wavestone (extrait non exhaustif)

Même si la lutte contre la fraude apparait comme un use case de choix pour démontrer le ROI du Machine Learning (réduction du nombre de fraudes, automatisation de la détection…) et au-delà du choix de la stratégie d’outillage de lutte contre la fraude au regard de la maturité du marché, les questions à se poser doivent rester celles d’une solution SI « standard » (exploitation, maintenance, évolutivité…).

Si les coûts d’infrastructures nécessaires à la mise en place d’outils basés sur le Machine Learning et le big data ne sont pas négligeables, ils permettent de créer un environnement favorable à l’exploitation de la richesse des données pour divers usages (maintenance prédictive des serveurs, connaissance client, etc.) en gardant à l’esprit les garde-fous mis en place par le RGPD.

Figure 3 : Où peut-on agir avec le Machine Learning : exemple d’une banque

Une nouvelle cible à atteindre : une approche “sans couture” technologique et métier

Face aux nouveaux enjeux et l’apport des technologies émergentes, une nouvelle stratégie antifraude doit être désormais définie.

La mise en place d’un dispositif de détection globale de confiance qui devra respecter 5 grands principes.

• L’efficience et l’automatisation : il bénéficiera d’une détection à plusieurs critères (moteur de règles et Machine Learning) et d’une efficacité opérationnelle optimisée par l’automatisation de mesures allant de l’augmentation du niveau d’authentification demandé au gel d’un virement.
• L’évolutivité et l’omnicanal : il intègrera plusieurs périmètres dans la détection avec une logique « sans couture » entre le monde cyber et le monde « hors cyber » et sera conçu pour permettre l’intégration de nouvelles données disponibles (ex : données de biométrie comportementale).
• La visibilité et l’exploitabilité : il fournira la visibilité (reporting) et l’explication des résultats de détection, aux équipes antifraude, aux clients et également aux régulateurs.
• La conformité et la sécurisation : il respectera les obligations en matière de détection ainsi que les réglementations (RGPD), et traitera les risques inhérents au Machine Learning (tentatives de poisoning, compréhension par l’attaquant du modèle…).
• La gouvernance transverse cybersécurité et métier : une collaboration étroite des équipes de détection de menaces cyber et métier antifraude, dépassant les silos encore trop présents, permettra une réponse globale avec une vision 360 des menaces et fera le meilleur usage des données disponibles.

Pour bénéficier de tous les atouts apportés par cette nouvelle stratégie de détection, il conviendra également de ne pas négliger les systèmes d’investigation et de réaction.

Une décentralisation partielle de la lutte contre la fraude, impliquant les conseiller bancaires, permettra une plus grande capacité d’investigation. Ayant la connaissance la plus fine de leurs clients, ces derniers représentent un atout dans le processus d’investigation.

De plus, la biométrie comportementale et le machine learning permettent de fournir une meilleure visibilité sur le niveau de confiance qu’on peut accorder à l’utilisateur. Une fois le niveau de confiance défini, il est donc possible d’adapter les niveaux d’authentification demandés en conséquence. Une contribution adaptée et graduée de l’utilisateur permettra ainsi de réduire le nombre d’alertes émises.

La mise en place d’une nouvelle cible antifraude n’est pas seulement pour assurer une réponse adaptée à un changement de contexte mais aussi pour anticiper une vague de fond qui s’amorce aujourd’hui. La détection de fraudes deviendra à l’avenir de plus en plus complexe compte tenu d’une digitalisation qui va continuer à s’accélérer, en particulier sur les moyens de paiement. L’émergence de nouveaux acteurs, comme les Fintechs, et la désintermédiation grandissante des banques vont notamment entraîner un appauvrissement de la donnée disponible. Les dispositifs antifraude sont donc voués à évoluer en profondeur afin de garder et développer leur efficacité.

Cet article Revolution technologique : quelle perspective pour la lutte contre la fraude ? (2/2) est apparu en premier sur RiskInsight.

Les expériences et expérimentations du secteur bancaire, en avance sur ces problématiques, permettent d’envisager les perspectives à venir et fournit donc un prisme d’analyse utile aussi pour les autres secteurs.

Menaces, usages, réglementations : trois évolutions majeures qui impliquent des adaptations des dispositifs antifraude

Les transformations business et technologiques dans l’ensemble des secteurs d’activité font apparaitre des évolutions impactant directement les dispositifs antifraude historiques.

Les menaces évoluent, les pratiques de fraude se sont professionnalisées avec de nouveaux outils et de nouvelles pratiques. Prenons l’exemple du phishing : même sans connaissances informatiques, une cellule de fraudeurs entrainée peut désormais acheter un kit de phishing prêt à l’emploi et met en moyenne seulement trois minutes entre une connexion frauduleuse et une sortie d’argent. Les tentatives de fraude se sont donc démultipliées ces dernières années.

En parallèle, les usages évoluent vers une plus forte digitalisation, parfois dictés directement par des évolutions réglementaires, à la fois à destination des clients ou à destination des collaborateurs. Par exemple la mise en place de l’Instant Payment en France ou de la directive européenne sur les services de paiement 2ème version (DSP2) prévoient des virements instantanés. Ces nouveaux usages accélèrent les transactions financières entre les acteurs entrainant par la même occasion des besoins d’évaluation instantanée des risques de fraude. De plus, cette multiplication des canaux de paiement entraîne une augmentation de la surface d’attaque avec notamment une diversification des malwares bancaires aux applications mobiles ainsi que l’apparition de pratiques d’ingénierie sociale complexes multicanales et appuyées sur une compréhension des processus métier.

La diversification des fraudes, la volumétrie associée et l’augmentation des besoins de traitement instantané rend le traitement manuel presque impossible. La création de règles d’alertes plus restrictives pour minimiser les volumes ferait cependant courir le risque de manquer un grand nombre de fraudes.

Dans ce nouveau paysage, où la fraude devient de plus en plus technologique et peut avoir de multiples origines (clients, donneurs d’ordres, sous-traitants, fournisseurs, administrateurs…), les stratégies de détection doivent évoluer et passer d’une détection réactive des fraudes connues à une détection proactive des menaces encore inconnues.

Les nouvelles technologies, l’avenir de l’antifraude pour faire face à ce nouveau paradigme

L’approche historique de la détection de fraude est fondée principalement sur la définition de règles unitaires générant une alerte en cas de non-respect d’un des critères et sur la corrélation d’événements, consistant à mettre en œuvre des règles métiers plus avancées prenant en compte plusieurs types de données, afin de générer une alerte lorsque apparaissent des indices du déroulement d’un scénario de fraude connu.

Cette approche tout en demeurant efficace pour la détection de fraudes connues, par exemple dans la lutte contre le phishing, n’est plus suffisante pour faire face aux évolutions en cours. Une approche hybride doit être enrichie sur la base des nouvelles technologies présentes sur le marché (intelligence artificielle / Machine Learning, biométrie comportementale…) qui offrent deux grandes perspectives d’enrichissement des dispositifs actuels.

1.  Passer d’une détection de masse à une détection individualisée beaucoup plus fine qui va se concentrer sur les changements de comportement.

Le Machine Learning a la possibilité de créer des profils individuels à chaque client. Ces profils, composés de variables construites à l’aide des données collectées, vont permettre de modéliser le comportement. Ainsi, les algorithmes utilisés vont comparer le profil du client (et donc son habitude) avec un événement donné et, de fait, remonter une anomalie lorsqu’une divergence apparait. A noter que le nombre de variables manipulées peut facilement dépasser plusieurs dizaines, là où des règles statiques n’intègreront que quelques paramètres, permettant ainsi de démultiplier le potentiel de détection ou de réduire le nombre de faux positif.

2. Diversifier les périmètres à couvrir en bénéficiant des économies d’échelle apportées par ces technologies (mutualisation des infrastructures big data, massification des données, automatisation permettant un gain de temps pour les analystes…)

Ces technologies ont la capacité d’intégrer et corréler, grâce à des Data Lake sur lesquels elles s’appuient, des volumétries importantes de données brutes, techniques ou métiers (logs applicatifs, connaissances clients, opérations financières…) et d’apporter un potentiel d’enrichissement par des données extérieures (liste de surveillance, transformation d’adresses IP en localisations physiques…). Pour tirer le maximum de bénéfices des systèmes antifraudes, le Data Lake doit disposer d’un historique de données pertinentes et conformes, à savoir 13 mois pour des personnes physiques et 6 mois pour des personnes morales.

Pour autant ces technologies ne sont pas « magiques », elles nécessitent d’avoir à disposition des données en qualité et en quantité afin de réaliser un important travail préparatoire sur la construction des variables qui portent les capacités de détection des algorithmes. Cette phase de construction nécessite un apport d’expertise à la fois métier mais aussi technologique (datascience, développeurs, etc.).

Figure 1 – les principales méthodes de détection

Le choix des algorithmes n’est également pas à négliger, notamment d’un point de vue de la transparence. En effet, certains outils sont basés sur des algorithmes où les résultats sont difficilement justifiables. Le manque de visibilité sur les critères d’établissement des résultats entraine une remontée d’alertes en « boîte noire » et ne permet pas toujours de justifier les blocages aux clients. Une trop grande opacité peut également avoir des conséquences juridiques, voir être illégale, lorsque ces alertes ont des conséquences directes sur des clients.

Si ce premier article présente quelles sont les technologies d’avenir dans la lutte contre la fraude, un deuxième article viendra détailler comment les intégrer au mieux.

Cet article Revolution technologique : quelle perspective pour la lutte contre la fraude ? (1/2) est apparu en premier sur RiskInsight.

Comment l’idée vous est-elle venue ?

Emmanuel Ruiz nous explique que « l’équipe CopSonic [le] suit depuis plus de 15 années dans l’entrepreneuriat […] de traitement du signal audio ». Ayant découvert par hasard, en travaillant sur un effet spécial, qu’il était possible de « transmettre via du son de petites quantités de données », l’équipe structure ensuite le produit sous forme de Software Development Kit (SDK) « afin de sécuriser les échanges de données et de communications en champ proche ».

Quel est le plus grand risque de sécurité pour les banques et pour ses clients selon vous ? Comment répondez-vous à la menace qui pèse sur les banques ?

Emmanuel Ruiz met en avant que « le plus grand risque reste la fraude à l’identité et la validation d’une transaction de paiement à l’insu de la personne concernée. C’est en tout cas le risque que nous cherchons à couvrir avec notre technologie en équipant les utilisateurs d’une banque donnée avec une technologie universelle, sécurisée et facile d’utilisation ». La solution permet notamment de se protéger contre les nouvelles menaces qui se propagent par ultrasons car « il existe depuis 3 ans un virus véhiculé par ondes acoustiques entre appareils électroniques [ainsi que] des attaques sur des assistants vocaux [comme] Dolphin Hack ».

L’enjeu pour les RSSI aujourd’hui est de parvenir à concilier la facilité d’implémentation, la simplicité d’utilisation des solutions de sécurité avec une technologie sécurisée. Comment convaincre un RSSI de la pertinence de votre solution et de la sécurité du produit ? Quels sont les différenciateurs qui vous démarquent sur le marché ?

CopSonic propose une technologie conforme à la Directive PSD2 et au RGPD. L’intérêt pour les banques est de pouvoir exploiter la technologie directement en l’intégrant dans leurs applications “pour [leur] permettre de garder le contrôle sur la transaction de paiement réalisée par l’utilisateur final. Cette technologie est universelle et fonctionne sur tout type de dispositif, sans déploiement matériel nouveau à mettre en œuvre. Elle est donc incomparablement moins chère que les autres.”

Cette technologie inaudible à l’oreille humaine permet cependant de véhiculer des informations de manière sécurisée ; ce moyen de communication étant résilient à toutes les technologies électromagnétiques dans des usages de proximité (de type NFC ou Bluetooth). Le marché de la communication par les ultrasons est à l’aube de son explosion : par exemple Google se positionne déjà sur le paiement par ultrason avec sa solution Google TEZ, lancée depuis septembre 2017 en Inde.

Quelles sont les synergies entre votre innovation et les solutions de sécurité bancaires existantes à l’heure actuelle ?

CopSonic décrit sa technologie comme « avant tout complémentaire aux autres usages, dans un monde transactionnel mobile, web ou en champ proche [mais elle] s’impose en revanche comme la seule valable et compatible avec les assistants vocaux, qui vous demanderont bientôt de valider une transaction de paiement ». La solution de CopSonic offre donc « un service innovant répondant aux besoins des utilisateurs ». Par ailleurs, « sur les sujets de phishing, skimming, eavesdropping, [CopSonic propose] des solutions qui ne requièrent qu’une mise à jour logicielle dans l’infrastructure existante du serveur bancaire jusqu’à l’application mobile en passant par les POS, TPE ou ATM/DAB ».

Ces cas d’usages sont déjà une réalité puisque CopSonic annonce « travailler avec une banque française pour proposer sur des TPE un ‘’QRCode Invisible’’ : le service proposera en parallèle un ultrason pour sécuriser cette transaction via un OTP ultrasonique ». Par rapport à un QRCode classique, l’avantage pour l’utilisateur réside dans le fait qu’il n’aura pas besoin de viser avec la caméra de son smartphone le TPE.

Comment voyez-vous la banque de demain ? Quelles opportunités pour la cybersécurité dans la banque de demain ?

Pour CopSonic, le plus grand changement qui attend la banque de demain est lié à la sécurisation de l’expérience utilisateur : ces derniers sont de plus en plus exigeants sur l’ensemble de la chaine. Depuis la mise en relation jusqu’à l’expérience de paiement, ils attendent de la banque un parcours fluide et sécurisé.

Emmanuel Ruiz détaille ainsi : « Le développement des paiements instantanés (peer-to-peer), des paiements IOT (comment payer une prise de courant qui vous délivre 60 minutes de courant ?) et des nouveaux comportements de consommation (assistants vocaux au domicile, en voiture connectée) vont voir naître autant de nouvelles normes que de nouveaux risques et solutions pour les couvrir au mieux. La banque devra en tout état de cause continuer d’équiper ses utilisateurs de moyens de validation de transactions de paiement en conciliant sécurité et facilité d’utilisation. »

Pour en savoir plus : https://www.copsonic.com/

Cet article L’INTERVIEW DE COPSONIC – LA SECURITE PAR LES ULTRASONS est apparu en premier sur RiskInsight.

In response to industry feedback, including Wavestone’s continuous involvement in the framework development (see our most recent contributions here and here), NIST is now working hard to allow the guidelines to more easily apply to organizations, thanks to sector-specific “Profiles” (e.g., Manufacturing Profile released in September 2017).

The Financial Services Sector Coordinating Council (FSSCC) recently held a workshop hosted by NIST in Washington, D.C., to further develop the Financial Services Profile of the framework. It gathered not only industry members but also regulators such as the FED and the OCC. While it is still preliminary, here are few takeaways…

A new risk-tiering methodology

First and foremost, the profile introduces the concept of risk tiering similar to that of the FFIEC Cybersecurity Assessment Tool (CAT), but with qualitative rather than quantitative criteria. It proposes thirteen questions to determine the organization’s criticality level from 1 (Critical) to 4 (Relevant) based on criteria such as systemic importance, as well as geographical and geopolitical considerations. This criticality level then determines applicable “diagnostic statements” to assess.

The methodology aligns well with industry best practices and is tailored to financial services. However, the sequence of questions to determine an organization’s inherent risk is likely to have most if not all financial institutions rated at Level 1 or 2. For example, any organization collecting and/or managing end-consumer Personally Identifiable Information (PII) would be designated a Level 2: Significant risk. While coverage of PII and privacy in general is welcome in a context of increased privacy concerns, it may not be so relevant from an inherent risk perspective.

Qualitative assessments, such as the one proposed here, are relevant for smaller institutions, but bringing cybersecurity risk management practices closer in maturity to those of credit and market risk management would require leveraging quantitative assessment methodologies. The recent paper Cyber Risk for the Financial Sector: A Framework for Quantitative Assessment from an IMF economist points in that direction.

Significant changes to the Framework Core and diagnostic statements

The profile builds on to the Framework Core with two new functions: “Governance” and “Supply Chain/Dependency Management.” These additions put more emphasis on key areas, but at the cost of changing the well-known “Identify-Protect-Detect-Respond-Recover” structure, which is helpful for communicating with business and senior management.

The profile does not stop here, as it also increases the number of Categories and Subcategories, +8 and +20 respectively. While these additions are mostly relevant, they are not specific to Financial Services and could therefore be added to the Framework Core itself.

Based on this structure, the profile defines 300 diagnostic statements leveraging again the FFIEC CAT and other resources from NYS DFS, FSB, and CPMI-IOSCO.

More precise assessment criteria

When utilizing the NIST CSF, the FFIEC CAT, or any other generic framework or tool, most firms at some point end up defining specific potential answers to assessment criteria. Indeed, firms may have protection mechanisms in place, but they may not be consistently deployed across all assets. Similarly, while a measure may not yet be in place, a clear path forward may have been defined. Such scenarios are relevant to reflect an organization’s cybersecurity maturity.

The profile addresses this issue by proposing seven possible answers which successfully address common scenarios: “Not Applicable,” “Yes,” “Yes-Risk Based,” “Yes-Compensating Controls Used,” “Partial-Ongoing Project w/Action Plan,” “Not Tested,” and “No.” This addition is certainly an important step toward more consistent framework use and a foundation for maturity measures across organizations and across industries.

The need to think global

The proposed profile is currently presented as U.S.-centric. Indeed, most questions in the risk-tiering section and most diagnostic statement references relate to U.S. references. While this focus would be helpful for initial adoption in the U.S. market, it could be a barrier to expansion moving forward. Country-specific references are helpful, but the Profile itself should be kept as generic as possible, with U.S. references provided as add-ons only. FSSCC peers could then develop other add-ons at the country or region-level.

Moreover, the proposed profile must further address the challenge of managing different maturity levels across geographies. Given the pervasive nature of cyber risk, shouldn’t organizations ensure a consistent maturity across geographies unless sufficient segregation is ensured? As challenging as it sounds, the magnitude of risk certainly justifies this approach.

As regulations are introduced worldwide and organizations are more and more global, managing complexity and avoiding inconsistencies necessitate a common framework. The Financial Services Profile as intended by the FSSCC has an important role to play in this respect. More than a pragmatic approach to leverage the NIST CSF, it aims at greater regulatory harmonization and streamlined regulatory compliance efforts. It is laudable and certainly long-anticipated by organizations.

Cet article NIST and FSSCC Team Up for Financial Services Cybersecurity est apparu en premier sur RiskInsight.

A rapidly growing market

On the global scale, investments in the FinTech sector multiplied tenfold between 2010 and 2015 to reach $22 billion. The amount invested in 2016 is estimated to be $36 billion, with this substantial increase being due to the arrival of several major financial players wishing to secure their share in this very promising market.

In October 2015, the European Commission also adopted Directive PSD2, providing a legal framework promoting the use of innovative and disruptive solutions for banking and payment services. This new Directive has helped to change the definition of “payment institution” by making it more flexible and enabling new third parties to enter the market for banking services, which represents a real opportunity for the FinTech players.

This Directive has been in force since January 1^st 2016 in all countries within the European Union and has substantially modified the role of these new entrants into the banking landscape. These new regulations require the banks to open up to these new entrants by developing APIs that allow the FinTech players to interact with their banking applications and have access to some customer data. This new context, seen initially as a threat by the traditional financial institutions, has turned into an opportunity for the banks that have speeded up their digitalization process.

In fact, the banking institutions’ digital transformation strategy has embraced this change and the big banks have not hesitated to create partnerships or acquire FinTech start-ups. Societe Generale, for example, which bought Fiduceo, and BNP that joined the project by Xavier Niel, Station F, the biggest campus of start-ups in the world, located in Paris. The disruption caused in the banking industry by FinTech is due to both the evolution and simplification of services to customers thanks to an improved user experience and greater flexibility, and to the new technologies which are becoming the medium for these innovative services.

Smartphones: Pillar of the FinTech companies

The way that FinTech companies have evolved over the past few years has been driven by two major factors that have been the catalyst for growth in the sector. On the one hand, the financial crisis in 2008: the markets collapsed and the big investment banks went under. Investors no longer trusted the big financial institutions that were losing money, and a certain number of them preferred to turn to the promising digital enterprises in Silicon Valley.

Second factor: 2008 was also the year in which the blockchain was created, and the year when smartphones appeared, following the revolution initiated by Apple in 2007 with the launch of the iPhone. As the solutions offered by the FinTech players were disruptive and based on flexibility and simplicity of use, their growth was further boosted by the widespread availability of smartphones, which have become an everyday necessity. The expansion of the FinTech sector was thus encouraged by the level of maturity attained by smartphones and the applications that they host, which in turn helped them to develop and provide their services directly to users.

The smartphone is also a major vector in the transformation of payment methods, generally agreed to be one of the areas most remodeled by the FinTech revolution. The smartphone is not only the device that provides access to the services, but is also becoming the means of payment with NFC chips, in the same way as a bank card. Applications such as Lydia also make it possible for users to transfer money to their contacts free-of-charge and without having to make the normal bank transfer.

From the very launch of Apple Pay on iPhone, vulnerabilities in the design of the function had led to a rate of 6% of fraudulent transactions in 2016 as it was possible to use any card, without the CVV number and without any verification of the user’s identity, to make payments.

However, the security of FinTech companies cannot simply rely on that of smartphones and it must take into account all the links in the chain: from the design of the service to the data center where the company hosts its infrastructures.

Control of technology and security of the devices: major risk factors

The programming, the infrastructures used and the user’s device are the keyelements that are critical to the reliability, robustness, security and integrity of a financial service. Each of them has inherent weaknesses that it is important to make secure by suitable means that satisfy both the relevant regulations and correspond to external and internal risks. The main weaknesses that have been identified for the elements that are essential to the services provided by FinTech companies are as follows:

1) Devices

As mentioned above, the majority of financial services offered by FinTech companies are accessible to users through their own devices (PCs, tablets, smartphones, etc.). The security of the transactions carried out depends therefore to a large extent on the level of security of the device that is used. In 2016, it became apparent that smartphones were, in just the same way as computers, a target for Trojan Horse type malware that attempts to retrieve the login information of users on the home pages of their online banks. This weakness, which is inherent to the operating system of smartphones, is generally detected when it is too late when it has already been exploited by the hackers. As for the FinTech companies, the solution they most often use to protect themselves against fraudulent operations, following the theft of an ID or password, is multiple factor authentication. This method, already widely used by businesses, is now increasingly widespread among private individuals when they log on to a sensitive online application. The second factor is generally a code sent by SMS or generated by a special application, or biometric authentication using fingerprint sensors embedded in smartphones. However, even a two factors identification along with a code sent by SMS can be ineffectual against a determined hacker who might be able to intercept the SMS if they have managed to compromise the smartphone beforehand.

The manufacturers are therefore working on making their mobile devices secure, and have even made it a priority with regular security updates for the purpose of covering the vulnerabilities that are detected. Every weakness discovered in the operating system of a device receives widespread media coverage and could have a significant impact on sales in this very competitive market, in which the customer’s growing awareness of security can influence the final purchase decision. The most recent smartphones are, therefore, generally considered to be less vulnerable than an aging laptop.

2) Programming

The case of the mutualized investor-led capital fund The DAO , based on the blockchain “Ethereum”, a network that uses a cryptographic currency, is an interesting example to illustrate how a programming error can lead to a substantial financial loss. In this case, an error present in the code that made it possible to carry out false transactions resulted in the embezzlement of $50 million belonging to the various “shareholders” in The DAO.

This risk of hacking using a flaw in the programming is omnipresent for businesses seeking to develop applications and other web services. It is, however, possible to limit the risks arising from these programming errors by carrying out audits on the source codes and using vulnerability scanners on the applications.

In 2016, the researcher Vincent Haupert in hacking the mobile application of the German 100% online neo-bank N26 , not by compromising the smartphone but based on weaknesses in the application architecture. He was able to take full control and carry out illicit transactions. Following his discovery, the bank launched “Bug Bounty” campaign, an operation designed to reward people who report security breaches. Many companies, like the GAFA, but also of a more modest size, have already resorted to this type of campaign to detect potential weaknesses in their products.

FinTech companies therefore need to put security at the heart of their preoccupations when developing their services by integrating it in the design stage. All the more so because the financial sector is a prime target for hackers seeking to exploit any weaknesses they can identify in order to misappropriate large sums. As FinTech businesses tend to grow very quickly, the race for growth sometimes receives more attention than product security.

3) Infrastructures

But the Cloud is not infallible. For example, on February 28, 2016, thousands of websites and web applications belonging to various large companies, including Apple and all over the world, became inaccessible following a failure of the Amazon cloud.

The choice of IaaS and PaaS Cloud services providers is therefore important for businesses like the FinTech companies that supply sensitive services. The latter are subject to a large number of banking regulations, such as the PCI DSS for the protection of account information, or European regulations such as the General Regulation on Data Protection (GRDP) which will come into effect in May 2018, and expose businesses to some very dissuasive financial sanctions (up to 4% of global revenue).

Companies must therefore be certain that the level of security and the related processes put in place by their suppliers comply with the regulations that cover them. At end-2016, in an attempt to help companies outsource their infrastructures, the French data protection agency ANSSI published a standard to be used to certify trustworthy providers of Cloud services with the Franco-German label: European Secure Cloud.

In the more specific context of FinTech companies, ANSSI has also invited itself to the table to contribute its recommendations. ANSSI has become a partner of the FinTech Forum created by the French financial markets regulator (AMF) and prudential and resolution control authority (ACPR). The purpose of this forum is to encourage the emergence of these new financial sector players by assessing the risks and opportunities associated with their development.

National agencies, fully aware of the challenges posed by the transformation of the financial sector, are working towards creating greater transparency in companies regarding their overall ecosystem, and also on cyber security.

Risks that are indeed difficult to cover for FinTech companies

So, the cyber risks that are omnipresent for any business are all the more critical for FinTech companies. Viral infections and cryptolockers, attacks on web applications, and Distributed Denial of Service (DDoS) attacks, to mention but the most commonplace, can just as well affect devices, as applications and infrastructures, as discussed above.

The fight against these risks, inevitable for a business whose applications are exposed on the Internet, requires specific security skills and the putting in place of incident response plans in order to ensure the integrity and quality of their services. To respond to these challenges, banks have considerable resources, such as teams that are responsible for the continuous supervision of digital infrastructures, and they invest several tens of millions of euros every year simply to be able to guarantee their cyber security. As things stand, FinTech companies are not always able to put in place comparable financial and human resources. However, their advantage lies in their agility and the modernity and lack of obsolescence of their infrastructures, making it possible to implement effective security measures more quickly and at a lower cost. Furthermore, the increasingly close cooperation between the big traditional players and the FinTech companies means that they can benefit from the formers’ maturity in terms of security, with the crux being to strike a balance between security and flexibility, one of the success factors of the FinTech companies.

Cet article FinTech: at the time of the digital revolution how well are the risks understood? est apparu en premier sur RiskInsight.

La cybersécurité au cœur des préoccupations de Société Générale et de Wavestone

Les « Banking Cybersecurity Innovation Awards » s’adressent aux startups et PME innovantes européennes pour qu’elles fassent découvrir et qu’elles mettent en valeur leurs solutions en matière de cybersécurité, en particulier sur les thématiques [de la sécurité de la Blockchain, les services FinTech, le paiement mobile…]. Cette initiative fait appel aux esprits les plus créatifs des entrepreneurs européens pour construire la cybersécurité de la banque de demain et assurer la confiance numérique de la banque et de ses clients.

Les candidats pourront concourir dans trois catégories :

• Confiance numérique pour la banque : pour les solutions visant à sécuriser les systèmes internes de la banque, aussi bien métiers que liés aux infrastructures informatiques.
• Confiance numérique pour les clients : pour les solutions visant à sécuriser les échanges entre la banque et les clients, il s‘agit de solutions visibles des clients ou mise en œuvre sur leurs terminaux.
• Spécial France : pour une startup dont le siège social est basé en France et dont le capital est majoritairement détenu par des personnes, morales ou physiques, françaises.

Un jury d’envergure

Les lauréats seront départagés d’abord sur dossier puis en soutenance orale, le 06 juin 2017 dans les locaux de Wavestone, par un jury composé de membres reconnus pour leur expertise à la fois technique et stratégique dans le domaine de la cybersécurité et de la banque :

• Françoise Mercadal-Delasalles, Directrice des Ressources et de l’Innovation, Société Générale
• Laurent Goutard, Directeur de la Banque de Détail en France, Société Générale
• Thierry Olivier, RSSI, Société Générale
• Pascal Imbert, CEO Wavestone
• Reza Maghsoudnia, Strategic Devlopement Director Wavetone
• Gérôme Billois, Senior Manager Cybersecurité Wavestone
• Guillaume Poupard, Directeur Général ANSSI
• Patrick Duvaut, Directeur de la recherche au sein de l’école Télécom ParisTech
• Sébastien Couasnon, Journaliste et présentateur de Tech & Co sur BFM Business

Les collaborateurs Société Générale et Wavestone auront également l’opportunité de voter pour le candidat de leur choix, lui octroyant ainsi une voix supplémentaire par société.

Les 3 lauréats remporteront alors la possibilité de tester leur solution au sein du Système d’Information de la Société Générale et d’intégrer « Shake’Up », le programme d’accélération de Startup de Wavestone.

Enfin, la cérémonie de remise des prix se déroulera le 05 juillet 2017 après midi, sur le nouveau technopôle de la Société Générale, « Les Dunes », à Val de Fontenay
Visitez https://www.banking-cybersecurity-innovation.com/index.html Pour plus de renseignement ou pour proposer votre candidature.

Cet article Première édition des “Banking Cybersecurity Innovation Awards” est apparu en premier sur RiskInsight.

Le secteur bancaire, une cible historique

Les attaques contre le secteur financier ne sont pas une nouveauté, il s’agit même d’un secteur de prédilection pour les pirates agissant à des fins vénales. Mais en 2016 nous avons assisté à une diversification et à une intensification de ces attaques. En effet, au cours de l’année passée, plusieurs attaques majeures, motivées par l’attrait de gains financiers importants, ont été réalisées contre des banques de détail et d’investissement mais également contre des banques centrales. Sans viser à être exhaustif, cet article présente de manière synthétique certains des cas emblématiques.

Pour les banques, trois zones de risques, poreuses entre elles, sont clairement identifiées:

Depuis l’existence d’Internet, les failles des systèmes accessibles directement aux clients ont été largement exploitées par les cybercriminels qui ont continué à faire évoluer leurs techniques en 2016.

Les distributeurs de billets, très exposés historiquement, ont été visés par de nouveaux malwares, notamment ALICE et RIPPER. Ces malwares peuvent être installés sur la machine de deux façons différentes :

• En passant par le réseau auquel est connectée la machine pour accéder aux serveurs de gestion, nécessitant d’infiltrer le SI de la banque.
• Directement sur le système d’exploitation de la machine à l’aide d’un port USB mis à nu.

Le piratage des distributeurs de billets a résulté à la perte de plusieurs millions d’euros au cours de l’année passée pour différentes banques à travers le monde. En Europe, le groupe de cybercriminels Cobalt a piraté des distributeurs dans une douzaine de pays pour un montant inconnu. Des attaques similaires ont eu lieu à Taïwan et en Thaïlande avec le vol de 2,5M$ et 350k$ respectivement.

D’une autre manière, les DAB et TPE peuvent servir d’hôtes aux fameux « Skimmers ». Il s’agit d’un dispositif hardware plus ou moins discret permettant de récupérer l’empreinte de la carte des utilisateurs. Plusieurs types de « Skimmers » existent dont en particulier :

• Les Skimmers externes, reproduction de tout ou partie de la façade de la machine qui s’installe au-dessus du distributeur ou du terminal de paiement.
• Les Skimmers internes, s’installant directement dans le lecteur de carte de la machine .

Cette seconde méthode très en vogue en 2016 est difficilement détectable car il n’y a pas de modification importante de l’aspect physique de la machine, seule une caméra externe est requise pour capturer le code PIN. De plus ces Skimmers internes n’affectent ni le système d’exploitation ni le fonctionnement de la machine.

Beaucoup plus connus, les malwares de type cheval de Troie, continuent d’évoluer et sont toujours largement utilisés pour récupérer les informations de paiements des clients ; certains d’entre eux sont spécialement développés pour les smartphones, notamment sur Android.

L’évolution des attaques vers les systèmes exposés et internes en 2016

Les cas d’attaques les plus importants de l’années 2016 dénotent une évolution du mode opératoire des attaquants avec une préparation minutieuse qui dure jusqu’à plusieurs mois. Pour s’introduire dans le système d’information des institutions financières et le manipuler, des méthodes spécifiques doivent être suivies, en se basant sur le fonctionnement et les processus métier. Ces derniers sont étudiés longuement par les attaquants, afin d’agir efficacement et en toute discrétion.

Après ce temps de préparation et une fois le système d’information de la banque pénétré, les attaquants sont capables de manipuler les applications métier et de détourner des montants jusque-là impensables avec une seule attaque dont l’exécution ne dure que quelques heures.

Citons notamment en 2016 le record de l’année : 81 M$ qui ont quitté « les coffres » de la Bangladesh Bank de façon non légitime.

Le mode opératoire de l’attaque sur la Bangladesh Bank, ayant eu lieu au mois de février, permet de mieux comprendre comment le détournement de telles sommes est possible.

Les attaquants ont commencé par ouvrir au mois de Mai 2015 des comptes à la banque RCBC aux Philippines sous de fausses identités. Ils ont ensuite réussi à s’introduire dans le SI de la Bangladesh Bank, par une faille non identifiée.

Vient alors la phase préparatoire lors de laquelle ils ont installé sur le réseau de la banque un malware espion spécialement développé qui les renseigne sur les horaires de fonctionnement de l’équipe en charge des transactions SWIFT afin de s’aligner sur les pratiques de la banque. Ils parviennent aussi à récupérer les identifiants des opérateurs ayant les droits de création, approbation et exécution de ces transactions.

A la suite de cette période de préparation, l’attaque est lancée en Février 2016 avec 35 transactions frauduleuses ordonnées à la New York FED, gérant des comptes de la Bangladesh Bank pour un total de 951 millions de dollars vers des comptes de la RCBC aux Philippines, créés au préalables et associés à l’industrie du jeu et des casinos. La principale nouveauté repose dans le fait que le malware utilisé modifie les confirmations de transactions, supprime les enregistrements électroniques des ordres et bloque l’impression des récépissés papier pour ne laisser aucune trace de la fraude.

31 transactions seront bloquées par le système anti-fraude de la New York FED et les intermédiaires en cours de route, mais au final 4 transactions sont validées pour un montant total de 81 millions de dollars. Les fonds seront ensuite retirés des comptes pour être blanchis. L’enquête implique le FBI et le gouverneur de la Bangladesh Bank a été limogé.

En réponse à cette attaque et à des tentatives similaires contre des banques Vietnamiennes et Equatoriennes, le SWIFT a lancé en 2016 un programme de sensibilisation pour ses clients ainsi que des recommandations pour une meilleure cyber sécurité.

A quoi s’attendre pour la suite ?

Ce contexte agité promet donc une année 2017 sous haute vigilance pour tous les acteurs du monde financier. La tendance à mener des attaques en profondeur contre leurs systèmes devrait s’intensifier, nécessitant une réelle évolution dans l’appréhension de la cybersécurité. Certaines annonces tonitruantes comme celle réalisé au Royaume-Uni « a major bank will fail »  tente d’alerter sur cette situation.

La capacité des attaquants à agir directement sur les éléments clés du SI bancaire tels que le système anti-fraude et les applications métier impose aux banques de durcir leur sécurité informatique à tous les niveaux ; que ce soit par exemple avec la protection contre les intrusions, une meilleure gestion des identités ou des systèmes d’authentification forte pour les utilisateurs sensibles.

La spécificité du milieu bancaire à fonctionner sur un modèle de réseau fortement interconnecté implique que la cybersécurité des services partagés, tels que les systèmes de transactions internationaux ciblés à plusieurs reprises, soit abordée globalement afin de garantir un niveau de sécurité cohérent entre les établissements financiers.

Article réalisé conjointement avec les travaux de préparation du panorama de la cybercriminalité du CLUSIF 2017 sur la partie “menaces touchant la finance”. 

Cet article 2016 : les cyberattaques touchent la banque sur tous les fronts est apparu en premier sur RiskInsight.

Machine Learning, démystification et opportunités

Le Machine Learning est une forme d’intelligence artificielle qui consiste à apprendre et modéliser un phénomène pour mieux le comprendre et le maîtriser. Pour cela, un ou plusieurs algorithmes permettent d’établir des corrélations entre les évènements qui composent ce phénomène. On distingue deux grands types de méthodes :

• Les méthodes supervisées, qui créent des modèles à partir d’une base de données d’exemples (généralement des cas déjà traités et validés).
• Les méthodes non-supervisées, qui n’ont pas besoin d’une base de données d’exemples

Pour illustrer la différence entre les deux méthodes, on peut considérer le cas de la détection de fraude. Pour s’entraîner et créer des modèles précis, les méthodes supervisées utiliseraient en entrée des données déjà traitées et marquées comme étant liées ou non à des cas de fraude (schémas de fraude connus), alors que les méthodes non-supervisées utiliseraient des données brutes issues des applications du SI afin de modéliser les comportements normaux. Conceptuellement, cela revient à modéliser respectivement ce qui est anormal (la fraude – en ayant assez de données pour que cette représentation soit fidèle) ou ce qui est normal (en détectant de facto les fraudes lorsque l’on s’éloigne de cette normalité).

Tous les algorithmes ne se valent pas. Chacun possède des qualités et des défauts qu’il faut savoir peser et qui dépendent en grande partie des données d’entrée, propres à chaque cas métiers. Il est important de choisir des données à la fois pertinentes et disponibles en quantité suffisante pour obtenir des résultats probants. Dans le contexte de la Banque en Ligne, de nombreuses données peuvent faire l’objet de Machine Learning :

• Habitudes de transaction : montants des virements, pays destinataires…
• Habitudes de connexion : heure de connexion, user-agent, device utilisé…
• Habitudes de navigation : parcours client, vélocité de navigation…
• Données comportementales : vitesse de frappe, déplacement de la souris…
• Données marketing : produits consommés, libellés des virements…

Correctement exploitée par des algorithmes de Machine Learning, la conjugaison de ces différentes données, précédée par un traitement tirant le maximum de leur valeur, peut permettre des résultats bien plus significatifs que ne le permettent les méthodes classiques. La connaissance client (KYC), en exploitant par exemple le parcours client type, la détection de fraude, en utilisant les habitudes de virement pour identifier des cas suspects (pays de connexion, distribution des montants…), ou encore le marketing à travers la connaissance des habitudes de consommations (analyse des libellés, regroupements des achats par catégories…) peuvent notamment largement tirer parti de ces données.

Concrètement, quels sont les gains du Machine Learning ?

Tout d’abord, connaître le client et mieux adresser ses besoins

Le Machine Learning permet de tirer le maximum de valeur des données en singularisant les modèles là où les méthodes « classiques » reposent sur un modèle commun à l’ensemble des données d’entrée. Par exemple dans le cas de la détection de fraude, les modèles de règles « classiques » reviennent à élaborer un modèle qui sera commun à tous les clients, sans tenir compte de leur unicité, là où le Machine Learning permettra une détection plus efficace en associant un profil à chaque client et en effectuant une surveillance et une détection propres à ce profil. Ce raisonnement vaut pour tous les autres domaines d’applications, et permet, in fine, une meilleure représentation et une meilleure connaissance non plus « du client » au sens large, mais de chacun des clients.

Le Machine Learning permet également d’offrir de nouveaux services

Au-delà de l’amélioration notable des résultats basés sur les KPI classiques (taux de faux positifs, taux de détection…), le Machine Learning permet une création de valeur en termes de gains financiers en personnalisant les outils dont profite le client. Cela peut parfaitement servir de socle à une offre commerciale qui reposerait par exemple sur la personnalisation de ses seuils par le client ou sur la possibilité d’être alerté en temps réel lorsqu’une information marketing, commerciale ou concernant sa sécurité a particulièrement du sens. Certaines banques ont d’ailleurs déjà franchi le pas, en offrant la possibilité à leurs clients Entreprises d’être alertés en cas de virements qui dépassent des seuils personnalisés préalablement établis.

Finalement, le Machine Learning est aussi une occasion de moderniser les outils et rester à l’état de l’art

Lancer un projet de Machine Learning permet de communiquer sur le sujet et de profiter du buzzword pour générer de la satisfaction chez un certain nombre de client de plus en plus sensible à des problématiques de sécurité ou de confidentialité, tout en s’assurant d’être à l’état de l’art du marché. Cela peut également permettre de moderniser des outils existants en vue des changements qui vont continuer d’opérer dans la Banque en Ligne au gré des nouvelles règlementations et des exigences techniques (temps réel notamment avec Instant Payment) et métiers qui en découlent. Dans ce cadre, on voit par exemple éclore des méthodes de Machine Learning pour la surveillance des marchés et lutter contre les délits d’initiés.

En conclusion, la pleine maîtrise technique du Machine Learning coïncide avec de nouveaux besoins et de nouvelles exigences exprimés dans la Banque en Ligne moderne. Embrasser cette évolution présente de nombreux avantages, de l’amélioration des performances et des résultats à la satisfaction des clients, en passant par une meilleure flexibilité technique. La maîtrise des différentes méthodes doit permettre un renouvellement des traitements et des processus métiers, en les rapprochant du client (aujourd’hui ces méthodes sont plutôt transparentes pour lui). Dans le cas de la lutte contre la fraude, on peut par exemple imaginer de nombreux cas autour de l’alerting et des contre-mesures, comme une vérification par authentification forte en cas de suspicion, ou des informations reçues en temps réel pour mieux impliquer les clients.

Cet article Le Machine Learning, quelles opportunités et quels enjeux dans une Banque en Ligne moderne ? est apparu en premier sur RiskInsight.

During the 2016 edition of the Cyber Security Summit – one of the main local cybersecurity events – the Hong Kong Monetary Authority (HKMA) announced the launch of its CyberSecurity Fortification Initiative (CFI), a multi-year approach to strengthen the security of local banks.

Here are the main points to keep in mind about this initiative, which brings best-of-breed cybersecurity international practices, but also an innovative approach to cyber threat intelligence.

A three-fold initiative to improve the level of security

The CFI is an initiative on which the HKMA has been working to strengthen cyber-resilience (i.e. the capacity to resist/survive cyber-attacks). It targets all the Authorized Institutions[1] (AIs), in other words the banks of Hong Kong. It is underpinned by three pillars:

1. Cyber Resilience Assessment Framework

This framework will have to be deployed by each bank, thus allowing the HKMA to “get a holistic view of the preparedness of individual AIs as well as the entire banking sector”. It consists of 3 steps:

Cet article Hong Kong launches a major cybersecurity program for its banking industry est apparu en premier sur RiskInsight.

Parallèlement, les chiffres de la fraude n’ont cessé de progresser, pour dépasser en 2014 les 500 millions d’euros détournés sur le plan national. Dans la plupart des cas, cette fraude est due à l’utilisation de numéros de carte volés.

Pour endiguer cette tendance, les principaux organismes émetteurs de cartes bancaires (dont Visa et MasterCard) ont décidé de fonder en 2005 le Payment Card Industry Security Standard Council, dont le porte-étendard demeure sans nul doute PCI DSS (Payment Card Industry Data Security Standard).

PCI DSS et la nébuleuse des responsabilités

Le standard PCI DSS s’applique à « toute entreprise qui stocke, traite ou transmet des données carte ». Cette définition englobe donc aussi bien les banques que les commerçants, ou encore les prestataires de service de paiement (PSP), qui ont de ce fait des comptes à rendre devant les réseaux émetteurs de cartes. Pour être conformes à PCI DSS, ces acteurs doivent ainsi respecter les 280 exigences de sécurité qui composent le standard, réparties autour de 12 thèmes de nature technique ou organisationnelle.

Il convient par ailleurs de noter qu’en France, le standard PCI DSS n’est pas une obligation légale, mais est imposé contractuellement par les principaux acteurs du marché : Visa et MasterCard. Une société non conforme à PCI DSS s’expose ainsi à des pénalités financières, qu’elles soient imposées directement par les réseaux, ou par un partenaire de la chaine de paiement, comme ce fût par exemple le cas pour le Groupe Aldo en 2010.

Toutefois, les acteurs concernés n’ont pas tous les mêmes responsabilités vis-à-vis de la norme. Si la conformité des commerçants doit être justifiée chaque année auprès de Visa et MasterCard, ce n’est pas le cas de la banque, qui n’est pas tenue de réaliser un reporting régulier sur sa propre situation. Elle est en revanche responsable de celle de ses commerçants, autrement dit sa clientèle professionnelle. En effet, la déclaration des commerçants demeure du ressort de la banque, qui s’expose en cas de non-conformité ou de compromission chez l’un de ses clients à des pénalités financières.

Des commerçants aux profils variés…

Tous les commerçants ne présentent pas le même profil vis-à-vis du standard, et ne font donc pas face aux mêmes obligations. PCI DSS distingue quatre catégories, dont la plus élevée regroupe les marchands effectuant plus de six millions de transactions annuelles sur un réseau. Ces sociétés doivent impérativement obtenir une certification PCI DSS, délivrée à l’issue d’un audit au cours duquel l’intégralité des points de contrôle est vérifiée. Les autres commerçants n’ont pas d’obligation de certification. Leur conformité est justifiée par le biais d’un processus déclaratif, matérialisé par un questionnaire d’auto-évaluation (Self Assessment Questionnaire, SAQ). Ce questionnaire, complété chaque année, permet d’attester que l’ensemble des points de contrôle de la norme est respecté par le commerçant.

Les commerçants ne sont toutefois pas contraints de supporter eux-mêmes l’intégralité des exigences adressées par la norme. Un e-marchand ne comptant que quelques salariés ne disposera vraisemblablement pas de service informatique spécifique, ne développera probablement pas lui-même son site internet, et hébergera encore moins les fonctionnalités de paiement sur son système d’information. Les commerçants dans cette situation ont ainsi la possibilité de reporter une partie des responsabilités liées au standard vers un prestataire proposant une solution de paiement certifiée PCI DSS. Le commerçant choisissant cette solution ne deviendra pas automatiquement conforme à PCI DSS, mais portera considérablement moins de risques sur son périmètre. À titre de comparaison, le SAQ correspondant à cette situation n’adresse que deux des douze thèmes (sécurité physique et gestion des prestataires) du standard, pour un total de 17 exigences à couvrir.

…dont la banque hérite d’une responsabilité complexe

La banque est responsable de la déclaration de l’ensemble de ses commerçants auprès des réseaux. Si les marchands les plus conséquents sont susceptibles d’être d’autant plus réceptifs voire demandeurs de cette démarche PCI DSS, ce n’est pas nécessairement le cas des commerçants peu exposés, en règle générale également peu sensibles aux questions de sécurité. Aborder le standard sous l’inconditionnel angle réglementaire serait alors voué à l’échec. Le client risquerait en effet de se tourner vers une autre banque, ne lui imposant pas ces contraintes dont il ne perçoit pas la nécessité.

Il appartient alors à la banque d’accompagner son commerçant, en lui faisant dans un premier temps comprendre les enjeux portés par la sécurisation des données. Pourquoi protéger les données carte ? Quels risques encourus en cas de compromission ? Comment corréler sécurité et développement du business ? Toutes ces questions peuvent être abordées sans même évoquer PCI DSS. L’objectif est que le marchand intègre la protection des données comme vecteur de sécurisation de son business, lui permettant de continuer à travailler en acceptant les moyens de paiement Visa et MasterCard, et de développer la confiance de sa clientèle.

En tant que premier relais de l’établissement bancaire auprès du client, le chargé d’affaires peut être l’interlocuteur privilégié pour aborder ces questions. Il est alors du ressort de la banque de définir sa cible en termes de sensibilisation, et de former ses conseillers au discours sécurité qui doit être intégré au sein de la démarche commerciale globale.

En synthèse, la banque se retrouve donc dans une position complexe d’intermédiaire entre les réseaux carte et ses propres clients. Pour satisfaire les deux parties, il est alors nécessaire de gérer les risques associés à leurs intérêts divergents. Risque réglementaire d’une part, lié au non-respect des exigences imposées par Visa et MasterCard. Risque économique d’autre part, dû à une fuite d’une partie de sa clientèle.

Définition d’une stratégie de déclaration, le véritable enjeu pour la banque

La multiplicité des profils au sein d’un portefeuille clients proscrit l’adoption d’une réponse unique. Pour satisfaire l’ensemble des acteurs impliqués, une stratégie portant sur la déclaration de chaque client doit ainsi être mise en œuvre.

Imposer le remplissage systématique d’un SAQ en vue d’une déclaration ne convaincra pas les plus petits commerçants, moins exposés et moins enclins à consacrer les ressources nécessaires à une mise en conformité PCI DSS. À l’inverse, laisser une marge de manœuvre totale à ses clients exposera la banque aux pénalités imposées par Visa et MasterCard en cas de compromission.

La stratégie adoptée doit donc se construire sur la base des profils commerçants, pouvant être modélisés suivant deux paramètres :

• Exposition au risque : le commerçant est d’autant plus exposé qu’il réalise un grand nombre de transactions carte à l’année, et qu’il est au contact de ces données (par exemple en les stockant sur son système d’information, ou en portant certaines fonctions de paiement en interne).
• Maîtrise des exigences PCI DSS : le commerçant a un niveau de maîtrise d’autant plus important qu’il est en mesure d’allouer les ressources nécessaires à la démarche de mise en conformité, et qu’il manifeste sa volonté de conformer aux règles du standard.

En définitive, la meilleure réponse que puisse apporter une banque à la question PCI DSS repose sur une approche pragmatique. Connaître son portefeuille clients et identifier les risques portés par chacun d’entre eux doit permettre de répartir au mieux les moyens à consacrer à leur mise en conformité. Cet engagement de moyens sera par ailleurs perçu de façon positive par les réseaux carte, moins susceptibles de se retourner vers la banque si une compromission commerçant venait malgré tout à se produire.

Cet article PCI DSS : Quelle stratégie pour la banque vis-à-vis de ses commerçants ? est apparu en premier sur RiskInsight.

La Directive de Services des Paiements : une première initiative

L’adoption par le Parlement Européen en 2007 de la Directive de Services des Paiements (DSP) et sa transposition sur le plan national en 2009 avait pour objectifs majeurs d’harmoniser les services de paiements de l’Union Européenne et de stimuler la concurrence. Mise à part le fait qu’à partir de cette adoption, il est possible d’effectuer et recevoir des paiements d’Allemagne, d’Espagne, du Royaume-Uni… aussi aisément qu’en France ; un nouveau statut d’Établissement de Paiement (EP) a été créé. Il permet à de nouveaux acteurs autres que les banques et les établissements de crédit de fournir des services de paiement. En France, les EP sont agréés par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).

L’héritage de cette première version concernait 3 types de Fintech : celles proposant des opérations de paiements associés à un compte (ex : Slimpay qui permet de générer des mandats de prélèvements électroniques), les transferts de fonds et les émissions d’instruments de paiement (ex : portefeuille électronique). Les plateformes de financement (crowdfunding) qui ne fournissent pas de services de paiement n’entrent pas dans le champ d’application de la DSP1. Elles sont par ailleurs réglementées par l’ordonnance du 30 mai 2014 en tant que service de financement. Celles qui perçoivent des fonds bénéficient jusqu’à présent d’une dérogation, du fait que le montant total de leurs opérations de paiement soit inférieur à 3 000 000 € sur un mois (article 26 de la DSP1).

De nouveaux types d’acteurs, un nouveau cadre réglementaire

Le développement des Fintech a fait apparaître de nouveaux services de paiements depuis la DSP1 : les services d’information sur les comptes (ex : agrégateur de données Bankin’) et les services d’initiation de paiement (ex : Sofort), autrement appelés les tiers de paiement (Third Party Providers ou TPP). Ces nouveaux acteurs, se connectant aux banques des utilisateurs via leur login/mot de passe bancaire, ne sont pas pris en compte par la DSP1 et engendrent de nouveaux risques (données n’étant plus sous la protection du secret bancaire, problématique liée aux responsabilités en cas de fraude, etc.).

La DSP2 (adoptée par le Parlement Européen le 8 octobre 2015 et qui devrait être transposée dans le droit national fin 2017) stimule toujours la concurrence tout en fournissant un nouveau cadre réglementaire adéquat entre les TPP et les banques. Concernant la DSP1, les contrôles sont effectués par l’ACPR, la CNIL et la DGCCRF et les sanctions peuvent aller jusqu’au retrait d’agrément de l’Établissement de Paiement (EP). La nouvelle version de la Directive laisse aux États membres la charge de définir le régime de sanctions à appliquer en cas de son non-respect, sanctions qui ne sont donc pour l’instant pas connues.

Extrait de l’article 103 de la Directive : « Les États membres déterminent le régime de sanctions applicables en cas d’infraction aux dispositions de droit national visant à transposer la présente directive et prennent toutes les mesures nécessaires pour en assurer l’application. Ces sanctions sont effectives, proportionnées et dissuasives ».

Une obligation pour les banques qui ouvre de nouvelles opportunités : la coopétition

La DSP2 impose aux banques de transmettre de façon sécurisée les données seulement nécessaires à l’activité des TPP et de rembourser le payeur en cas d’incident de paiement dans un délai de 1 jour (excepté si la responsabilité du TPP est engagée dans un incident de paiement, auquel cas, il doit lui-même rembourser immédiatement la banque). Pour autant, la directive ne précise pas les exigences techniques de sécurité auxquelles devront se soumettre les banques et les TPP. Le contenu des guidelines de l’Autorité Bancaire Européenne (prévus pour fin 2016) sera déterminant : les normes techniques devront prendre en considération l’éventail des risques inhérents aux nouveaux services de paiement.

Cette obligation peut être vue comme une opportunité pour les banques de développer des Open API. L’Open API est une interface de programmation qui permet à des tiers d’accéder à des ressources internes. Cet accès n’est pas forcément autorisé en lecture et en écriture à l’intégralité des données. La plupart du temps, il est limité et nécessite l’accord de l’utilisateur.

Les banques peuvent utiliser et promouvoir ces mécanismes afin de renforcer leur compétitivité, leur image de marque et proposer de nouveaux services plus rapidement en offrant la possibilité aux développeurs externes de créer de nouvelles applications à partir de l’Open API et en les rémunérant en échange. Ce mouvement est essentiel pour que les banques gardent la main sur l’innovation et les nouveaux services pour continuer à se différencier. Certaines banques ont déjà initié une démarche proactive et innovante en mettant en place un Open API soit ouvert au public (CA Store, Fidor Bank) soit restreint à des partenaires (Bradesco, Garanti).

Cet article La DSP2 : une directive sur les services de paiements qui prône la concurrence est apparu en premier sur RiskInsight.

Cet article Dossier : Solvabilité II, Assureurs, êtes-vous vraiment prêts ? (2/2) est apparu en premier sur InsuranceSpeaker.

Cet article Dossier : Solvabilité II, Assureurs, êtes-vous vraiment prêts ? (2/2) est apparu en premier sur RiskInsight.

Une multiplicité des moyens de paiement

Le panorama des nouveaux moyens de paiement ne cesse d’évoluer au fil des années. Cette évolution sous-entend aussi une diversité des technologies utilisées par chaque solution.

Le e-commerce : Les transactions en ligne via un ordinateur se résume généralement à recopier les données d’une carte bancaire sur un site marchand. Il est toutefois possible d’utiliser un portefeuille électronique, comme le propose par exemple PayPal.

Le m-commerce : On distingue différents modes de paiements sur mobile :

• Le paiement à distance, via internet sur une application dédiée ou sur un navigateur, ou encore par SMS en utilisant la technologie USSD (Unstructured Supplementary Service Data). Ce protocole de communication permet entre autre de consulter son suivi conso et de payer sa facture en tapant #123# depuis son mobile. Ce dernier est aujourd’hui surtout présent dans les régions du monde où la population est peu bancarisée ;
• Le transfert d’argent de mobile à mobile, est un service proposé par de plus en plus de portefeuilles électroniques, à l’instar de Google Wallet ou des portefeuilles Bitcoin;
• Le paiement de proximité, ou paiement sans contact, permettant de payer chez le marchand avec son smartphone. Cette solution est dominée par deux technologies. La première est le Near Field Comunication (NFC), comme le proposent Apple Pay et Google Wallet. La seconde est le Quick Response Code (QR Code), une technologie notamment utilisée par les portefeuilles Bitcoin ou DigiCash.

Il ne s’agit pas ici d’une liste exhaustive des nouveaux moyens de paiement, puisque d’autres solutions permettent de payer autrement, à l’image du NFC Reader proposé par Square. Cependant, il faut garder en tête que ces nouvelles solutions tendent à se généraliser. Reste à identifier les impacts au niveau de la sécurité.

Quels enjeux en matière de sécurité ?

Ces nouveaux moyens de paiement sont tributaires des supports qui les proposent. Autrement dit, de nouveaux risques apparaissent, puisque le smartphone devient en partie responsable de la sécurité du paiement. Certes, ces solutions proposent des systèmes de sécurisation de la transaction via par exemple le chiffrement ou la tokenisation (mécanisme visant à remplacer le numéro de la carte bancaire par un autre numéro unique et inutilisable dans d’autres contextes). Mais un smartphone n’est autre qu’un outil personnel pour l’utilisateur, donc potentiellement personnalisable ou attaquable. Or, une authentification désactivée, ou un smartphone « jailbreaké » (dont les fonctions de sécurité ont été déverrouillées) sont autant de problèmes de sécurité dont l’utilisateur est responsable ou peut être la victime en cas de failles de sécurité utilisées des pirates.

La solution de paiement doit donc proposer des mesures de sécurité pour palier à ces éventualités. Trois exemples concrets permettent de mieux comprendre les enjeux de la sécurité des nouveaux moyens de paiement.

Apple Pay, Google Wallet et les portefeuilles Bitcoin, trois solutions, trois philosophies différentes

Les solutions proposées par les deux géants américains Apple et Google, sont des portefeuilles électroniques. À noter que ce terme est un abus de langage car il signifie initialement l’utilisation d’un compte crédité. Ils permettent de payer via des applications qui les supportent, et ils permettent aussi de payer chez le marchand directement avec son smartphone par communication NFC. Google Wallet existe depuis septembre 2011 aux États-Unis alors qu’Apple Pay est lui disponible depuis octobre 2014 outre-Atlantique et depuis le 14 juillet 2015 en Grande Bretagne. On compte néanmoins plus de 700 000 terminaux de paiement acceptant chacune des deux solutions.

Apple Pay (à gauche) et Google Wallet (à droite)

L’une des distinctions majeures entre ces deux solutions réside dans le stockage des données à caractère personnel. Tandis qu’Apple certifie ne récupérer aucune donnée qui pourrait être reliée à l’utilisateur, Google, lui, se propose de récupérer et stocker toutes ces données dans le Cloud. La raison de ces choix technologiques provient du fait qu’Apple est propriétaire de sa technologie de bout en bout, il fabrique ses propres smartphones. De l’autre côté, Google ne fabrique pas les mobiles qui proposent sa solution de paiement. Ainsi, il se propose de stocker toutes les données sur le cloud afin de les sécuriser. Une confiance que l’on retrouve aussi au travers d’une solution en marge du système bancaire : le Bitcoin.

Les portefeuilles Bitcoin permettent de faire ses achats en monnaie « virtuelle » depuis son mobile. Il est en effet aujourd’hui possible de payer avec ses bitcoins chez certains marchands, et ce, même en France. Le Picotin par exemple, restaurant dans le 12^ème arrondissement de Paris, propose à ses clients de payer son addition par bitcoin.

© Sebastian Seibt | Le Picotin accepte les paiements en monnaie dématérialisée

De plus, certains portefeuilles électroniques comme igot (disponible en Australie) s’occupent de transférer au marchand l’équivalent de la quantité de bitcoin en monnaie locale.

Ce moyen de paiement virtuel présente de nombreux avantages, en particulier du point de vue de l’anonymisation même s’il reste peu répandu et sujet à des variations de valeurs extrêmement fortes.

Ces solutions sont donc une nouvelle expérience de paiement. Une expérience qui se voit portée par deux arguments : ergonomie et sécurité. Apple Pay, Google Wallet, et les portefeuilles Bitcoins peuvent-ils incarner l’avenir des paiements sécurisés ? C’est dans l’optique de répondre à cette question, qu’il sera nécessaire de décrypter la sécurité de ces trois nouveaux moyens de paiement. Cela fera l’objet de prochains articles de blog à ce sujet.

Cet article Démocratisation des nouveaux moyens de paiements : la sécurité au cœur des enjeux est apparu en premier sur RiskInsight.

La directive-cadre Solvabilité 2 date de 2009. Nous sommes presque en 2015. D’après vous, quelles ont été les plus grandes avancées du secteur de la mutualité sur la gestion des risques ?

Alban Jarry : Un meilleur adressage des éléments pouvant générer des risques qui améliore progressivement la transparence dans la remontée d’informations et, par conséquent, un meilleur pilotage de l’entreprise. Aujourd’hui, il est possible d’avoir des tableaux de bords plus précis sur les risques financiers, assurantiels, opérationnels ou environnementaux. Cartographier les risques et les anticiper permet de mieux informer la gouvernance et de l’éclairer dans sa prise de décision.

Serge Marcante : À la Mutuelle Générale, nous avons mis en place fin 2013 une Direction des Risques et de la Qualité (DRIQ) indépendante des directions opérationnelles. Elle regroupe quatre services qui permettent de couvrir les problématiques liées aux risques et à la surveillance des processus : la gestion des risques, la sécurité, la conformité et la qualité. Avant même la mise en application de la Directive, cette direction va permettre au Conseil d’Administration de disposer de toutes les informations sur les risques stratégiques qui peuvent affecter le profil de risque de la mutuelle et ainsi de les anticiper.

Plus particulièrement à la Mutuelle Générale, où en êtes-vous dans la mise en place de la fonction « Risques », l’une des quatre fonctions clés définies par Solvabilité 2 ?

SM : Cette fonction sera localisée (dès l’entrée en vigueur des textes législatifs) au sein de la DRIQ dans la Direction des Risques. Elle assurera le respect de l’article 44 de la Directive. Nos politiques de risques et de gouvernance sont en cours de finalisation et seront applicables pour 2016. Il est important de se préparer, dès à présent, aux échéances réglementaires qui vont arriver dans un peu plus d’un an.

AJ : Nous améliorons continuellement notre dispositif de surveillance des risques et les cartographions. C’est un travail collaboratif et nous nous appuyons, en particulier, sur la Direction de la Qualité et du Développement Durable qui a rédigé la plupart des processus et permis de mieux cartographier les risques opérationnels. Pour les risques assurantiels et financiers, nous nous sommes dotés d’outils de surveillance qui permettent de les suivre et de calculer, en particulier, les éléments quantitatifs du pilier 1.

Avez-vous déjà défini de quelle façon l’AMSB, notion nouvelle en France, va être constituée ?

SM : Nous attendons la transposition en droit français de l’AMSB pour finaliser notre organisation sur ce point et notamment sur le principe des « quatre yeux ». Ce point est toujours en cours de négociation avec les autorités.

Un des objectifs de l’ORSA est de développer la culture du risque à chaque échelon de l’établissement et de mobiliser l’ensemble des acteurs. Aujourd’hui, quels sont selon vous les acteurs les plus sensibilisés ?

SM : L’ensemble de la chaîne de décision et de gouvernance est progressivement sensibilisé : le Conseil d’Administration, la Présidence, la Direction Générale Déléguée, les membres du Directoire et du Comex. Il est primordial que tous soient informés et participent à la surveillance des risques.

AJ : Nous avons une structure de contrôle en trois niveaux assez classique : les directions opérationnelles, la DRIQ puis l’Audit. Au niveau des directions opérationnelles, nous sommes en train de renforcer la surveillance des risques avec la création de « correspondances DRIQ » qui seront les premiers relais de notre direction dans la structure. Il est important que les collaborateurs soient sensibilisés car ce sont les premiers acteurs d’une amélioration continue de la qualité.

La gestion des risques telle que requise par Solvabilité 2 est-elle jugée comme étant une opportunité au sein des établissements ou comme un frein au développement ?

SM : La performance exigée par Solvabilité 2 en matière de gestion du risque est une opportunité pour la structure et doit participer à son développement en l’aidant à mieux appréhender les risques inhérents à chaque décision et à mieux les maîtriser quand ils se présentent. Plus largement, la collecte de données et de simulations, le fait de devoir repenser la culture du risque et d’affiner les outils de gestion internes sont autant d’éléments positifs pour l’entreprise.

Selon vous, quels sont les facteurs clés de succès pour une bonne gestion des risques dans un établissement du secteur de la mutualité ?

AJ : Une bonne gestion des risques nécessite de tenir compte du principe de proportionnalité et de maîtriser les budgets affectés à leur surveillance. Surtout, il faut être pragmatique dans la prise de décision. Les fondations d’une bonne maîtrise des risques reposent avant tout sur notre capacité à faire preuve de bon sens. C’est dans ce but que nous avons réorganisé l’actif et avons retenu un unique dépositaire. Nous travaillons aussi avec nos différents délégataires de gestion pour optimiser nos traitements liés au passif. Dialoguer avec les autres acteurs du secteur en participant à des travaux de Place facilite aussi grandement la mise en place de Solvabilité 2.

A contrario, s’il n’y en avait que deux à citer, quels sont les écueils à éviter ?

SM : Le premier écueil serait de considérer que les nombreuses règles et procédures instaurées par Solvabilité 2 en matière de maîtrise des risques doivent se subsister au bon sens élémentaire, primordial dans ce domaine. La deuxième erreur serait de négliger le principe de proportionnalité, au risque de construire une usine à gaz et de perdre de vue l’objectif essentiel : maîtriser les risques de l’entreprise.

*Alban JARRY, Directeur du Programme Solvabilité 2 et de la Mutuelle Générale, Vice-Président de XBRL France.
**Serge MARCANTE, Directeur des Risques et de la Qualité et membre du Directoire de la Mutuelle Générale

Cet article La gestion des risques sous Solvabilité 2 : quelle intégration dans le secteur de la mutualité ? est apparu en premier sur RiskInsight.

Cet article Banques et sécurisation des transactions sensibles : les tendances dans quelques pays d’Europe est apparu en premier sur RiskInsight.

Nous l’avons vu lors d’un précédent article, les banques ont mis en place un certain nombre de mécanismes pour protéger leurs services bancaires en ligne.

Face à l’évolution des techniques des cybercriminels – et face, aussi, à l’évolution des usages des clients – ces mécanismes montrent depuis quelques temps leurs limites. Dès lors, quels moyens sont à disposition des banques pour assurer la détection des activités illégitimes et une réaction efficace le moment venu ?

Mécanismes de protection : la ligne Maginot des services bancaires en ligne

Si l’on décide de voir le verre à moitié plein, il est intéressant de noter que chaque nouvelle attaque met en évidence des lacunes dans les mécanismes de protection en place, contribuant ainsi à l’amélioration continue du niveau de sécurité.

Ainsi, au-delà de la protection des opérations sensibles par ANR, plusieurs autres mesures de protection sont adoptées par les banques de la place : masquage partiel des numéros de téléphone et adresses mail (pour éviter leur récupération par les attaquants), interdiction de virements vers des bénéficiaires frauduleux (« listes noires d’IBAN »), mise en place de plafonds sur les virements, ajout d’un délai d’activation du bénéficiaire, etc.

Toutefois, les banques qui concentrent leurs efforts sur les seuls mécanismes de protection se retrouvent dans des situations difficiles à gérer lorsqu’elles sont victimes d’un type d’attaque non anticipé. Quelles décisions prendre et avec quels interlocuteurs ? Quelle communication vis-à-vis des clients fraudés et non-fraudés ? Comment revenir à une situation « protégée » tout en maintenant le service offert aux clients ? Ce flottement donne généralement quelques jours aux pirates pour mener à bien leurs attaques, tandis que le passage en gestion de crise paralyse fortement les activités de la banque.

L’amélioration continue des mécanismes de protection permet de se prémunir des attaques connues et d’anticiper les plus prédictibles. En parallèle, il est crucial d’accepter les contournements à venir, de se donner les moyens de les détecter et de réagir rapidement le moment venu.

Ce constat est d’ailleurs appuyé par la Banque Centrale Européenne, via ses « Recommandations pour la sécurité des paiements sur internet » publiées en février 2013, pour application dès le 1^er février 2015. Au-delà des bonnes pratiques sur les processus de sécurité (politiques, analyses de risques, etc.) et des aspects relatifs à la robustesse des accès banque en ligne (authentification forte, protection des sessions, etc.) déjà globalement maitrisés, l’accent est en effet mis sur la surveillance, la détection et le blocage des transactions frauduleuses ainsi que sur les dispositifs d’alerte à destination des clients.

Le client au cœur du dispositif de détection de fraude

Trois vecteurs principaux de détection sont à disposition des banques : le client fraudé lui-même, la présence d’indicateurs de compromission à son niveau et l’analyse de son comportement.

Le client fraudé identifie la fraude avec certitude après consultation de l’état de ses comptes. Mais il peut également identifier les tentatives de fraudes et noter des comportements anormaux du site (temps de chargement longs, pages inhabituelles, demandes inopportunes de validation, etc.). La priorité pour les banques est donc de faciliter la remontée d’information par les clients. Dans la mesure où l’interlocuteur principal des clients est leur conseiller, une solution efficace consiste en la formation des conseillers et téléconseillers à la fraude : scénarios classiques, questions à poser pour affiner le diagnostic, réponses à apporter, etc. L’escalade vers des téléconseillers dédiés à la gestion des fraudes peut notamment faire partie du processus.

La présence d’indicateurs de compromission caractérise l’infection d’un client par un malware et met ainsi en évidence la nécessité de mettre sous surveillance ses activités. En fonction du malware, les critères analysés peuvent être les suivants : IBAN utilisés pour les virements, méthodes JavaScript invoquées par le client lors de la visite du site, etc. De nombreux éditeurs proposent des solutions de détection, parfois dédiées au secteur bancaire. Elles prennent la forme soit d’un logiciel à installer sur le poste du client, soit d’un composant à installer sur l’infrastructure de la banque en ligne. Ces solutions sont toutefois souvent peu utilisées par les clients car complexes à installer et à maintenir.

L’analyse comportementale du client permet, sur la base d’indicateurs techniques et métiers, d’identifier les actions inhabituelles, et donc suspectes, de chaque client. Les critères suivants peuvent notamment être pris en compte : lieux et horaires de connexion, fréquence et montant des opérations, bénéficiaires habituels (pays, IBAN, etc.), présence d’un même bénéficiaire étranger pour plusieurs clients, etc. Généralement basée sur un système de notation de la transaction, les solutions existantes facilitent le travail des équipes internes en leur permettant de concentrer leurs analyses sur les transactions suspectes uniquement. Ces solutions sont plus largement répandues mais peuvent encore beaucoup progresser.

Réaction : un enjeu fort, une maturité hétérogène

Comment réagir une fois les premiers diagnostics techniques menés si la détection n’est pas réalisée par le client lui-même ? La levée de doute doit nécessairement être effectuée auprès du client. Aussi, afin d’établir un contact avec le client qui soit à la fois rapide et en phase avec la politique de l’agence concernée, la solution la plus répandue est d’informer le conseiller pour qu’il assure un premier traitement.

L’existence et la diffusion de procédures simplifiées à destination des conseillers est également un accélérateur efficace du traitement. Ces procédures indiquent les réflexes à adopter (questions à poser et conseils à donner au client) en fonction de la nature de la suspicion : changement de mot de passe, désinfection du poste, acceptation d’une intervention, etc.

En complément,  les fonctionnalités ciblées par la fraude en cours doivent pouvoir être désactivées client par client, par exemple sur action du conseiller concerné. Cette possibilité évite de réduire les fonctionnalités offertes à l’ensemble des clients alors que seul un nombre réduit est infecté.

Afin d’éviter les sur-sollicitations et d’être plus efficace en cas d’incident avéré notamment, les alertes à destination des conseillers clientèle doivent rester exceptionnelles et être à ce titre “préfiltrées” par des dispositifs techniques ou organisationnels.

Enfin, au-delà de l’efficacité de la réaction en mode nominal, il est également crucial de réussir sa gestion de crise : critères d’entrée, partage des processus par les interlocuteurs, canaux de communication, traitement opérationnel et communication.

Toutes ces opérations nécessitent une refonte souvent en profondeur des outils de gestion de la banque en ligne et des processus de relation clients. Plusieurs grandes banques sont en train de réaliser leurs mues vers la « banque en ligne sécurisé 2.0 » mais les efforts doivent être maintenus dans la durée.

Vers une sécurité de bout en bout des opérations financières

58% des français attendent des améliorations sur la sécurité de la part de leur banque. Bien que sensibilisés au sujet, les acteurs bancaires doivent encore accentuer leurs efforts.

De nombreux défis restent à relever, notamment sur l’identification de nouveaux mécanismes d’authentification qui doivent combiner résistance aux attaques sophistiquées,  compatibilité avec les situations de mobilité et facilité d’utilisation.

Au-delà de cette seule protection, les volets détection et réaction sont le véritable enjeu. On peut s’attendre dans les prochains mois à une uniformisation vers le haut tant dans l’outillage que les processus internes de gestion des fraudes.

Seule une imbrication poussée des filières Cybersécurité et métier permettra de relever ces défis et de garantir ainsi une sécurité de bout en bout des opérations financières. Ce constat est également vrai pour les autres secteurs d’activité. Ce paradigme, construit par les banques et autorités au fil du temps et au gré des nécessités, mérite donc toute leur attention sous peine de subir des attaques aux impacts dévastateurs.

Cet article Sécurité des services bancaires en ligne : combiner détection et réaction ! est apparu en premier sur RiskInsight.

La sécurisation de ces plateformes représente ainsi un triple enjeu pour les banques. Tout d’abord un enjeu financier direct, lié au préjudice que pourraient subir les clients et leur éventuel dédommagement. Enjeu d’image ensuite,  les banques devant rassurer sur leur capacité à protéger leurs clients. Enfin, un enjeu de conformité aux directives émises par les organismes régulateurs tels que la Banque de France et la Banque Centrale Européenne.

Que font concrètement les établissements pour sécuriser leur banque en ligne ? Est-ce suffisant ?

Cet article Sécurité des services bancaires en ligne : où en sommes-nous ? est apparu en premier sur RiskInsight.

Dans ce contexte la sécurité est souvent ressentie comme un mal nécessaire. Le Responsable de la Sécurité du SI doit alors changer de posture et anticiper l’évolution des usages métiers et SI, mais aussi des menaces. Ceci est d’autant plus vrai dans le monde de la banque de détail avec des sujets très concrets comme l’explosion de la mobilité, la mise à disposition de tablettes dans les agences, l’ouverture du back-office bancaire, ou encore la nouvelle concurrence des plateformes d’intermédiation pour les clients.

Maîtriser les risques au service des métiers

Le RSSI doit faire évoluer sa posture, basée aujourd’hui en grande partie sur la protection du SI, en améliorant ses capacités d’observation et d’anticipation des évolutions métiers.

L’enjeu pour lui ? Adopter un rôle de facilitateur, pour amener de la fluidité, autoriser les nouvelles technologies, les nouveaux usages et ainsi rendre concrètes les étapes permettant d’intégrer la sécurité dans les processus métiers. L’agilité et la rapidité de « délivrance » d’un service sont les éléments les plus importants pour les métiers. Si la sécurité répond trop tard, elle sera souvent ignorée.

En parallèle, le RSSI fait face à une explosion de la cybercriminalité. Des attaques plus ciblées, plus sophistiquées et plus destructrices se multiplient. Dans le cadre de l’opération Ababil, de nombreux cas d’attaques DDoS (Distributed Denial of Service) ont été recensés contre des banques hollandaises et américaines (notamment Bank of America). Autre exemple, une campagne de phishing très sophistiquée qui a récemment touché 14 entreprises en France afin de dérober des données bancaires au travers d’e-mails et d’appels téléphoniques ciblés.

Le combat est inégal : les attaquants sont innovants et rapides alors que le RSSI est contraint par des budgets et la rentabilité attendue des projets. Pour inverser la tendance, il doit se focaliser sur une stratégie de détection et de réaction face à ces attaques. Il doit également rester en veille et prendre une longueur d’avance sur les innovations des cybercriminels.

L’idéal est naturellement d’adopter une approche consistant à se concentrer sur les risques jugés prioritaires d’un point de vue sécurité mais aussi… métiers ! Ceci  bien entendu, tout en répondant aux exigences de la conformité qui vont grandissant sur les sujets de la lutte contre le blanchiment, le terrorisme ou encore la fraude.

Face à la multiplication des sujets, il paraît essentiel d’aller plus loin que les pratiques classiques de plans d’action tri-annuels. Il convient se doter d’un outil pour réussir à résoudre l’équation entre innovation et sécurité. Mais alors quel outil utiliser pour avoir une vision globale ?

Mettre en place un outil d’anticipation : construire le radar SSI

Le radar SSI, est un outil simple et visuel permettant le suivi des nouveaux usages, des menaces et des réglementations. Utile dans tous les secteurs, Solucom l’a en particulier décliné dans le secteur de la banque de détail.

Il s’accompagne d’un processus de veille permettant d’anticiper les évolutions et d’orienter la stratégie SSI afin de pouvoir répondre aux besoins d’ouverture, de mobilité, de fluidité exprimés par les métiers.

En partant des sujets bruts identifiés dans les actions de veille de Solucom, le RSSI choisira de prioriser les thèmes majeurs propres à son environnement pour ensuite définir une fiche actions par thème. Ces fiches déclenchent par la suite des réactions à court terme ou des projets à moyen terme afin de fournir une réponse sécurité en avance de phase des demandes. À travers cette transformation du mode opératoire et du positionnement du responsable sécurité, celui-ci devient porteur d’innovation et enraye son image de frein aux innovations.

En mai dernier, au cours de la remise des Trophées de la Sécurité, les discussions ont porté sur l’avenir de la fonction de RSSI. Trois pistes ont été évoquées. Parmi elles, celle d’ « Expert sécurité en solutions métiers ». Cette voie nécessiterait une intégration de la sécurité très en amont dans les projets : la clé selon nous d’une innovation maîtrisée au sein de la DSI. Pour cela, il est crucial que le responsable sécurité aille au-devant des métiers pour en comprendre les enjeux, tout en s’insérant naturellement dans la politique de sécurité et les processus historiquement définis.

Cet article Quelle marge de manœuvre pour le RSSI afin d’accompagner l’évolution des modèles bancaires ? (Épisode 2) est apparu en premier sur RiskInsight.

L’innovation, facteur d’ouverture du SI cœur de métier

De nouvelles initiatives émergent, à l’instar du  « Compte Nickel ». Ce projet consiste à permettre l’ouverture d’un compte bancaire sans aucune condition de revenu, chez un buraliste. Les formalités sont on ne peut plus simple : une photocopie d’une pièce d’identité et un numéro de téléphone portable. Ce projet, qui a obtenu l’agrément de l’Autorité de contrôle prudentiel, le régulateur du secteur bancaire, démontre un mouvement de plus en plus fort vers une désintermédiation de la banque de détail.

Pour répondre à l’apparition de ce type de service, les banques diversifient leur offre, et de fait ouvrent leur système d’information de façon significative. Des offres, telles que celle proposée par Crédit Agricole Private Banking Services pour les banques privées en Suisse, entraînent ainsi une externalisation complète des processus métier du back-office et une sous-traitance informatique. Les banques étant de plus en plus sous pression d’un point de vue coûts et évolutions réglementaires, ce « Business Process Outsourcing » leur permet de rester compétitives et de se recentrer sur l’essentiel : la relation client. Pour autant, ces ouvertures posent la question de nouveaux acteurs qui interagissent au cœur du SI bancaire et doivent être intégrées aux analyses de risques. Par exemple, la solution allemande SOFORT Banking qui effectue les paiements / règlements en se connectant à la place des clients sur leur compte bancaire.

Nous observons par ailleurs une multiplication des moyens et situations de paiement, mais aussi des acteurs. Par exemple, la start-up Klarna propose à ses clients d’effectuer leurs achats et de ne payer qu’à réception. Au-delà, les canaux d’échanges financiers se diversifient. Aux États-Unis, American Express utilise Twitter comme canal d’achats en ligne via l’utilisation des hashtags, ou encore Square qui permet d’échanger de l’argent par courrier électronique. Les questions relatives à la fraude doivent être particulièrement traitées par rapport à ces nouveaux canaux.

Mais comment se positionnent aujourd’hui les banques françaises face à cette multiplication d’usages bancaires ?

Une stratégie défensive « d’occupation du terrain » efficace pour l’instant, avec peu d’impact opérationnel

Le constat est simple : le principal  risque identifié est celui de ne pas faire, risque pouvant entraîner une désintermédiation voire un préjudice en termes d’image.

Les banques traditionnelles cherchent donc à incarner la relation client, en s’appuyant sur des services de gestion de finances.  Ainsi, des applications apparaissent se concentrant notamment sur des nouveaux modèles de gestion, portant l’innovation non pas sur la dépense mais sur l’économie.

Par ailleurs, de nouveaux moyens sont déployés pour améliorer la qualité de la relation client en développant les compétences des conseillers.  Allianz a par exemple lancé un simulateur d’entretien client virtuel « Sales Game » pour développer les compétences relationnelles et commerciales de leurs conseillers. Plus de 16 millions de scénarios différents sont proposés, par un outil qui a réclamé plus d’un an de développement.

Ces innovations poussent le SI vers plus d’ouvertures (canaux, partenaires…) et nécessitent de faire évoluer les modèles que l’on connait. En parallèle, le secteur bancaire est de plus en plus ciblé par des menaces directes sur son SI (nouveaux types d’attaques, plus ciblées, plus destructives) et les réglementations accentuent la pression. Quelle est dans ce contexte la marge de manœuvre du Responsable de la Sécurité du Système d’Information pour accompagner ces évolutions métiers ?

(À suivre)

Cet article Modèles bancaires : quid de l’évolution des usages et de la relation client ? est apparu en premier sur RiskInsight.

Le recensement de ces risques nous conduit à nous pencher sur les exigences réglementaires de Bâle II & III.

Les 3 types de risques du système financier : risques de marché, risques de crédit, risques opérationnels

Il existe trois types de risques liés aux marchés financiers. La mesure et la gestion de ces risques sont devenues un des objectifs majeurs des grandes institutions bancaires. Les réglementations prudentielles, les techniques de contrôle et les prérogatives des autorités de surveillance visent à s’appliquer à l’ensemble des banques en vue de garantir un contrôle bancaire efficace.

Le premier type de risque est le risque de marché, il est fonction de la variation de facteurs tels que : taux d’intérêt, cours de change, prix des matières premières, cours des actions…le tout dans un contexte mondial. Ces différents facteurs peuvent donner lieu à des pertes financières substantielles et par effet-dominos à un effondrement du marché financier mondial.

Le second est le risque de crédit, il est quant à lui lié à la défaillance du paiement des créances, il est fonction du montant de celle-ci, de la probabilité de défaut et de la proportion de la créance non recouvrée en cas de défaut.

Enfin, les risques opérationnels relèvent des pertes potentielles liées aux défaillances des procédures, des systèmes informatiques, à la fraude interne ou à des évènements extérieurs (fraudes externes, sinistres, réglementations ou actes de terrorisme).

Au-delà des principes fixés par le comité de Bâle en vue de la gestion de ces trois types de risques, un des trois piliers de Bâle II vise le renforcement de la discipline des marchés. L’exigence et la surveillance des fonds propres constituent les deux autres piliers adoptés par le Comité de Bâle. Pour respecter ces piliers, les établissements financiers doivent fournir aux parties prenantes et selon leur degré d’implications, des informations financières en toute transparence portant sur la structure des fonds propres, leur adéquation et les expositions aux risques.

Si Bâle II a été un projet de mise en conformité rapprochant la vision réglementaire de la vision économique, son impact n’a concerné que les métiers liés au crédit et aux activités de marchés. En revanche, Bâle III a un périmètre beaucoup plus large et des impacts plus significatifs susceptibles de changer certaines activités en profondeur, et d’inciter à des changements de stratégie. Un renforcement des systèmes de gestion des risques et des équipes d’audit viendra accompagner ces changements de stratégie.

Un moyen d’action pour contrer la crise financière : Bâle III

Avec les nouvelles exigences de Bâle III sur les ratios de liquidité LCR (Liquidity Coverage Ratio) et NSFR (Net Stable Funding Ratio), le liquidity risk management est devenu un sujet de préoccupation majeur des banques. Celles-ci doivent également s’impliquer plus fortement dans l’implémentation des règles bâloises en assurant un contrôle permanent des processus, de la gestion de l’information et de l’optimisation des profits sous des contraintes de financement en quête de stabilité.

La gestion des risques de marchés est finalement fonction de l’information financière. Quant aux banques, de nouveaux défis seront lancés en vue d’identifier et d’appliquer la bonne gestion des besoins bancaires et de leurs systèmes d’informations.  La mise en place de nouveaux modèles quantitatifs de gestion de risques ou le renforcement d’audits internes vont accroître la sensibilisation des établissements bancaires à ces risques financiers.

Cet article L’intérêt des réglementations bâloises face aux risques financiers est apparu en premier sur RiskInsight.

Parmi ces services, nous retrouvons notamment le Mpaiement. Faire ses achats sur internet à n’importe quel moment et de n’importe où (transport, salle d’attente…) a enthousiasmé les utilisateurs. Cependant, les débuts ont été laborieux : saisir les 16 caractères de sa carte bancaire sur un clavier tactile de taille réduite génère forcément des erreurs et peut décourager plus d’un client. L’achat sur smartphone ne peut être qu’efficace que s’il est simple et rapide !

Protéger sa carte bancaire à travers les portefeuilles virtuels

Les portefeuilles virtuels proposés par les commerçants ont apporté une solution : les données de carte bancaire sont enregistrées chez le commerçant et par le biais d’un login et d’un mot de passe, l’utilisateur s’identifie pour réaliser son paiement en « un clic », tout simplement. La sécurité des données est assurée par les mesures mises en œuvre dans le cas d’une certification PCI DSS du commerçant ou d’une externalisation du service auprès d’un fournisseur de service de paiement (Payment Service Provider), lui-même certifié PCI DSS. (cf. un article précédent).

S’identifier pour réaliser un paiement n’est cependant pas une solution totalement innovante. Paypal, le leader mondial du portefeuille virtuel pour les sites web a naturellement décliné son offre pour les smartphones.  Ce service remporte un net succès et attise les convoitises, comme l’on peut le voir en ce moment avec  l’arrivée de nouvelles solutions sur le marché français telles que Kwixo, Buyster ou Lemonway qui utilisent notamment le numéro de téléphone du client comme identifiant.

Au-delà des mesures techniques de sécurité pour l’hébergement des données, ces solutions proposent, pour certaines d’entre elles, une sécurisation intéressante des mots de passe du client (longueur minimale, caractères spéciaux, questions secrètes pour le renouvellement) mais malheureusement elles font également le sujet d’attaque par Phishing et l’utilisateur non averti peut alors se retrouver malgré lui piégé en livrant lui-même ses identifiants au fraudeur….

La course aux moyens de paiement de demain est lancée !

De nouveaux moyens de paiement vont changer nos habitudes de demain comme les smartphones ont pu le faire ces dernières années.

Solution déjà lancée outre-atlantique dans les Starbucks New-Yorkais, le code barre 2D (ou QR code) est une nouveauté pour le paiement mobile. Initialement envisagé pour obtenir de l’information en le flashant, le QR code, a été détourné aujourd’hui pour proposer une « facture électronique » que le client va flasher avec son smartphone, et régler via une application de portefeuille virtuel, protégé par un code PIN.

Autre challenger qui se fait dorénavant attendre… le NFC. Le Near Field Communication est un protocole sécurisé d’échange de données entre une borne et une puce, intégré par exemple dans un smartphone ou une carte bancaire. Le NFC permet de centraliser divers services en un seul support, tels que le titre de transport ou la carte fidélité. Il peut également offrir la possibilité de payer « sans contact », une solution simple et transparente pour les utilisateurs. En expérimentation depuis 2010 dans la ville de Nice, ce test grandeur nature n’a pas rencontré le succès escompté. Pour 200 000 cartes avec module NFC livrées, seules 2 800 transactions sans contact ont été effectuées la première année au sein des 1 500 commerces de proximité de la ville (source ZDNet.fr).

Cependant, Google est l’un des acteurs qui y croit fort, notamment avec sa solution Wallet, basée sur la technologie NCF. Uniquement disponible aujourd’hui aux États-Unis, Google compte bien utiliser sa force pour prendre une place importante sur ce marché avant que son concurrent Apple ne propose également sa solution.

L’un des principaux freins au développement de ce nouveau moyen de paiement reste, notamment, le nombre très limité de terminaux mobiles intégrant directement une puce NFC. Mais avec le récent dépôt de brevet d’Apple sur le NFC, on peut s’imaginer que le message a été compris par les grands fabricants de smartphones…

Cet article Un téléphone ça sert à payer ! est apparu en premier sur RiskInsight.

Les cartes de paiement ont envahi notre quotidien, que ce soit pour les achats en magasin comme pour la vente à distance en particulier via internet Pour autant, cette généralisation de l’utilisation de la carte de paiement a entrainé une augmentation du montant total de la fraude de 9,8% par an en moyenne, pour atteindre 342,3M€ en 2009*. Les grands émetteurs de cartes comme Visa et Mastercard  se devaient de réagir et de proposer de nouvelles mesures de sécurité.

PCI DSS, un standard de sécurité exigeant…

Pour contrer cette augmentation des fraudes, les acteurs majeurs des cartes de paiement ont défini le standard de sécurisation PCI DSS, dont les objectifs sont les suivants :

• Réduire les risques de fuite de données bancaires en renforçant et uniformisant à l’échelle mondiale leur sécurisation
• En cas de fraude, déplacer les responsabilités des sociétés de cartes de paiement vers les garants de la certification PCI DSS (banques et sociétés d’audit)

Le standard adresse 12 thèmes classiques de la sécurité. Mais il est particulièrement exigeant ! Toutes les règles doivent être appliquées et elles sont précises. Durcissement des serveurs, revue quotidienne des logs, détection des points d’accès wifi pirates, sont autant de chantiers complexes à adresser dans le cadre d’une mise en conformité. D’autant plus que leur application est contrôlée à travers des audits annuels pour les sociétés réalisant plusieurs millions de transactions par an.

Quelle stratégie de mise en conformité ?

Au vu de cette complexité, notre recommandation est d’initier tout projet de mise en conformité PCI DSS par la réduction du périmètre d’application du standard. Pour cela, plusieurs méthodes se détachent :

• Aligner le périmètre applicatif avec les besoins métiers réels. Cet exercice  consiste à supprimer les données de cartes bancaires partout où leur présence n’est pas justifiée par un besoin métier réel.
• Désensibiliser les données de cartes bancaires. Il est possible de remplacer les données bancaires par une donnée non exploitable en cas de fraude –  troncature, hash, ou identifiant unique (token) – différente de la donnée bancaire. Des éditeurs se positionnent sur la fourniture de solutions de désensibilisation.

Cette étape effectuée, le périmètre d’application du standard PCI DSS se résume alors aux applications restantes et aux services d’infrastructures sous-jacents (réseau, postes de travail concernés, sauvegardes, base d’identifiants uniques…). C’est a priori sur ce périmètre que s’appliqueront donc les exigences de PCI DSS.

Sauf si…  la réduction de périmètre se poursuit à travers l’externalisation de ces ressources applicatives. Et cette externalisation pourrait même servir à améliorer les services offerts…

L’externalisation : une solution à PCI DSS ?

Historiquement implantés dans beaucoup d’entreprises pour assurer un rôle d’intermédiaire avec les banques, les PSP (Payement Service Providers) peuvent jouer un rôle majeur dans une stratégie de mise en conformité, dans la mesure où toutes leurs offres sont proposées en standard sur des environnements entièrement certifiés PCI DSS.

En particulier, les PSP sont aujourd’hui en mesure de proposer l’externalisation de tous les composants de la chaîne de liaison paiement par internet ou par téléphone : collecte des données, demandes d’autorisation et de paiement, contrôles anti-fraude avancés…

Et l’externalisation peut aller encore plus loin ! Les PSP proposent dorénavant des tables de correspondance « tokenizer » facilitant la désensibilisation des données carte de paiement. Lors de la collecte de données, un identifiant unique, personnalisable, est renvoyé à l’entreprise et peut donc circuler dans le SI sans aucune contrainte vis-à-vis de la norme PCI DSS.

L’externalisation permet ainsi de réduire de manière conséquente le périmètre applicatif, mais attention… ce n’est pas la solution ultime pour être conforme à PCI DSS.  Certaines populations conservent souvent le besoin d’accéder au numéro de carte depuis leur poste de travail, pour des raisons réglementaires, entre autres. Nous pouvons par exemple citer les services de lutte anti-fraude ou les téléconseillers, dont les terminaux devront sans doute rester dans le périmètre PCI DSS. Il est donc difficile de penser qu’aucun composant du SI ne manipulera de données cartes surtout dans une grande entreprise.

Mais bien plus qu’un simple levier de mise en conformité PCI DSS, un projet d’externalisation peut devenir stratégique pour l’entreprise en lui permettant de développer de nouveaux moyens de paiements (ex : cartes cadeaux), de nouveaux marchés internationaux (facilités de connexions aux acquéreurs étrangers) ou de nouvelles fonctionnalités (ex : paiement one-click sans renseignement des données CB). Le recours à ces acteurs peut aider à la conformité mais aussi faciliter de nouveaux usages.

*Ces statistiques sont issues du rapport d’activité annuel 2009 de l’Observatoire de la sécurité des cartes de paiement publié en Juillet 2010

Cet article PCI DSS : l’externalisation est-elle une solution ? est apparu en premier sur RiskInsight.