What is a bug bounty and what is it used for?

Mere buzzwords a few years ago, bug bounty programmes and vulnerability disclosure initiatives have since permeated the cyber-related vocabularies of a wide range of organisations, whether it be digital giants, top investment banks, or government bodies. The basic principle is the following: companies provide a financial incentive or reward for well-intentioned hackers to find and report vulnerabilities discovered in their assets. The catch is that the company behind the initiative sets a fixed window of opportunity for hackers to discover and fix these vulnerabilities. Wavestone has studied the adoption of these initiatives within the banking sector and the good practices to be drawn from such initiatives.

3 levels of maturity: Reporting Channel, Vulnerability Disclosure Policy and Bug Bounty Programmes

When it comes to vulnerability disclosure, the initiatives are various and the terminology is broad, whether it is Coordinated Vulnerability Disclosure, Responsible Vulnerability Disclosure or Vulnerability Disclosure Policy. All of these initiatives aim at providing researchers with a safe way to report vulnerabilities, yet the level of detail regarding the reporting process, rules for searching for vulnerabilities and the expectations of the organisation in question varies greatly from one programme to another. In the light of these observations, we identified 3 levels of maturity as follows: Reporting Channel, Vulnerability Disclosure Policy (VDP) and Bug Bounty Programmes (BBP).

The first level of maturity, Reporting Channel, generally consists of a simple web page providing very basic instructions and a dedicated channel to report vulnerabilities. This first step toward vulnerability disclosure acts as a safety net in case someone discovers a vulnerability, but it doesn’t actively attract hackers, particularly due to the lack of monetary incentive. Reporting Channel is the second most common type of initiative, accounting for 28% of the identified initiatives.

The second level of maturity, Vulnerability Disclosure Policies, also takes the format of a dedicated web page but this time with much more detail. It contains advanced information on reporting processes, the assets in scope, and the preferences, rules and exceptions for vulnerability researching. Furthermore, in most cases (90%), information regarding the expectations that hackers may have after submitting a report in terms of both service-level agreements (SLAs) and public recognition for their work are outlined. In many of these initiatives (77%), companies commit to providing hackers with safe harbour and not pursuing legal action against hackers if they follow the rules and act in good faith. This kind of initiative can be managed internally or by a third-party platform (HackerOne, BugCrowd, Synack…) that will communicate with hackers and oversee bug triage.

Finally, Bug Bounty Programmes represent the highest level of maturity, as it features the same level of information as Vulnerability Disclosure Policy but this time, hackers are financially rewarded for reporting vulnerabilities. This aims to attract talented hackers and make bug bounties a fully-fledged tool in banks’ cyber-ecosystems. Third-party platforms can either manage these programmes or set up private programmes to which only vetted hackers will have access (following a background and skills check). In many cases, private programmes are used as a steppingstone to bug bounty, allowing companies to gain experience with the concept before moving on to a public programme. They also make it possible to implement advanced security features (full research monitoring through VPNs, Non-Disclosure Agreements, advanced vetting, on-location research…) which make it easier to comply with the security and confidentiality standards that are common in the banking sector.

The banking industry is not outdistanced by other industries

These initiatives were implemented by 18% of the studied banks, which is 2.5 times higher than the average reported in the Forbes Global 2000. Therefore, it can be said that the banking sector has well-integrated vulnerability disclosure processes as part of its cyber ecosystem, with the banking and insurance sector ranking in 3rd position in terms of number of programmes for Internet and online services and computer software. However, it is not the most attractive from a financial point of view, ranking in 12th place in terms of the average remuneration for a critical vulnerability, with blockchains and crypto currencies offering an average remuneration that is almost 3 times higher (source: HackerOne’s Hacker Powered Security Report 2019).

Western banks are more confident about engaging in vulnerability disclosure processes

Although the adoption of vulnerability disclosure processes in the banking sector seems to be global, this research found that initiatives are mainly adopted by European and American banks with some specificities. These observations can be explained by several factors.

In the US, vulnerability disclosure has long been part of the culture of tech industry giants such as Google and Facebook which, among other companies, launched their own programmes before 2012. The US are also home to players that now rank among the world’s leading bug bounty platforms, including BugCrowd (2011), HackerOne (2012) and Synack (2013). It is therefore not a surprise to see that these platforms are managing most of the American banks’ vulnerability disclosure programmes.

In Europe, the situation is different and there are fewer key players. After several major cyber incidents, the Netherlands was the first country in Europe to launch a national initiative by publishing the Guidelines for Coordinated Vulnerability Disclosure (2013) – a collaborative effort between the Dutch Government’s National Cyber Security Centrum (NCSC) and various private sector companies. Today, nearly 70% of the major Dutch banks have a self-managed bug bounty programme and the country has played a key role in the construction of EU guidelines on the subject matter. It is also regularly referred to as an example to be followed by several European authorities. Other initiatives and platforms have also emerged elsewhere in Europe, such as YesWeHack, Intigriti, HackenProof, Yogosha, etc. However, it is difficult to precisely assess the emergence of bug bounty programmes across Europe, as more than half of them are private and lack publicly available information for the purpose of confidentiality.

In Asia, banks are less proactive on vulnerability disclosure on account of reservations about private programmes and other cultural factors. However, the last few years have seen growing initiatives from both Asian technology giants and government institutions, notably in Singapore and Japan. This is not surprising, as many government institutions have launched this type of initiative in the past (for example, Hack The Pentagon in the USA or the recent StopCovid application’s bug bounty that is managed by YesWeHack in France).

Getting into vulnerability disclosure will require truly effective preparation

With many success stories and a growing number of companies from all sectors launching vulnerability disclosure programmes, it is tempting to follow the trend. However, to ensure the success of this type of initiative, it is crucial to address a few points. First, a vulnerability or bug bounty disclosure programme should be part of a global cyber security approach and be complementary to more traditional measures such as regular code reviews, security by design and security/pentest audits. Reporting bugs and flaws is only the first step of the process. The company must then have the in-house skills to analyse the provided reports and remediate the vulnerabilities as soon as possible. Second, to avoid wasting both the hackers’ and the company’s time, the scope of the programme must be carefully designed in order to maximize its effectiveness and prevent intrusion on unwanted assets. The same rules apply when it comes to the rules for searching and reporting. Finally, it is crucial to address hackers’ motivations to ensure the success of a bug bounty programme. Expectations for submitting a report must be clearly specified and address the process, response time and reward. Constant communication with the hacker community as well as an evolution of the programme or the rewards are some key elements that can ensure the sustainability of the programme and the motivation of hackers, thus contributing to the programme’s success.

The image of hackers is still often associated with criminal actions…

When it comes to bug bounty, one of the main concerns is security, with organisations questioning whether exposing their platforms to hackers might lead to exploitation of any discovered vulnerabilities through the sale of user data or the vulnerabilities themselves directly on the black market.

These fears are partly justified, as user data can now easily be sold on the black market: credit cards, passports, medical records or authentication information can be sold for less than EUR 15 and targeted phishing using this information can generate even more profit. A critical flaw can also be exploited and result in a much larger cyber-attack, as demonstrated by the havoc wreaked by cryptolockers in recent years. However, these incidents are rarely linked to bug bounty programmes, as malicious hackers do not wait for organisations to launch bug bounty programmes in order to attack them. Rather, these attacks can occur at any time.

Secondly, different skills and levels of preparation are required to find vulnerabilities and exploit them.

Finally, money is the primary motivation for hackers participating in these programmes in less than 15% of cases, according to HackerOne. For the majority of hackers, hacking is a passion and they are mostly looking for challenges and opportunities to improve their skills and make the web more secure – in this case, financial rewards are just a small bonus and getting on the wrong side of the law is not worth it.

Vulnerability Disclosure Policy: a first step to improve cyber security

Vulnerability disclosure and bug bounty initiatives are now a mainstream topic in the cyber security field, and the banking sector is no exception. Although bug bounty programmes are not miracle solutions and some effort is required in order to ensure that they are really effective, implementing a Vulnerability Disclosure Policy appears to add a great additional layer of security for a low investment. We can therefore only recommend implementing such a policy as soon as an organisation’s cyber maturity allows for it.

Cet article Bug Bounty: insight and benchmark on the banking industry 2021 est apparu en premier sur RiskInsight.

For more information, watch the video presentation of the contest.

For the fourth edition of the contest, data and AI come along with Cybersecurity!

While previous editions of the competition rewarded only startups specializing in the field of cyber security, the 2020 edition has broadened its scope to include new topics, such as artificial intelligence and data, which remain key components of the cyber ecosystem.

All the participating startups, of French or European origin, were able to share all the richness of their diverse technological expertise. Below are the top 5 topics covered by the participants this year:

• Fight against fraud
• Digital identity protection
• Development of artificial intelligence for business
• Data integrity protection
• Detection of incidents and vulnerabilities

A high-profile jury, with analyses and strong messages!

This ceremony was obviously intended to reward the big winners of the 2020 edition, but not only. It was also an opportunity for all the jury members to share their analyses of the current startup ecosystem.

This year, the jury was composed of Claire Calmejane (Group Innovation Director – Société Générale), Christophe Leblanc (Group Digital Resources and Transformation Director – Société Générale), Pascal Imbert (Chairman and CEO – Wavestone), Reza Maghsoudnia (Strategic Development Director – Wavestone), Guillaume Poupard (Managing Director – ANSSI), Jamal Attif (Professor at Dauphine-PSL, head of the MILES team) and a college of experts (Thierry Olivier, Christina Poirson, Julien Molez, Gérôme Billois, Ghislain de Pierrefeu and Severine Hassler).

Lessons and perspectives of the crisis

Although this health crisis is not yet over, it seems in any case a little bit better controlled than in March, when this disease was still unknown to all of us. On that topic, Pascal Imbert and Christophe Leblanc brought their analysis of this crisis and its impacts.

According to them, this crisis has revealed the fragility of both the companies and of our current economic models, but it has also accelerated the trend, with digital technology recently taking an even more important place. This makes the transformations deeper and faster. However, it is not without consequences for companies, which are seeing an acceleration of their transformations, with the need to integrate new factors, such as a better balance between efficiency and resilience, together with a major focus on technology, which represents an economic, technological and sovereignty challenge. According to Pascal Imbert, the startup environment, which is being honored with this competition, is one of the key elements that should enable us to regain control over technology and how it is used.

This crisis is both a factor of digital and strategic transformation, of which data and cybersecurity are an integral part, a factor of agility, with the acceleration of teleworking and the necessary adaptation of IT security rules, and a factor of “stress-testing”, for our economic and technological models.

Artificial intelligence and data at the service of the crisis

Jamal Attif reminded us all from the start: “the value is in the data”. However, according to him, AI as we know it today is unable to solve this crisis. It can help fight it, for example by using bibliographic data mining algorithms to understand the effects of certain drugs. It can also speed up and improve medical diagnostics, through image recognition, but it cannot predict what has never been seen before, such as this epidemic, which has grown very rapidly.

The startup ecosystem today has a real impact on our business models, but he deeply thinks that it is important to combine all the forces, whether from the world of research, large companies or startups, in order to achieve breakthrough innovation that will enable us to respond to such issues.

Cybersecurity: evolution of the threat and innovations

Guillaume Poupard notes two major points concerning digital and cybersecurity today.

First of all, he raises the positive side of the digital transformation, which helped overcome the lack of activity during this period. However, according to him, we must remain cautious, especially in the face of the particularly worrying growth of cybercrime, which now targets large companies, with very serious cases multiplying (50 ransomwares in 2019, against already 130 in 2020, and it’s not over yet). The issue of combating cybercrime is therefore a topic of major importance. It is then useful to perform new risk analyses and information system audits to detect possible cybersecurity flaws that were created in these few months. Like Jamal Attif, he reiterates the importance of public and private stakeholders of all sizes, with different motivations, working together to strengthen our cybersecurity defenses. According to him, it is necessary to put forward those who innovate, and this is one of the objectives of the cyber campus, which should soon be created, in the Paris region.

The other point is to continue to raise these issues at the European Union level, and even beyond, by setting up networks so that all stakeholders can work together. This is notably the objective of the recent launch, by the member states of the European Union, of the Cyber Crisis Liaison Organisation Network (CyCLONe).

Focus on the innovation and startups ecosystem

Reza Maghsoudnia shares the very essence of the startup ecosystem, which is to think outside the box, to challenge established players, and to innovate in order to give more value to the various transformations we are experiencing. The crisis is further increasing the need for innovation, and it is of deep importance for Wavestone to continue to identify these sources of innovation, to support and accompany them.

That is for this reason that, in 2015, Wavestone created a startup accelerator program (Shake’Up), enabling it to be in constant interaction with several hundred innovative players on the market and to identify great startups to accompany them. As of now, more than 40 startups have been supported, including real success stories such as Alsid and Citalid, in the field of cybersecurity. Regarding the French Cybersecurity startup ecosystem, we invite you to read the analysis of our experts, following the 2020 startup radar conducted by Wavestone.

61 startups competed, 8 startups retained and 4 startups rewarded

Isahit, Special Prize – Data for good & Ethics

Founded in 2016, the French “Tech for Good” Isahit offers companies a digital impact sourcing platform for processing digital tasks that cannot be handled by artificial intelligence.

Watch the video presentation of the startup Isahit.

CryptoNext, Special Prize – Cybersecurity Made in France

Founded in 2019, CryptoNext has developed an encryption technology to make data resistant to the power of quantum computing. Its software is intended to be implemented in the offerings of major players in the IT security sector.

Watch the video presentation of the startup CryptoNext.

Inqom, Data & AI Grand Prix

Founded in 2015, Inqom has built a SaaS software for automating accounting production, allowing real time generation of the balance sheet. Using artificial intelligence, the solution processes and enriches accounting data to create centralized, standardized and intelligent accounting.

Watch the video presentation of the startup Inqom.

Hackuity, Cybersecurity Grand Prix

Founded in 2018, Hackuity provides a platform that rethinks the way IT vulnerabilities are managed across the enterprise by collecting, standardizing and orchestrating all security assessment practices, whether automated or manual.

Watch the video presentation of the startup Hackuity.

Cet article Banking Innovation Awards: together they are building the bank of tomorrow! est apparu en premier sur RiskInsight.

Les limites de la DSP2

La limitation du périmètre aux seuls comptes de paiement

La DSP2, en tant que directive sur les services de paiement régit les opérations en ligne des acteurs de ces services uniquement sur les périmètres concernés qui sont les comptes intervenant dans les opérations de paiements.

Dans les faits cependant, les acteurs, et en particulier les agrégateurs, réalisent aujourd’hui des opérations sur l’ensemble des comptes des utilisateurs, notamment leurs comptes d’épargne. Un des enjeux de ces agrégateurs étant de fournir des services à valeur ajoutée touchant à l’ensemble de l’activité de l’utilisateur sur ses comptes : comptes courants, comptes d’épargnes, chèque, cartes, crédits, plan en actions, …

En réglementant uniquement sur l’accès aux comptes de paiement, la commission européenne et l’ABE mettent en lumière le fonctionnement des agrégateurs (rejeu des secrets de connexion utilisateurs) sans fournir une solution à l’ensemble des problématiques des échanges entre ces acteurs non bancaires (agrégateurs) et les banques.

Dans l’intérêt du développement des agrégateurs, des solutions devront donc être actées pour élargir cette législation. Par ailleurs, les travaux engagés par les banques dans le cadre de la DSP2 les ayant amenées à construire l’architecture nécessaire à l’exposition de services sur internet, une évolution de ces services à plus des comptes et à plus de services utilisateurs est probablement à venir.

Incompatibilité avec les standards existants

Contrairement à l’initiative OpenBanking UK, basé sur le standard reconnu du groupe de travail Financial API, au sein de la fondation OpenID, les nouveaux services offerts par les banques dans le cadre de la DSP2 se fondent sur des exigences réglementaires plutôt que sur des standards de sécurité établis.

Consentement utilisateur

Le consentement utilisateur est un bon exemple de cet éloignement entre le standard, ici OpenID Connect, et la réglementation.

La directive implique que le consentement de l’utilisateur à l’utilisation d’un ou plusieurs comptes pour un agrégateur :

• Doit être recueilli par le TPP (donc l’application qui va consommer les API) ;
• Doit être appliqué et vérifié par l’ASPSP (hébergeant les API).

Ceci est réalisé à rebours du standard OpenID Connect (implémenté dans le cadre de OpenBanking UK), dans lequel le consentement doit être recueilli par le service hébergeant les données et les API.

Cinématique authorization code

Mise en œuvre pour l’usage des AISP, la cinématique authorization code requiert une redirection de l’utilisateur de l’AISP vers le service d’authentification et de consentement de l’ASPSP, puis en retour une nouvelle redirection vers l’application de l’AISP.

Cette redirection peut être considérée comme un obstacle à l’utilisation des services comme le mentionne en exemple l’article 32 des RTS. En conséquence elle peut s’avérer illégale et des travaux sont en cours pour trouver des alternatives conformes ou non aux standards OAuth2.

L’acceptation de l’usage de cette cinématique pour les besoins de la DSP2 relève alors de chaque autorité nationale, ce qui a pour effet de limiter l’uniformisation européenne de ces interfaces. Actuellement, en France, l’ACPR a validé l’usage de cette redirection.

Figure 3: Les acteurs de la DSP2 en scène

Conclusion

Dans un environnement numérique en constante mutation, la DSP2 prend le parti de favoriser le développement des acteurs intermédiaires de services de paiement, pour mieux standardiser les échanges et apporter une meilleure ergonomie de navigation des utilisateurs et une meilleure sécurité des transactions.

Elle comporte des apports importants sur des sujets de sécurité, qui imposent des évolutions des SI bancaires : l’ouverture des services sur internet et le changement des moyens d’authentification sont en particulier un sujet compliqué pour les banques historiques.

Cet article Sécurité des opérations financières en ligne en 2020 : Quelles limitations à l’efficacité de la DSP2 ? (2/2) est apparu en premier sur RiskInsight.

Cet engouement invite les acteurs historiques et de nouvelles fintechs à se positionner sur le marché des services bancaires en ligne. De nombreuses solutions se déploient aujourd’hui à grande échelle, nécessitant une réglementation adaptée.

La DSP2 et les acteurs financiers

La DSP2, Directive sur les services de paiements 2, s’inscrit dans l’évolution des transactions électroniques. Elle est une nouvelle étape dans la normalisation des échanges financiers après la DSP1 et en parallèle des travaux OpenBanking au Royaume-Uni.

Avec l’évolution du nombre d’acteurs sur le marché, les solutions mises en œuvre pour l’authentification des utilisateurs et la sécurisation des opérations financières se multiplient. Ces solutions peuvent s’appuyer sur des moyens d’échange reconnus comme sécurisés (EBICS, SWIFT…) mais elles ne sont pas les plus aptes à répondre à un besoin de plus en plus important d’accès aux données en temps réel.

Le but de cette directive est d’apporter un cadre réglementaire aux banques et aux acteurs non-bancaires tout en favorisant la concurrence.

Pour cela, la directive circonscrit les prestations réalisées par les acteurs des services de paiements en trois services :

• Le Service d’Information sur les Comptes (« Account Information Service » ou AIS) consiste en l’affichage et l’agrégation des données de solde et des transactions des comptes de paiement.
• L’Initiation de Paiement (« Payment Initiation Service » ou PIS) consiste en la transmission d’un ordre de paiement pour le compte d’un payeur, à son établissement teneur de compte.
• L’Emission d’Instruments de Paiement (« Payment Issuer Instrument Service » ou PIIS) met à la disposition des utilisateurs des moyens de paiement.

Elle impose aux fournisseurs (« Provider ») de ces services un ensemble de règles et d’obligations à remplir. À la condition que ces règles soient appliquées, les AISP, PISP et PIISP auront la possibilité d’accéder gratuitement aux données sur les comptes de paiement de l’utilisateur dans leur établissement teneur de comptes (« Account Servicing Payment Service Provider » ou ASPSP).

Figure 1: Les services du périmètre de la DSP2

L’apport sécuritaire de la DSP2

Pour offrir la possibilité d’accéder aux données des établissements teneur de compte (les banques), la directive impose à ces dernières d’exposer de nouvelles interfaces répondant à un ensemble de mesures de sécurité et permettant la réalisation de ces services.

Figure 2: Exigences sécuritaires de la DSP2

Sous l’impulsion de plusieurs groupes de travail (en particulier le STET et le Berlin Group), la solution retenue est la construction d’API exposant les services des ASPSP, à l’aide des standards Open API adoptés par les géants du Web. En particulier, d’un point de vue sécurité, les standards retenus sont OAuth2 et OpenID Connect.

Identification et authentification des acteurs

En réponse au fonctionnement actuel des agrégateurs, une des mesures d’importance de la directive est l’obligation pour les acteurs bancaires de s’identifier et de s’authentifier entre eux pour réaliser toute opération liée aux comptes de paiement.

En effet, en l’absence d’interface adéquate, les agrégateurs fonctionnent actuellement par « web scraping » qui consiste à simuler la navigation d’un utilisateur sur sa banque en ligne, en rejouant ses secrets de connexion. Cette méthode comporte trois défauts principaux :

• L’agrégateur client n’est pas formellement identifié, empêchant l’établissement teneur de comptes de déterminer s’il s’agit d’un acteur légitime ou non ;
• Les secrets de connexion de l’utilisateur sont transmis et connus par un acteur tiers et ne sont pas gardés confidentiels par l’utilisateur ;
• La traçabilité des opérations n’est pas assurée car il est impossible d’établir la preuve d’origine d’une requête. Plus particulièrement, la granularité d’accès aux services utilisés et informations consultées par un acteur tiers n’est pas possible.

La directive (articles 66 et 67) oblige donc tous les acteurs, notamment AISP et PISP à s’identifier et s’authentifier pour consommer les services. Un consensus s’est établi autour de la réalisation d’une authentification mutuelle par certificat lors de l’établissement de toutes les communications entre un fournisseur de service (TPP) et un établissement teneur de compte (ASPSP).

Renforcement de l’authentification de l’utilisateur

Elément récurrent dans la directive et au cœur de l’un des Regulatory Technical Standards (RTS) définis par l’ABE (Autorité Bancaire Européenne), l’authentification renforcée des utilisateurs est une des mesures structurantes de cette directive.

Aujourd’hui, les solutions s’appuient principalement sur l’utilisation d’un mot de passe (rejouable et sujet au phishing) et sur l’OTP SMS (présentant des risques d’interception) pour l’authentification renforcée. Ces deux méthodes sont très répandues mais présentent des failles de sécurité et sont parfois coûteuses. Les nouveaux services de paiement mobile permettent aussi une identification par l’adresse e-mail ou par le numéro de mobile, non connu de la banque.

Les RTS visent à sécuriser cette authentification de l’utilisateur par la définition d’une authentification renforcée (« Strong Customer Authentication » ou SCA) comme une authentification à deux facteurs indépendants, c’est-à-dire que la compromission de l’un n’entraîne pas la compromission du second. La directive impose que l’établissement teneur de compte fournisse les moyens de réaliser cette authentification renforcée, et que chacun des deux facteurs soit sécurisé sur toute la chaîne de transmission.

Les solutions envisagées pour répondre à ce besoin sont de plusieurs natures :

• Le mot de passe reste un facteur principal aujourd’hui, à condition d’être accompagné d’un second facteur pour l’authentification renforcée.
• Les solutions matérielles, plus sures, présentent l’inconvénient d’un coût supplémentaire : token d’authentification physique, clé ou dispositif FIDO U2F…
• Les solutions logicielles sur smartphone sont en développement constant : notification in-app, token d’authentification logicielle, biométrie à l’aide des capteurs de l’appareil, MobileConnect…

Le lien dynamique, « dynamic linking »

Dans le cas particulier des transactions de paiement, la directive impose qu’un code unique soit généré pour permettre aux acteurs de la transaction d’être, à tout moment du processus d’authentification et d’autorisation, en mesure de retrouver les caractéristiques de la transaction. En particulier, l’utilisateur doit être conscient, durant la totalité du processus, du montant et du bénéficiaire de la transaction qu’il autorise.

Cette mesure est similaire à ce qui est déjà réalisé dans certains cas de paiement en ligne. L’utilisateur est en effet notifié par SMS avec le code OTP correspondant à une transaction unique, de son montant et de l’origine de la demande. Elle généralise donc cet usage et l’impose en condition pour toute transaction de paiement.

Les exemptions à l’authentification forte

Dans la définition du besoin d’authentification forte et les exigences sur la « Strong Customer Authentication », la DSP2 essaie également de maintenir un équilibre avec l’ergonomie de la navigation pour les utilisateurs des services. Pour cela, elle prévoit des cas où les fournisseurs de services de paiement peuvent choisir d’exempter leurs utilisateurs de la réalisation d’une authentification forte.

Les conditions en place pour réaliser ces exemptions sont précisément décrites dans les RTS, notamment suivant les modes de paiement de l’utilisateur. Il est ensuite de la responsabilité des fournisseurs de service de paiement de déterminer, à l’aide d’un score de risque, si une exemption doit être appliquée ou non.

Conclusion

Dans un contexte de digitalisation des services financiers induit par la montée en puissance des fintechs, la Commission Européenne et l’ABE favorisent l’ouverture à la concurrence et donc l’intégration des nouveaux acteurs au sein de l’écosystème des services de paiement. La DSP2 pose un cadre clair pour la sécurisation des services et interconnexions entre acteurs historiques et fintechs. Dans l’état cependant, elle comporte des limitations qui réduisent la portée des mécanismes de sécurité mis en avant. Un prochain article détaillera la nature de ces limitations.

Cet article Sécurité des opérations financières en ligne en 2020 : Quels sont les apports de la DSP2 ? (1/2) est apparu en premier sur RiskInsight.

Le dilemme de l’évolution des dispositifs antifraude : quels leviers pour intégrer ces technologies ?

Faisant écho à ces problématiques, l’écosystème des éditeurs s’est organisé pour proposer des solutions antifraude s’appuyant sur ces technologies. Ainsi éditeurs et start-ups se sont très largement développés, partout dans le monde (plus de 150 fournisseurs ont été recensés au sein du radar « Antifraude » Wavestone). Le besoin de lutte antifraude a en effet par nature une dimension internationale, notamment dans la protection des flux monétaires qui sont rarement limités à un seul pays.

Figure 2 :Exemple du radar des éditeurs antifraude Wavestone (extrait non exhaustif)

Même si la lutte contre la fraude apparait comme un use case de choix pour démontrer le ROI du Machine Learning (réduction du nombre de fraudes, automatisation de la détection…) et au-delà du choix de la stratégie d’outillage de lutte contre la fraude au regard de la maturité du marché, les questions à se poser doivent rester celles d’une solution SI « standard » (exploitation, maintenance, évolutivité…).

Si les coûts d’infrastructures nécessaires à la mise en place d’outils basés sur le Machine Learning et le big data ne sont pas négligeables, ils permettent de créer un environnement favorable à l’exploitation de la richesse des données pour divers usages (maintenance prédictive des serveurs, connaissance client, etc.) en gardant à l’esprit les garde-fous mis en place par le RGPD.

Figure 3 : Où peut-on agir avec le Machine Learning : exemple d’une banque

Une nouvelle cible à atteindre : une approche “sans couture” technologique et métier

Face aux nouveaux enjeux et l’apport des technologies émergentes, une nouvelle stratégie antifraude doit être désormais définie.

La mise en place d’un dispositif de détection globale de confiance qui devra respecter 5 grands principes.

• L’efficience et l’automatisation : il bénéficiera d’une détection à plusieurs critères (moteur de règles et Machine Learning) et d’une efficacité opérationnelle optimisée par l’automatisation de mesures allant de l’augmentation du niveau d’authentification demandé au gel d’un virement.
• L’évolutivité et l’omnicanal : il intègrera plusieurs périmètres dans la détection avec une logique « sans couture » entre le monde cyber et le monde « hors cyber » et sera conçu pour permettre l’intégration de nouvelles données disponibles (ex : données de biométrie comportementale).
• La visibilité et l’exploitabilité : il fournira la visibilité (reporting) et l’explication des résultats de détection, aux équipes antifraude, aux clients et également aux régulateurs.
• La conformité et la sécurisation : il respectera les obligations en matière de détection ainsi que les réglementations (RGPD), et traitera les risques inhérents au Machine Learning (tentatives de poisoning, compréhension par l’attaquant du modèle…).
• La gouvernance transverse cybersécurité et métier : une collaboration étroite des équipes de détection de menaces cyber et métier antifraude, dépassant les silos encore trop présents, permettra une réponse globale avec une vision 360 des menaces et fera le meilleur usage des données disponibles.

Pour bénéficier de tous les atouts apportés par cette nouvelle stratégie de détection, il conviendra également de ne pas négliger les systèmes d’investigation et de réaction.

Une décentralisation partielle de la lutte contre la fraude, impliquant les conseiller bancaires, permettra une plus grande capacité d’investigation. Ayant la connaissance la plus fine de leurs clients, ces derniers représentent un atout dans le processus d’investigation.

De plus, la biométrie comportementale et le machine learning permettent de fournir une meilleure visibilité sur le niveau de confiance qu’on peut accorder à l’utilisateur. Une fois le niveau de confiance défini, il est donc possible d’adapter les niveaux d’authentification demandés en conséquence. Une contribution adaptée et graduée de l’utilisateur permettra ainsi de réduire le nombre d’alertes émises.

La mise en place d’une nouvelle cible antifraude n’est pas seulement pour assurer une réponse adaptée à un changement de contexte mais aussi pour anticiper une vague de fond qui s’amorce aujourd’hui. La détection de fraudes deviendra à l’avenir de plus en plus complexe compte tenu d’une digitalisation qui va continuer à s’accélérer, en particulier sur les moyens de paiement. L’émergence de nouveaux acteurs, comme les Fintechs, et la désintermédiation grandissante des banques vont notamment entraîner un appauvrissement de la donnée disponible. Les dispositifs antifraude sont donc voués à évoluer en profondeur afin de garder et développer leur efficacité.

Cet article Revolution technologique : quelle perspective pour la lutte contre la fraude ? (2/2) est apparu en premier sur RiskInsight.

Les expériences et expérimentations du secteur bancaire, en avance sur ces problématiques, permettent d’envisager les perspectives à venir et fournit donc un prisme d’analyse utile aussi pour les autres secteurs.

Menaces, usages, réglementations : trois évolutions majeures qui impliquent des adaptations des dispositifs antifraude

Les transformations business et technologiques dans l’ensemble des secteurs d’activité font apparaitre des évolutions impactant directement les dispositifs antifraude historiques.

Les menaces évoluent, les pratiques de fraude se sont professionnalisées avec de nouveaux outils et de nouvelles pratiques. Prenons l’exemple du phishing : même sans connaissances informatiques, une cellule de fraudeurs entrainée peut désormais acheter un kit de phishing prêt à l’emploi et met en moyenne seulement trois minutes entre une connexion frauduleuse et une sortie d’argent. Les tentatives de fraude se sont donc démultipliées ces dernières années.

En parallèle, les usages évoluent vers une plus forte digitalisation, parfois dictés directement par des évolutions réglementaires, à la fois à destination des clients ou à destination des collaborateurs. Par exemple la mise en place de l’Instant Payment en France ou de la directive européenne sur les services de paiement 2ème version (DSP2) prévoient des virements instantanés. Ces nouveaux usages accélèrent les transactions financières entre les acteurs entrainant par la même occasion des besoins d’évaluation instantanée des risques de fraude. De plus, cette multiplication des canaux de paiement entraîne une augmentation de la surface d’attaque avec notamment une diversification des malwares bancaires aux applications mobiles ainsi que l’apparition de pratiques d’ingénierie sociale complexes multicanales et appuyées sur une compréhension des processus métier.

La diversification des fraudes, la volumétrie associée et l’augmentation des besoins de traitement instantané rend le traitement manuel presque impossible. La création de règles d’alertes plus restrictives pour minimiser les volumes ferait cependant courir le risque de manquer un grand nombre de fraudes.

Dans ce nouveau paysage, où la fraude devient de plus en plus technologique et peut avoir de multiples origines (clients, donneurs d’ordres, sous-traitants, fournisseurs, administrateurs…), les stratégies de détection doivent évoluer et passer d’une détection réactive des fraudes connues à une détection proactive des menaces encore inconnues.

Les nouvelles technologies, l’avenir de l’antifraude pour faire face à ce nouveau paradigme

L’approche historique de la détection de fraude est fondée principalement sur la définition de règles unitaires générant une alerte en cas de non-respect d’un des critères et sur la corrélation d’événements, consistant à mettre en œuvre des règles métiers plus avancées prenant en compte plusieurs types de données, afin de générer une alerte lorsque apparaissent des indices du déroulement d’un scénario de fraude connu.

Cette approche tout en demeurant efficace pour la détection de fraudes connues, par exemple dans la lutte contre le phishing, n’est plus suffisante pour faire face aux évolutions en cours. Une approche hybride doit être enrichie sur la base des nouvelles technologies présentes sur le marché (intelligence artificielle / Machine Learning, biométrie comportementale…) qui offrent deux grandes perspectives d’enrichissement des dispositifs actuels.

1.  Passer d’une détection de masse à une détection individualisée beaucoup plus fine qui va se concentrer sur les changements de comportement.

Le Machine Learning a la possibilité de créer des profils individuels à chaque client. Ces profils, composés de variables construites à l’aide des données collectées, vont permettre de modéliser le comportement. Ainsi, les algorithmes utilisés vont comparer le profil du client (et donc son habitude) avec un événement donné et, de fait, remonter une anomalie lorsqu’une divergence apparait. A noter que le nombre de variables manipulées peut facilement dépasser plusieurs dizaines, là où des règles statiques n’intègreront que quelques paramètres, permettant ainsi de démultiplier le potentiel de détection ou de réduire le nombre de faux positif.

2. Diversifier les périmètres à couvrir en bénéficiant des économies d’échelle apportées par ces technologies (mutualisation des infrastructures big data, massification des données, automatisation permettant un gain de temps pour les analystes…)

Ces technologies ont la capacité d’intégrer et corréler, grâce à des Data Lake sur lesquels elles s’appuient, des volumétries importantes de données brutes, techniques ou métiers (logs applicatifs, connaissances clients, opérations financières…) et d’apporter un potentiel d’enrichissement par des données extérieures (liste de surveillance, transformation d’adresses IP en localisations physiques…). Pour tirer le maximum de bénéfices des systèmes antifraudes, le Data Lake doit disposer d’un historique de données pertinentes et conformes, à savoir 13 mois pour des personnes physiques et 6 mois pour des personnes morales.

Pour autant ces technologies ne sont pas « magiques », elles nécessitent d’avoir à disposition des données en qualité et en quantité afin de réaliser un important travail préparatoire sur la construction des variables qui portent les capacités de détection des algorithmes. Cette phase de construction nécessite un apport d’expertise à la fois métier mais aussi technologique (datascience, développeurs, etc.).

Figure 1 – les principales méthodes de détection

Le choix des algorithmes n’est également pas à négliger, notamment d’un point de vue de la transparence. En effet, certains outils sont basés sur des algorithmes où les résultats sont difficilement justifiables. Le manque de visibilité sur les critères d’établissement des résultats entraine une remontée d’alertes en « boîte noire » et ne permet pas toujours de justifier les blocages aux clients. Une trop grande opacité peut également avoir des conséquences juridiques, voir être illégale, lorsque ces alertes ont des conséquences directes sur des clients.

Si ce premier article présente quelles sont les technologies d’avenir dans la lutte contre la fraude, un deuxième article viendra détailler comment les intégrer au mieux.

Cet article Revolution technologique : quelle perspective pour la lutte contre la fraude ? (1/2) est apparu en premier sur RiskInsight.

Dans le cadre de cette compétition, les participants, d’origine européenne ou française ont su démontrer une richesse dans leur expertise technologique. Le spectre des thématiques abordées a ainsi permis de mettre en valeur la force de cet écosystème cyber.

On peut ainsi dresser le top 5 des types de solutions les plus présentées parmi les candidats aux concours :

• L’authentification, au cœur du SI, pour moderniser la vérification de l’identité
• La sécurité des infrastructures, la France en particulier se positionne comme un leader sur le sujet
• L’anti-fraude pour contrer le risque majeur que cela présente pour le secteur bancaire
• La sécurité applicative afin d’accompagner la multiplication des supports et des services
• La protection des données, une thématique au cœur de l’actualité avec le RGPD

Au terme d’une sélection difficile, 4 start-ups ont été retenus par les membres du jury et les collaborateurs. Retrouvez en exclusivité une interview croisée de ceux qui construisent la cybersécurité de la banque de demain.

• CopSonic, gagnante du grand prix BCSIA, développe et commercialise une technologie de communication sans contact utilisant les ultrasons comme moyen d’interaction et de transmission de données entre les dispositifs électroniques

(Retrouvez l’interview d’Emmanuel Ruiz ici) 

• GitGuardian récompensée du prix protection des données clients, aide les entreprises à se protéger contre les fuites de données sensibles hébergées dans le cloud. Elle alerte les entreprises lorsque les identifiants à leurs services cloud sont compromis ou utilisés de façon abusive

(Retrouvez l’interview d’Eric Fourier ici)

• ICARE Technologie ayant reçu le prix spécial France, développe une bague intelligente couplée à une application smartphone permettant au porteur de la programmer pour remplacer l’intégralité du portefeuille et du porte-clefs

(Retrouvez l’interview de Georges Bote ici)

• ubble, lauréate du prix IA et lutte contre la fraude, permet aux consommateurs de confirmer facilement et en toute sécurité leur identité en ligne et d’utiliser dans le monde digital leur documents d’identité physique régaliens de façon fiable, pratique, et respectueuse de la vie privée

(Retrouvez l’interview de Juliette Delanoë ici)

 Dans le cadre de la remise des prix une table ronde sur le sujet de la relation entre les grands comptes et les startups a eu lieu. Les intervenants, Guillaume Poupard, Thierry Olivier, Yves Vilaginés, Emmanuel Gras et Gérôme Billois ont évoqué chacun leur point de vue. Voici les principaux messages qui en ressortent :

 Un écosystème cyber qui reste à construire

 Les membres de la table ronde ont mis en avant la difficulté pour un entrepreneur cyber de se lancer. En effet il n’existe pas, à ce jour, de structure officielle pour les accompagner. Par ailleurs, les investissements sont encore insuffisants. L’exemple évoqué était le suivant :  les start-ups cyber en France en 2017 ont levé en moyenne 3,8 millions d‘euros pour un total de seulement 26,2 millions d’euros.

Une concurrence historique, compliquée à challenger

Les participants à la table ronde ont par ailleurs soulevé l’autre difficulté majeure pour les start-ups cyber : des produits à l’innovation parfois insuffisante. De leur point de vue, très peu d’entrepreneurs se lancent dans de nouvelles offres, la plupart préférant réinventer des solutions de sécurité existantes.

Ils en tirent la conséquence suivante : face à des éditeurs historiques de logiciels de sécurité qui sont déjà connus et en place dans des grands groupes, les start-ups peinent à convaincre. Leur compétitivité amoindrie freine donc leur croissance.

La nécessaire réconciliation entre stabilité et innovation

Il a ainsi été argumenté que les start-ups sont face à deux besoins contradictoires. Elles doivent tout d’abord chercher à stabiliser leur produit pour le vendre et ainsi diminuer la pression financière qui pèse sur elles. Et dans le même temps, on exige d’elles qu’elles démontrent une agilité, une innovation permanente pour concurrencer les éditeurs existants, ce besoin les empêchant parfois d’aboutir leur produit.

Cependant, pour les experts présents durant cet échange, ces deux dimensions sont loin d’être irréconciliables. Ils ont ainsi avancé trois pistes pour aider les start-up cyber à innover tout en continuant à croitre.

D’une part, la première solution consiste à impliquer les grands groupes pour accompagner les start-ups en les rémunérant durant leurs tests (Proof Of Concept) contrairement à l’usage actuel qui veut que les POCs soient gratuits alors même qu’ils peuvent durer plusieurs semaines, voire plusieurs mois. En les finançant de la sorte, les grands groupes permettront aux start-ups de démontrer la pertinence de leur produit sans mettre en danger leur pérennité financière.

Ensuite, il convient aussi de les aider à gagner en visibilité : pour cela, les intervenants ont suggéré de développer un incubateur spécialisé en cybersécurité et y dédier des fonds pour structurer l’ensemble du marché.

Enfin le dernier axe concerne les start-ups elles-mêmes : il leur faut prendre du recul sur leur solution et, au-delà de l’aspect technique, tenter de mettre en avant leurs avantages compétitifs pour la vendre de manière globale en se différentiant de leurs concurrents.

Pour conclure, l’ensemble des participants à la table ronde s’est accordé pour dire que le marché est très prometteur : les entrepreneurs cyber ayant dans l’ensemble de bons profils techniques et des idées très intéressantes, il convient de leur donner les clés pour se démarquer dans un écosystème compétitif.

La meilleure solution pour cela restant donc de mobiliser autour des start-ups, des métiers, des RSSIs, des investisseurs mais également des grands groupes ou des experts du secteur afin de leur offrir conseil et visibilité comme dans le cadre des Banking CyberSecurity Innovation Awards. Rendez-vous en 2019 pour la troisième édition !

Cet article BCSIA : ILS CONSTRUISENT LA CYBERSECURITE DE DEMAIN est apparu en premier sur RiskInsight.

Comment l’idée vous est-elle venue ?

Georges Bote (ICARE Technologies) raconte que l’idée est venue au fondateur, Jérémy Neyrou « il y a 6 ans de cela, en perdant mes clés de voiture sur une plage Corse complètement déconnectée de tout réseau, après avoir parcouru près d’une dizaine de kilomètres en plein soleil d’été à pied », il imagine un « objet à la fois intuitif et autonome qui permettrait d’embarquer [le] trousseau de clés et [les] moyens de paiement ». C’est ainsi qu’est née Aeklys, « cette bague intelligente qui permet d’embarquer jusqu’à 28 fonctionnalités différentes ».

Quel est le plus grand risque de sécurité pour les banques et pour ses clients selon vous ? Comment répondez-vous à la menace qui pèse sur les banques ?

Georges Bote (ICARE Technologies) s’accorde également à dire que « la fraude à la fois bancaire et sur l’identité des personnes reste le grand risque pour les banques et leurs clients ». C’est pourquoi la bague connectée proposée par ICARE Technologies embarque un mécanisme de désactivation en cas de perte ou de vol, protégeant ainsi son propriétaire contre l’usurpation de ses moyens de paiement sans qu’il ne doive faire opposition d’une quelconque manière que ce soit.

L’enjeu pour les RSSI aujourd’hui est de parvenir à concilier la facilité d’implémentation, la simplicité d’utilisation des solutions de sécurité avec une technologie sécurisée. Comment convaincre un RSSI de la pertinence de votre solution et de la sécurité du produit ? Quels sont les différenciateurs qui vous démarquent sur le marché ?

ICARE Technologies explique que la pertinence de la sécurité de sa solution « réside dans notre technique et différentes certifications bancaires. Notre secure element dispose d’un niveau EAL6+ certifié par l’ANSSI, ce qui nous permet de travailler dans le domaine militaire en plus d’avoir un chiffrement en AES 256 bits ».

Quelles sont les synergies entre votre innovation et les solutions de sécurité bancaires existantes à l’heure actuelle ?

La force du produit d’ICARE Technologies réside dans son innovation et en sa sécurité : « de plus, il caractérise une nouvelle forme de liberté et de sécurité qui est fortement attractive pour les clients potentiels. L’intérêt est donc d’en faire devenir un objet « à la mode » de manière à orienter la connotation sociale de la bague comme une tendance ».

Les synergies existent et la technologie est actuellement en phase de test avec des partenaires bancaires et industriels pour travailler notamment sur la sécurisation de valises informatiques. Georges Bote annonce « la préparation d’un 2ème tour de table et de belles surprises pour notre Go To Market qui sera prévu le 1er trimestre 2019 ».

Pour en savoir plus : https://fr.icaretechnologies.com/

Cet article L’INTERVIEW D’ICARE TECHNOLOGIES – LA BAGUE INTELLIGENTE SECURISEE est apparu en premier sur RiskInsight.

Comment l’idée vous est-elle venue ?

Juliette Delanoë évoque l’importance de la transformation digitale des grands groupes : « de plus en plus de biens et services peuvent être souscrits ou consommés en ligne. En particulier, la vérification des identités en ligne est un enjeu fondamental pour que la révolution digitale soit vecteur de progrès durable pour la société ». La combinaison des expériences des fondateurs a permis de développer un produit permettant via le flux vidéo, d’identifier « et de protéger les individus dans le monde digital, en permettant d’y utiliser les documents d’identité physique régaliens de façon fiable, pratique, et respectueuse de la vie privée ».

Quel est le plus grand risque de sécurité pour les banques et pour ses clients selon vous ? Comment répondez-vous à la menace qui pèse sur les banques ?

Juliette Delanoë met en parallèle l’importance d’avoir des parcours digitaux agréables et rapides pour leurs utilisateurs et la nécessité d’en assurer la sécurité : « l’entrée en relation, étape très critique de l’expérience utilisateur, avait lieu il y a quelques années exclusivement en boutique, mais avec l’arrivée des néo-banques, et de la génération des millenials, cette étape se digitalise et s’automatise rapidement ». Il convient donc de conserver cette opportunité mais de faire attention aux enjeux sécuritaires qui se dessinent et notamment aux « nouveaux types de fraudes propre au digital qui se développent – comme l’utilisation de faux documents d’identité pour ouvrir un compte bancaire en ligne ».

L’enjeu pour les RSSI aujourd’hui est de parvenir à concilier la facilité d’implémentation, la simplicité d’utilisation des solutions de sécurité avec une technologie sécurisée. Comment convaincre un RSSI de la pertinence de votre solution et de la sécurité du produit ? Quels sont les différenciateurs qui vous démarquent sur le marché ?

Ubble propose aux RSSIs de tester la solution en partageant sa conviction profonde que « le mouvement (donc la vidéo) est indispensable à la vérification des visages comme des documents (hologrammes, reflets), et nous développons des technologies qui vérifient les identités non pas sur la base de simples images, mais sur un flux de vidéo en streaming ». En effet, les streams vidéo, la computer vision et le deep learning permettent d’éviter la fraude. Ainsi il n’est pas possible de « présenter un document d’identité qui soit une simple photocopie [ou …] d’utiliser le document de quelqu’un d’autre ». L’atout de la solution réside également dans une expérience utilisateur aisée et agréable pour un client de bonne foi.

Quelles sont les synergies entre votre innovation et les solutions de sécurité bancaires existantes à l’heure actuelle ?

Ubble explique : « nos technologies répondent à une faille sécuritaire nouvellement créée, que les solutions existantes n’adressent pas, ou seulement partiellement. Nos technologies sont en parfaite synergie avec les systèmes mis en place par les banques, et viennent s’ajouter pour combler la faille sécuritaire créée lors de la digitalisation et de l’automatisation de l’entrée en relation ».

Comment voyez-vous la banque de demain en 3 tendances ? Quelles opportunités pour la cybersécurité dans la banque de demain ?

Selon ubble, le futur verra l’apparition d’un nouveau rôle pour la banque : la banque de demain « sera un des services les plus sécurisé dans le monde digital ». La start-up prévoit ainsi que « la banque de demain [sera amenée à jouer] un rôle sécuritaire fort dans le monde digital en général. En tant qu’acteur de confiance qui connaît ses clients, elle pourra attester de leur identité auprès d’autres fournisseurs de services ».

Pour en savoir plus : http://www.ubble.ai

Cet article L’INTERVIEW D’UBBLE – VERIFICATION D’IDENTITE VIA LA VIDEO est apparu en premier sur RiskInsight.

Le secteur bancaire, une cible historique

Les attaques contre le secteur financier ne sont pas une nouveauté, il s’agit même d’un secteur de prédilection pour les pirates agissant à des fins vénales. Mais en 2016 nous avons assisté à une diversification et à une intensification de ces attaques. En effet, au cours de l’année passée, plusieurs attaques majeures, motivées par l’attrait de gains financiers importants, ont été réalisées contre des banques de détail et d’investissement mais également contre des banques centrales. Sans viser à être exhaustif, cet article présente de manière synthétique certains des cas emblématiques.

Pour les banques, trois zones de risques, poreuses entre elles, sont clairement identifiées:

Depuis l’existence d’Internet, les failles des systèmes accessibles directement aux clients ont été largement exploitées par les cybercriminels qui ont continué à faire évoluer leurs techniques en 2016.

Les distributeurs de billets, très exposés historiquement, ont été visés par de nouveaux malwares, notamment ALICE et RIPPER. Ces malwares peuvent être installés sur la machine de deux façons différentes :

• En passant par le réseau auquel est connectée la machine pour accéder aux serveurs de gestion, nécessitant d’infiltrer le SI de la banque.
• Directement sur le système d’exploitation de la machine à l’aide d’un port USB mis à nu.

Le piratage des distributeurs de billets a résulté à la perte de plusieurs millions d’euros au cours de l’année passée pour différentes banques à travers le monde. En Europe, le groupe de cybercriminels Cobalt a piraté des distributeurs dans une douzaine de pays pour un montant inconnu. Des attaques similaires ont eu lieu à Taïwan et en Thaïlande avec le vol de 2,5M$ et 350k$ respectivement.

D’une autre manière, les DAB et TPE peuvent servir d’hôtes aux fameux « Skimmers ». Il s’agit d’un dispositif hardware plus ou moins discret permettant de récupérer l’empreinte de la carte des utilisateurs. Plusieurs types de « Skimmers » existent dont en particulier :

• Les Skimmers externes, reproduction de tout ou partie de la façade de la machine qui s’installe au-dessus du distributeur ou du terminal de paiement.
• Les Skimmers internes, s’installant directement dans le lecteur de carte de la machine .

Cette seconde méthode très en vogue en 2016 est difficilement détectable car il n’y a pas de modification importante de l’aspect physique de la machine, seule une caméra externe est requise pour capturer le code PIN. De plus ces Skimmers internes n’affectent ni le système d’exploitation ni le fonctionnement de la machine.

Beaucoup plus connus, les malwares de type cheval de Troie, continuent d’évoluer et sont toujours largement utilisés pour récupérer les informations de paiements des clients ; certains d’entre eux sont spécialement développés pour les smartphones, notamment sur Android.

L’évolution des attaques vers les systèmes exposés et internes en 2016

Les cas d’attaques les plus importants de l’années 2016 dénotent une évolution du mode opératoire des attaquants avec une préparation minutieuse qui dure jusqu’à plusieurs mois. Pour s’introduire dans le système d’information des institutions financières et le manipuler, des méthodes spécifiques doivent être suivies, en se basant sur le fonctionnement et les processus métier. Ces derniers sont étudiés longuement par les attaquants, afin d’agir efficacement et en toute discrétion.

Après ce temps de préparation et une fois le système d’information de la banque pénétré, les attaquants sont capables de manipuler les applications métier et de détourner des montants jusque-là impensables avec une seule attaque dont l’exécution ne dure que quelques heures.

Citons notamment en 2016 le record de l’année : 81 M$ qui ont quitté « les coffres » de la Bangladesh Bank de façon non légitime.

Le mode opératoire de l’attaque sur la Bangladesh Bank, ayant eu lieu au mois de février, permet de mieux comprendre comment le détournement de telles sommes est possible.

Les attaquants ont commencé par ouvrir au mois de Mai 2015 des comptes à la banque RCBC aux Philippines sous de fausses identités. Ils ont ensuite réussi à s’introduire dans le SI de la Bangladesh Bank, par une faille non identifiée.

Vient alors la phase préparatoire lors de laquelle ils ont installé sur le réseau de la banque un malware espion spécialement développé qui les renseigne sur les horaires de fonctionnement de l’équipe en charge des transactions SWIFT afin de s’aligner sur les pratiques de la banque. Ils parviennent aussi à récupérer les identifiants des opérateurs ayant les droits de création, approbation et exécution de ces transactions.

A la suite de cette période de préparation, l’attaque est lancée en Février 2016 avec 35 transactions frauduleuses ordonnées à la New York FED, gérant des comptes de la Bangladesh Bank pour un total de 951 millions de dollars vers des comptes de la RCBC aux Philippines, créés au préalables et associés à l’industrie du jeu et des casinos. La principale nouveauté repose dans le fait que le malware utilisé modifie les confirmations de transactions, supprime les enregistrements électroniques des ordres et bloque l’impression des récépissés papier pour ne laisser aucune trace de la fraude.

31 transactions seront bloquées par le système anti-fraude de la New York FED et les intermédiaires en cours de route, mais au final 4 transactions sont validées pour un montant total de 81 millions de dollars. Les fonds seront ensuite retirés des comptes pour être blanchis. L’enquête implique le FBI et le gouverneur de la Bangladesh Bank a été limogé.

En réponse à cette attaque et à des tentatives similaires contre des banques Vietnamiennes et Equatoriennes, le SWIFT a lancé en 2016 un programme de sensibilisation pour ses clients ainsi que des recommandations pour une meilleure cyber sécurité.

A quoi s’attendre pour la suite ?

Ce contexte agité promet donc une année 2017 sous haute vigilance pour tous les acteurs du monde financier. La tendance à mener des attaques en profondeur contre leurs systèmes devrait s’intensifier, nécessitant une réelle évolution dans l’appréhension de la cybersécurité. Certaines annonces tonitruantes comme celle réalisé au Royaume-Uni « a major bank will fail »  tente d’alerter sur cette situation.

La capacité des attaquants à agir directement sur les éléments clés du SI bancaire tels que le système anti-fraude et les applications métier impose aux banques de durcir leur sécurité informatique à tous les niveaux ; que ce soit par exemple avec la protection contre les intrusions, une meilleure gestion des identités ou des systèmes d’authentification forte pour les utilisateurs sensibles.

La spécificité du milieu bancaire à fonctionner sur un modèle de réseau fortement interconnecté implique que la cybersécurité des services partagés, tels que les systèmes de transactions internationaux ciblés à plusieurs reprises, soit abordée globalement afin de garantir un niveau de sécurité cohérent entre les établissements financiers.

Article réalisé conjointement avec les travaux de préparation du panorama de la cybercriminalité du CLUSIF 2017 sur la partie “menaces touchant la finance”. 

Cet article 2016 : les cyberattaques touchent la banque sur tous les fronts est apparu en premier sur RiskInsight.

Machine Learning, démystification et opportunités

Le Machine Learning est une forme d’intelligence artificielle qui consiste à apprendre et modéliser un phénomène pour mieux le comprendre et le maîtriser. Pour cela, un ou plusieurs algorithmes permettent d’établir des corrélations entre les évènements qui composent ce phénomène. On distingue deux grands types de méthodes :

• Les méthodes supervisées, qui créent des modèles à partir d’une base de données d’exemples (généralement des cas déjà traités et validés).
• Les méthodes non-supervisées, qui n’ont pas besoin d’une base de données d’exemples

Pour illustrer la différence entre les deux méthodes, on peut considérer le cas de la détection de fraude. Pour s’entraîner et créer des modèles précis, les méthodes supervisées utiliseraient en entrée des données déjà traitées et marquées comme étant liées ou non à des cas de fraude (schémas de fraude connus), alors que les méthodes non-supervisées utiliseraient des données brutes issues des applications du SI afin de modéliser les comportements normaux. Conceptuellement, cela revient à modéliser respectivement ce qui est anormal (la fraude – en ayant assez de données pour que cette représentation soit fidèle) ou ce qui est normal (en détectant de facto les fraudes lorsque l’on s’éloigne de cette normalité).

Tous les algorithmes ne se valent pas. Chacun possède des qualités et des défauts qu’il faut savoir peser et qui dépendent en grande partie des données d’entrée, propres à chaque cas métiers. Il est important de choisir des données à la fois pertinentes et disponibles en quantité suffisante pour obtenir des résultats probants. Dans le contexte de la Banque en Ligne, de nombreuses données peuvent faire l’objet de Machine Learning :

• Habitudes de transaction : montants des virements, pays destinataires…
• Habitudes de connexion : heure de connexion, user-agent, device utilisé…
• Habitudes de navigation : parcours client, vélocité de navigation…
• Données comportementales : vitesse de frappe, déplacement de la souris…
• Données marketing : produits consommés, libellés des virements…

Correctement exploitée par des algorithmes de Machine Learning, la conjugaison de ces différentes données, précédée par un traitement tirant le maximum de leur valeur, peut permettre des résultats bien plus significatifs que ne le permettent les méthodes classiques. La connaissance client (KYC), en exploitant par exemple le parcours client type, la détection de fraude, en utilisant les habitudes de virement pour identifier des cas suspects (pays de connexion, distribution des montants…), ou encore le marketing à travers la connaissance des habitudes de consommations (analyse des libellés, regroupements des achats par catégories…) peuvent notamment largement tirer parti de ces données.

Concrètement, quels sont les gains du Machine Learning ?

Tout d’abord, connaître le client et mieux adresser ses besoins

Le Machine Learning permet de tirer le maximum de valeur des données en singularisant les modèles là où les méthodes « classiques » reposent sur un modèle commun à l’ensemble des données d’entrée. Par exemple dans le cas de la détection de fraude, les modèles de règles « classiques » reviennent à élaborer un modèle qui sera commun à tous les clients, sans tenir compte de leur unicité, là où le Machine Learning permettra une détection plus efficace en associant un profil à chaque client et en effectuant une surveillance et une détection propres à ce profil. Ce raisonnement vaut pour tous les autres domaines d’applications, et permet, in fine, une meilleure représentation et une meilleure connaissance non plus « du client » au sens large, mais de chacun des clients.

Le Machine Learning permet également d’offrir de nouveaux services

Au-delà de l’amélioration notable des résultats basés sur les KPI classiques (taux de faux positifs, taux de détection…), le Machine Learning permet une création de valeur en termes de gains financiers en personnalisant les outils dont profite le client. Cela peut parfaitement servir de socle à une offre commerciale qui reposerait par exemple sur la personnalisation de ses seuils par le client ou sur la possibilité d’être alerté en temps réel lorsqu’une information marketing, commerciale ou concernant sa sécurité a particulièrement du sens. Certaines banques ont d’ailleurs déjà franchi le pas, en offrant la possibilité à leurs clients Entreprises d’être alertés en cas de virements qui dépassent des seuils personnalisés préalablement établis.

Finalement, le Machine Learning est aussi une occasion de moderniser les outils et rester à l’état de l’art

Lancer un projet de Machine Learning permet de communiquer sur le sujet et de profiter du buzzword pour générer de la satisfaction chez un certain nombre de client de plus en plus sensible à des problématiques de sécurité ou de confidentialité, tout en s’assurant d’être à l’état de l’art du marché. Cela peut également permettre de moderniser des outils existants en vue des changements qui vont continuer d’opérer dans la Banque en Ligne au gré des nouvelles règlementations et des exigences techniques (temps réel notamment avec Instant Payment) et métiers qui en découlent. Dans ce cadre, on voit par exemple éclore des méthodes de Machine Learning pour la surveillance des marchés et lutter contre les délits d’initiés.

En conclusion, la pleine maîtrise technique du Machine Learning coïncide avec de nouveaux besoins et de nouvelles exigences exprimés dans la Banque en Ligne moderne. Embrasser cette évolution présente de nombreux avantages, de l’amélioration des performances et des résultats à la satisfaction des clients, en passant par une meilleure flexibilité technique. La maîtrise des différentes méthodes doit permettre un renouvellement des traitements et des processus métiers, en les rapprochant du client (aujourd’hui ces méthodes sont plutôt transparentes pour lui). Dans le cas de la lutte contre la fraude, on peut par exemple imaginer de nombreux cas autour de l’alerting et des contre-mesures, comme une vérification par authentification forte en cas de suspicion, ou des informations reçues en temps réel pour mieux impliquer les clients.

Cet article Le Machine Learning, quelles opportunités et quels enjeux dans une Banque en Ligne moderne ? est apparu en premier sur RiskInsight.

During the 2016 edition of the Cyber Security Summit – one of the main local cybersecurity events – the Hong Kong Monetary Authority (HKMA) announced the launch of its CyberSecurity Fortification Initiative (CFI), a multi-year approach to strengthen the security of local banks.

Here are the main points to keep in mind about this initiative, which brings best-of-breed cybersecurity international practices, but also an innovative approach to cyber threat intelligence.

A three-fold initiative to improve the level of security

The CFI is an initiative on which the HKMA has been working to strengthen cyber-resilience (i.e. the capacity to resist/survive cyber-attacks). It targets all the Authorized Institutions[1] (AIs), in other words the banks of Hong Kong. It is underpinned by three pillars:

1. Cyber Resilience Assessment Framework

This framework will have to be deployed by each bank, thus allowing the HKMA to “get a holistic view of the preparedness of individual AIs as well as the entire banking sector”. It consists of 3 steps:

Cet article Hong Kong launches a major cybersecurity program for its banking industry est apparu en premier sur RiskInsight.

Parallèlement, les chiffres de la fraude n’ont cessé de progresser, pour dépasser en 2014 les 500 millions d’euros détournés sur le plan national. Dans la plupart des cas, cette fraude est due à l’utilisation de numéros de carte volés.

Pour endiguer cette tendance, les principaux organismes émetteurs de cartes bancaires (dont Visa et MasterCard) ont décidé de fonder en 2005 le Payment Card Industry Security Standard Council, dont le porte-étendard demeure sans nul doute PCI DSS (Payment Card Industry Data Security Standard).

PCI DSS et la nébuleuse des responsabilités

Le standard PCI DSS s’applique à « toute entreprise qui stocke, traite ou transmet des données carte ». Cette définition englobe donc aussi bien les banques que les commerçants, ou encore les prestataires de service de paiement (PSP), qui ont de ce fait des comptes à rendre devant les réseaux émetteurs de cartes. Pour être conformes à PCI DSS, ces acteurs doivent ainsi respecter les 280 exigences de sécurité qui composent le standard, réparties autour de 12 thèmes de nature technique ou organisationnelle.

Il convient par ailleurs de noter qu’en France, le standard PCI DSS n’est pas une obligation légale, mais est imposé contractuellement par les principaux acteurs du marché : Visa et MasterCard. Une société non conforme à PCI DSS s’expose ainsi à des pénalités financières, qu’elles soient imposées directement par les réseaux, ou par un partenaire de la chaine de paiement, comme ce fût par exemple le cas pour le Groupe Aldo en 2010.

Toutefois, les acteurs concernés n’ont pas tous les mêmes responsabilités vis-à-vis de la norme. Si la conformité des commerçants doit être justifiée chaque année auprès de Visa et MasterCard, ce n’est pas le cas de la banque, qui n’est pas tenue de réaliser un reporting régulier sur sa propre situation. Elle est en revanche responsable de celle de ses commerçants, autrement dit sa clientèle professionnelle. En effet, la déclaration des commerçants demeure du ressort de la banque, qui s’expose en cas de non-conformité ou de compromission chez l’un de ses clients à des pénalités financières.

Des commerçants aux profils variés…

Tous les commerçants ne présentent pas le même profil vis-à-vis du standard, et ne font donc pas face aux mêmes obligations. PCI DSS distingue quatre catégories, dont la plus élevée regroupe les marchands effectuant plus de six millions de transactions annuelles sur un réseau. Ces sociétés doivent impérativement obtenir une certification PCI DSS, délivrée à l’issue d’un audit au cours duquel l’intégralité des points de contrôle est vérifiée. Les autres commerçants n’ont pas d’obligation de certification. Leur conformité est justifiée par le biais d’un processus déclaratif, matérialisé par un questionnaire d’auto-évaluation (Self Assessment Questionnaire, SAQ). Ce questionnaire, complété chaque année, permet d’attester que l’ensemble des points de contrôle de la norme est respecté par le commerçant.

Les commerçants ne sont toutefois pas contraints de supporter eux-mêmes l’intégralité des exigences adressées par la norme. Un e-marchand ne comptant que quelques salariés ne disposera vraisemblablement pas de service informatique spécifique, ne développera probablement pas lui-même son site internet, et hébergera encore moins les fonctionnalités de paiement sur son système d’information. Les commerçants dans cette situation ont ainsi la possibilité de reporter une partie des responsabilités liées au standard vers un prestataire proposant une solution de paiement certifiée PCI DSS. Le commerçant choisissant cette solution ne deviendra pas automatiquement conforme à PCI DSS, mais portera considérablement moins de risques sur son périmètre. À titre de comparaison, le SAQ correspondant à cette situation n’adresse que deux des douze thèmes (sécurité physique et gestion des prestataires) du standard, pour un total de 17 exigences à couvrir.

…dont la banque hérite d’une responsabilité complexe

La banque est responsable de la déclaration de l’ensemble de ses commerçants auprès des réseaux. Si les marchands les plus conséquents sont susceptibles d’être d’autant plus réceptifs voire demandeurs de cette démarche PCI DSS, ce n’est pas nécessairement le cas des commerçants peu exposés, en règle générale également peu sensibles aux questions de sécurité. Aborder le standard sous l’inconditionnel angle réglementaire serait alors voué à l’échec. Le client risquerait en effet de se tourner vers une autre banque, ne lui imposant pas ces contraintes dont il ne perçoit pas la nécessité.

Il appartient alors à la banque d’accompagner son commerçant, en lui faisant dans un premier temps comprendre les enjeux portés par la sécurisation des données. Pourquoi protéger les données carte ? Quels risques encourus en cas de compromission ? Comment corréler sécurité et développement du business ? Toutes ces questions peuvent être abordées sans même évoquer PCI DSS. L’objectif est que le marchand intègre la protection des données comme vecteur de sécurisation de son business, lui permettant de continuer à travailler en acceptant les moyens de paiement Visa et MasterCard, et de développer la confiance de sa clientèle.

En tant que premier relais de l’établissement bancaire auprès du client, le chargé d’affaires peut être l’interlocuteur privilégié pour aborder ces questions. Il est alors du ressort de la banque de définir sa cible en termes de sensibilisation, et de former ses conseillers au discours sécurité qui doit être intégré au sein de la démarche commerciale globale.

En synthèse, la banque se retrouve donc dans une position complexe d’intermédiaire entre les réseaux carte et ses propres clients. Pour satisfaire les deux parties, il est alors nécessaire de gérer les risques associés à leurs intérêts divergents. Risque réglementaire d’une part, lié au non-respect des exigences imposées par Visa et MasterCard. Risque économique d’autre part, dû à une fuite d’une partie de sa clientèle.

Définition d’une stratégie de déclaration, le véritable enjeu pour la banque

La multiplicité des profils au sein d’un portefeuille clients proscrit l’adoption d’une réponse unique. Pour satisfaire l’ensemble des acteurs impliqués, une stratégie portant sur la déclaration de chaque client doit ainsi être mise en œuvre.

Imposer le remplissage systématique d’un SAQ en vue d’une déclaration ne convaincra pas les plus petits commerçants, moins exposés et moins enclins à consacrer les ressources nécessaires à une mise en conformité PCI DSS. À l’inverse, laisser une marge de manœuvre totale à ses clients exposera la banque aux pénalités imposées par Visa et MasterCard en cas de compromission.

La stratégie adoptée doit donc se construire sur la base des profils commerçants, pouvant être modélisés suivant deux paramètres :

• Exposition au risque : le commerçant est d’autant plus exposé qu’il réalise un grand nombre de transactions carte à l’année, et qu’il est au contact de ces données (par exemple en les stockant sur son système d’information, ou en portant certaines fonctions de paiement en interne).
• Maîtrise des exigences PCI DSS : le commerçant a un niveau de maîtrise d’autant plus important qu’il est en mesure d’allouer les ressources nécessaires à la démarche de mise en conformité, et qu’il manifeste sa volonté de conformer aux règles du standard.

En définitive, la meilleure réponse que puisse apporter une banque à la question PCI DSS repose sur une approche pragmatique. Connaître son portefeuille clients et identifier les risques portés par chacun d’entre eux doit permettre de répartir au mieux les moyens à consacrer à leur mise en conformité. Cet engagement de moyens sera par ailleurs perçu de façon positive par les réseaux carte, moins susceptibles de se retourner vers la banque si une compromission commerçant venait malgré tout à se produire.

Cet article PCI DSS : Quelle stratégie pour la banque vis-à-vis de ses commerçants ? est apparu en premier sur RiskInsight.

La maturité des acteurs sur le sujet MIFID2 vous semble-t-elle identique quel que soit le secteur ? Ou certains secteurs, BFI, gestion d’actifs, banque de détail… sont-ils plus avancés dans les projets ?

La révision de la directive était un rendez-vous prévu par MIFID1. Dans ce cadre, les travaux ont été lancés par la Commission européenne dès 2010, et la Commission européenne a présenté son projet de refonte dès septembre 2011. Le temps ainsi consacré à l’élaboration du texte définitif – adopté en avril 2014 -, conjugué aux travaux de communication et d’accompagnement réalisés par l’AMF, a permis à la Place d’anticiper, et explique l’implication des différents acteurs aujourd’hui, et ce quel que soit le secteur d’activité. Le marché français est sensibilisé à MIFID2. Il reste cependant en attente des textes permettant de préciser les modalités d’application, attendus de la part de la Commission européenne. Il est toutefois à noter que certaines évolutions importantes du texte européen sur les aspects de protection des investisseurs sont proches de ce qui existe en France, qu’elles figurent dans les textes ou la doctrine, ou au titre des bonnes pratiques.

MIFID2 peut-elle être aujourd’hui perçue comme une opportunité pour le marché français ?

Oui, tout à fait. La volonté du législateur européen est d’assurer d’une part une meilleure intégration des marchés en Europe, et d’autre part une harmonisation plus grande des règles qui devraient permettre aux acteurs français, plutôt bien préparés aux évolutions à venir, de se développer en Europe.

En outre, les nouvelles règles applicables en matière d’information, y compris périodique, de la clientèle, pourront être pour les prestataires l’occasion de contacts plus fréquents avec leurs clients, ce qui leur permettra d’affiner leur offre, et de promouvoir la commercialisation de produits adaptés.

Selon vous, quelles sont les zones de vigilance pour les établissements ? C’est-à-dire les mesures ayant des impacts significatifs nécessitant de lourdes adaptations (processus, systèmes d’information), mais qui pourraient être sous-estimés par les établissements ?

Le premier point de vigilance porte sur les obligations en matière de reporting qui seront plus exigeantes, tant en ce qui concerne le périmètre de ces reportings que leur contenu. Les établissements doivent en avoir pleinement conscience dans leur préparation.

Le second vise la meilleure exécution et les obligations à venir en matière de publications à mettre en place. C’est nouveau. L’AMF accompagnera les acteurs dans la mise en oeuvre mais une prise de conscience de leur part des enjeux est indispensable.

Les mesures relatives à la protection de la clientèle (gouvernance produits, informations sur les frais, information sur le conseil dépendant / indépendant) sont significatives et visent un objectif louable. Comment s’assurer d’atteindre l’objectif visé à savoir que l’information fournie soit réellement utile au client ?

La protection de l’investisseur est en effet un sujet majeur de MIFID2 et les textes développent les attentes de manière très détaillée. Ce niveau important de détail des textes n’a pas pour objectif d’augmenter la quantité d’information fournie, mais d’améliorer son homogénéité d’un intervenant à l’autre.

L’idée est de fournir des informations claires, précises et de permettre à l’investisseur de comparer des prestataires et des produits. C’est bien cet objectif qui ne doit pas être perdu de vue. La lisibilité pour l’investisseur est un aspect fondamental du texte.

Où en sommes-nous des travaux de transposition ? Peut-on craindre des divergences entre pays membres ?

Les travaux de transposition sur les textes adoptés par les législateurs (« niveau 1 ») ont débuté sous le pilotage de la direction du Trésor. L’AMF y contribue de façon importante en rédigeant un premier projet de texte législatif de transposition. S’agissant des mesures d’application («niveau 2»), leur éventuelle transposition dépendra du choix de la Commission européenne de les publier sous la forme de directive et/ou de règlement. Dans l’intervalle, l’AMF multiplie les échanges avec la place et les associations professionnelles afin de faire remonter les points qui pourraient poser problème ou qui suscitent de l’inquiétude. Le calendrier en est une : l’échéance de 2017 demeure et seule la Commission pourrait intervenir et modifier cette date. Elle a récemment évoqué avec le Parlement un décalage d’une année de la date d’entrée en application, mais la suite qui sera donnée à cette demande ne dépend pas de l’AMF.

Au niveau européen, l’ESMA a lancé un chantier auquel participe l’AMF, afin d’assurer la convergence des positions des États membres. Ce chantier donnera lieu à la publication de questions/réponses et/ou d’orientations de la part de l’ESMA, qui permettront de limiter les incertitudes et donc les écarts d’interprétation des textes d’un pays à l’autre.

Comment sont gérées les interactions avec d’autres textes, notamment Priips et surtout IDD, avec lesquels émergent de fortes zones de convergence ?

Il y a une vraie volonté au niveau européen d’assurer une protection homogène des investisseurs / clients quel que soit le support. Cette volonté forte se lit d’ailleurs dans MIFID2 puisqu’il est indiqué dans le texte que les mesures prises dans le secteur de l’assurance devraient s’en inspirer. L’avis technique de l’ESMA à la Commission fait lui aussi certaines référence aux dispositions déjà établies par les autres régulations (notamment en ce qui concerne les informations relatives aux coûts et charges), de manière à favoriser la cohérence entre les textes.

En France, dans le cadre notamment du pôle commun, l’AMF travaille conjointement avec l’ACPR afin d’assurer la convergence des approches de supervision des différents acteurs, en particulier dans le domaine de la commercialisation. Au niveau européen le Joint Committee qui regroupe l’ESMA, l’EBA et l’EIPOA vise ce même objectif. Il faut éviter tout risque d’arbitrage entre supports avec un objectif de protection analogue des investisseurs quel que soit le secteur d’activité des acteurs financiers.

Quelles sont les points d’attention pour un déploiement réussi de MIFID2 dans le respect du calendrier réglementaire très ambitieux ?

Même si tous les textes attendus ne sont pas publiés, la matière est déjà riche (textes de niveau 1, standards techniques, avis de l’ESMA à la Commission…) et justifie complètement un investissement des acteurs sur le sujet dès à présent. En effet, il faut très vite analyser les textes et en dégager les impacts sur l’organisation, mais parfois aussi la nature même des activités des acteurs (on peut penser en particulier à la nécessaire évolution des broker crossing networks…). Cette anticipation est nécessaire pour tirer parti des évolutions issues de MIFID2, et éviter de subir passivement le texte.

Cet article Interview de Claire Glaser, de l’Autorité des Marchés Financiers est apparu en premier sur RiskInsight.

Le conseiller, acteur principal dans la relation d’un client avec sa banque

Piloter la relation client se décline donc en piloter l’activité des conseillers afin de renforcer leur valeur ajoutée : orienter les conseillers vers les gestes métiers les plus importants mais également orienter leurs actions vers les clients ayant de réels besoins.

Parfois considéré de façon simpliste comme un moyen de « surveillance rapprochée » des conseillers, ce pilotage a pour objectifs d’augmenter la qualité de service perçue par le client, d’améliorer l’efficience de l’entreprise et sa performance commerciale. Le conseiller devient alors un levier de différenciation par rapport aux concurrents. L’allocation fine des ressources et la gestion des compétences viennent sous-tendre cette démarche.

Les canaux digitaux ne sont pas en reste bien évidemment. Un pilotage opérationnel omnicanal (mobile, internet, sms, téléphonie…) est mis en œuvre afin d’identifier son efficacité (accessibilité, productivité, taux de transformation, qualité de service…) et d’allouer les activités à bon escient.

La vision client 360 en support de l’activité du conseiller

Afin d’être plus efficient, le conseiller a besoin de personnaliser la relation avec chacun de ses clients. Devancer ses besoins, lui proposer la meilleure offre au meilleur moment…Tous ces gestes nécessitent de disposer d’une vision consolidée des informations relatives au client.

Cette connaissance client se construit au travers de trois grandes typologies de données :

• Données de gestion et d’équipements telles que les données contenues dans les référentiels clients (son profil, ses segments de clientèle, son scoring…), les données d’équipement (les produits, offres et services souscrits…)
• Données de navigation (parcours web et mobile). Peuvent par exemple être cités les mesures du trafic web & mobile, les étapes du parcours clients, les retours des agences publicitaires…
• Données externes provenant des réseaux sociaux ou des partenaires : activités sur les réseaux sociaux, initiatives Open Data de tiers, achat de données à des partenaires.

Il convient également de traiter ces données pour disposer des éléments permettant de prendre les bonnes décisions. La centralisation de la connaissance client permet ainsi d’optimiser les actions marketing :

• Prescription commerciale : pousser des offres qui correspondent aux attentes du client avec une gestion de l’intensité commerciale en multicanal
• Accompagnement proactif : traitement proactif de l’insatisfaction par segment de client (possibilité d’offrir une compensation financière en cas d’insatisfaction des clients comme identifiés à haute valeur)
• Bienveillance : attention particulière portée au client dans les moments clés de sa vie ou de l’utilisation de ses services (ex : déménagement).

Une intelligence relationnelle présente sur l’ensemble des canaux

Tous les segments de clientèle ne seront pas animés avec la même acuité par les conseillers. Les canaux digitaux doivent également proposer une expérience client personnalisée. À ce titre, cette connaissance client et les actions d’analyse et de contact qui en découlent doivent bien évidemment être pensées de façon multicanale.

D’un point de vue SI, l’avènement des technologies de type Big data vient apporter des réponses SI aux problématiques de forte volumétrie et de croisement des données.

Une cohérence de discours sur toute la sphère digitale

Le digital dépassant les limites des SI de chaque banque, la Data Marketing Platform fait son entrée en scène.

Il s’agit d’une plate-forme technologique (basée sur les technologies Big data) qui collecte les données sur des profils anonymisés, pour les segmenter puis lancer des actions marketing ciblées. Elle apporte donc des éléments de réponse dans l’écosystème digital sur différents enjeux :

• Acquisition de nouveaux clients : en découvrant les meilleurs prospects et en améliorant les taux de conversion
• Retargeting personnalisé grâce à des mécanismes de cookies permettant la conversion des anonymes
• Fidélisation des clients en améliorant la valeur du client dans le temps et en augmentant la part de son panier moyen
• Cohérence des actions grâce à l’optimisation des dépenses digitales et la proposition d’une expérience cross-canal homogène

 Et demain…

Instinctivement, le pilotage de la relation client évoque la notion de client en tant qu’individu ayant déjà souscrit à des offres ou des services de la banque. Or de plus en plus, la notion de tribu ou de cercle d’influence (dans le cadre de la montée en puissance des réseaux sociaux) émerge. La relation ne concerne plus l’individu mais peut se piloter à la maille d’une communauté de clients (lien familial, amical, d’intérêt…).

Cet article Piloter la relation client : mobiliser le meilleur du digital au service de l’humain est apparu en premier sur RiskInsight.

La Directive de Services des Paiements : une première initiative

L’adoption par le Parlement Européen en 2007 de la Directive de Services des Paiements (DSP) et sa transposition sur le plan national en 2009 avait pour objectifs majeurs d’harmoniser les services de paiements de l’Union Européenne et de stimuler la concurrence. Mise à part le fait qu’à partir de cette adoption, il est possible d’effectuer et recevoir des paiements d’Allemagne, d’Espagne, du Royaume-Uni… aussi aisément qu’en France ; un nouveau statut d’Établissement de Paiement (EP) a été créé. Il permet à de nouveaux acteurs autres que les banques et les établissements de crédit de fournir des services de paiement. En France, les EP sont agréés par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).

L’héritage de cette première version concernait 3 types de Fintech : celles proposant des opérations de paiements associés à un compte (ex : Slimpay qui permet de générer des mandats de prélèvements électroniques), les transferts de fonds et les émissions d’instruments de paiement (ex : portefeuille électronique). Les plateformes de financement (crowdfunding) qui ne fournissent pas de services de paiement n’entrent pas dans le champ d’application de la DSP1. Elles sont par ailleurs réglementées par l’ordonnance du 30 mai 2014 en tant que service de financement. Celles qui perçoivent des fonds bénéficient jusqu’à présent d’une dérogation, du fait que le montant total de leurs opérations de paiement soit inférieur à 3 000 000 € sur un mois (article 26 de la DSP1).

De nouveaux types d’acteurs, un nouveau cadre réglementaire

Le développement des Fintech a fait apparaître de nouveaux services de paiements depuis la DSP1 : les services d’information sur les comptes (ex : agrégateur de données Bankin’) et les services d’initiation de paiement (ex : Sofort), autrement appelés les tiers de paiement (Third Party Providers ou TPP). Ces nouveaux acteurs, se connectant aux banques des utilisateurs via leur login/mot de passe bancaire, ne sont pas pris en compte par la DSP1 et engendrent de nouveaux risques (données n’étant plus sous la protection du secret bancaire, problématique liée aux responsabilités en cas de fraude, etc.).

La DSP2 (adoptée par le Parlement Européen le 8 octobre 2015 et qui devrait être transposée dans le droit national fin 2017) stimule toujours la concurrence tout en fournissant un nouveau cadre réglementaire adéquat entre les TPP et les banques. Concernant la DSP1, les contrôles sont effectués par l’ACPR, la CNIL et la DGCCRF et les sanctions peuvent aller jusqu’au retrait d’agrément de l’Établissement de Paiement (EP). La nouvelle version de la Directive laisse aux États membres la charge de définir le régime de sanctions à appliquer en cas de son non-respect, sanctions qui ne sont donc pour l’instant pas connues.

Extrait de l’article 103 de la Directive : « Les États membres déterminent le régime de sanctions applicables en cas d’infraction aux dispositions de droit national visant à transposer la présente directive et prennent toutes les mesures nécessaires pour en assurer l’application. Ces sanctions sont effectives, proportionnées et dissuasives ».

Une obligation pour les banques qui ouvre de nouvelles opportunités : la coopétition

La DSP2 impose aux banques de transmettre de façon sécurisée les données seulement nécessaires à l’activité des TPP et de rembourser le payeur en cas d’incident de paiement dans un délai de 1 jour (excepté si la responsabilité du TPP est engagée dans un incident de paiement, auquel cas, il doit lui-même rembourser immédiatement la banque). Pour autant, la directive ne précise pas les exigences techniques de sécurité auxquelles devront se soumettre les banques et les TPP. Le contenu des guidelines de l’Autorité Bancaire Européenne (prévus pour fin 2016) sera déterminant : les normes techniques devront prendre en considération l’éventail des risques inhérents aux nouveaux services de paiement.

Cette obligation peut être vue comme une opportunité pour les banques de développer des Open API. L’Open API est une interface de programmation qui permet à des tiers d’accéder à des ressources internes. Cet accès n’est pas forcément autorisé en lecture et en écriture à l’intégralité des données. La plupart du temps, il est limité et nécessite l’accord de l’utilisateur.

Les banques peuvent utiliser et promouvoir ces mécanismes afin de renforcer leur compétitivité, leur image de marque et proposer de nouveaux services plus rapidement en offrant la possibilité aux développeurs externes de créer de nouvelles applications à partir de l’Open API et en les rémunérant en échange. Ce mouvement est essentiel pour que les banques gardent la main sur l’innovation et les nouveaux services pour continuer à se différencier. Certaines banques ont déjà initié une démarche proactive et innovante en mettant en place un Open API soit ouvert au public (CA Store, Fidor Bank) soit restreint à des partenaires (Bradesco, Garanti).

Cet article La DSP2 : une directive sur les services de paiements qui prône la concurrence est apparu en premier sur RiskInsight.

Touchée par la crise financière de 2008, la relation entre les établissements financiers et leurs clients fait depuis l’objet d’une inflation règlementaire.

Son encadrement obéit à une finalité essentielle : redonner confiance aux épargnants et investisseurs afin de stimuler la croissance.

Transparence et loyauté, tels sont les deux piliers du cadre règlementaire de la relation entre les établissements financiers et leurs clients. Ces deux piliers polarisent l’attention des régulateurs sur quatre thématiques que sont : l’information au client, le conseil, la gestion des conflits d’intérêts et la gouvernance des produits.

De ce fait, les banques et établissements de crédit créent un véritable pilotage de la conformité de la relation client sur ces quatre thématiques.

Devoir d’information : une obligation de plus en plus prégnante

En 1978, la loi Scrivener impose aux établissements de crédits de formaliser des mentions obligatoires sur les offres préalables de crédit ; ce devoir d’information s’étend rapidement à l’ensemble des acteurs des secteurs bancaires, financiers et assurantiels.

En 2014, la loi Eckert vient étendre l’obligation d’information aux contrats d’assurance vie en déshérence ainsi qu’aux comptes bancaires inactifs. (Les assureurs devront, à partir de 2016, adresser à leurs assurés une information annuelle concernant notamment la valeur de leur contrat. Concernant les comptes bancaires inactifs, les établissements devront informer leurs titulaires de l’inactivité du compte et du transfert le cas échéant des avoirs à la Caisse des dépôts et de consignation).

En 2017, MIF2 va plus loin dans la mesure où elle impose aux prestataires de services d’investissement de révéler à leurs clients les conditions de sélection des instruments proposés, ou encore la nature indépendante ou non du conseil donné.

De plus, la directive MIF2, impose aux prestataires de services d’investissement d’enregistrer les conversations téléphoniques et les communications électroniques liées à des transactions définies par la directive. Aucun doute n’est permis quant aux conséquences organisationnelles que cela entraînera pour les acteurs.

La récente évolution de la réglementation en la matière tend vers une standardisation plébiscitée par les acteurs. Il s’agit pour les régulateurs européens d’établir des règles trans-sectorielles pour des produits comparables. Ainsi émerge le principe de l’information standardisée et uniformisée pour donner la possibilité aux clients de comparer pour mieux arbitrer.

Devoir de Conseil : pierre angulaire de la protection des intérêts du client

Les nouveaux textes européens définissent les contours du devoir de conseil. Ainsi, MIF 2 définit la notion de conseil indépendant pendant que DIA 2 précise le contenu de cette obligation à la charge des assureurs. En matière de crédit, le conseil prend la forme d’une mise en garde ou d’un devoir d’éclairer au bénéfice du client.

De manière générale, il s’agit pour les établissements d’émettre une recommandation personnalisée dans une démarche active qui doit aboutir à une adéquation entre le profil du client et le produit finalement proposé. Dans ce contexte, la mise en œuvre des différentes exigences règlementaires imposera aux établissements de mettre en place des dispositifs efficaces de conduite du changement afin d’accompagner leurs collaborateurs dans la transformation de leurs métiers de conseil.

Gestion de conflits d’intérêt

La multiplication des intermédiaires dans la commercialisation des produits aussi bien financiers qu’assurantiels, constitue une source importante de conflits d’intérêt au détriment des clients.

Les nouveaux textes font de la rémunération des commerciaux et intermédiaires un point majeur. Ceci implique une refonte des modes de rémunération pour les différentes populations commerciales.

 Gouvernance des produits

La gouvernance des produits vise à intégrer les intérêts des clients dans la commercialisation mais également dans la conception des produits. Cela consiste à déterminer un marché cible et une stratégie de distribution appropriée aux produits proposés et aux marchés visés.

Cet article Piloter la relation bancaire client : une maîtrise nécessaire du paysage règlementaire est apparu en premier sur RiskInsight.

La notion de « crise » est perçue, dans nos sociétés modernes actuelles, de manière assez hétérogène, ce qui induit une certaine difficulté à en définir les contours précis. En effet, le terme de crise (économique, sociale, ou encore de réputation) est abondamment employé et ce, dans tous types de situations ou d’événements qui sont notamment relayés à la une des médias.

Étymologiquement parlant, le mot crise -issu du grec « Κρίσις »- associe les sens de « jugement » et de « décision » mis en œuvre pour dégager une décision entre plusieurs positions ou tendances opposées sinon conflictuelles.

Il s’agit bien ici d’exercer et donc d’entraîner une organisation à faire face à un ou plusieurs événements majeurs (quelles qu’en soient l’origine ou la nature – soudaine ou progressive), ayant des impacts considérables sur son fonctionnement et pouvant potentiellement mettre en péril ses ressources et donc ses actifs.

Pourquoi réaliser des exercices de gestion de crise ?

Avant tout parce qu’il s’agit du seul moyen tangible de s’assurer que les dispositifs mis en place sont opérationnels et en mesure de faire face à tous types de situations de crise. En effet, chaque organisation doit se préparer à gérer des situations complexes et déstabilisantes, y compris celles qu’elle n’a pas prévues voire imaginées.

Les objectifs d’un exercice de gestion de crise sont la validation du caractère opérationnel en termes organisationnel et humain des cellules de crise de l’entité dans le cas d’un événement majeur menaçant la bonne réalisation de tout ou partie de ses activités.

Les exercices permettent, dans un premier temps, de valider les procédures de remontée d’alerte jusqu’à la mobilisation des cellules de crise et, dans un second temps, de valider l’ensemble des procédures de gestion de crise prévues qui sont éprouvées tout au long de la session d’entraînement. Les exercices contribuent, bien évidemment, à faire monter en compétence les participants qui acquièrent, au fur et à mesure des exercices, l’expertise et les réflexes nécessaires à une gestion efficace de la situation.

Parce que la gestion de crise s’appuie sur des capacités humaines (capacité à anticiper, à prendre des décisions) et parce que chacun peut être amené à réagir de manière différente face à l’inconnu et au stress, s’entraîner c’est être prêt !

Enfin, il est à noter que la réalisation d’exercices de gestion de crise est une obligation réglementaire pour les établissements bancaires et financiers. Le régulateur s’assure que l’organisme a réalisé a minima une fois par an une action significative permettant d’attester que le dispositif a été éprouvé et qu’un plan d’actions d’amélioration a été établi. Idéalement, le niveau de difficulté des exercices devra être croissant et couvrir, à terme, les différentes typologies de crise.

Qui doit participer aux exercices de gestion de crise ?

Comme évoqué précédemment, les exercices de gestion de crise ont pour objectif d’éprouver les capacités d’une organisation à prendre des décisions dans un contexte inhabituel. Ils s’adressent donc en particulier aux membres des cellules de crises décisionnelles (CCD) qui sont généralement constituées des représentants du plus haut niveau de management de l’entité (Comité Exécutif ou Comité de Direction).

Lors d’un exercice de gestion de crise, les fonctions mobilisées au sein de la CCD peuvent varier selon le type de scénario joué ; cependant les expertises inhérentes aux ressources humaines, à la communication (interne et externe), au juridique, à la logistique, à l’informatique et au métier impacté sont habituellement sollicitées.

Afin de renforcer la robustesse du dispositif, il convient d’impliquer également les membres suppléants dans les exercices de gestion de crise, ceci permettant de se prémunir de tout défaut d’expertise au sein de la cellule de crise en cas d’indisponibilité du titulaire.

Il est aussi possible d’entraîner les cellules de crise opérationnelles qui ont pour rôle de mettre en œuvre les décisions prises par la cellule de crise décisionnelle.

Des exercices de crise au niveau national et international sont également organisés : le Groupe de Place Robustesse (composé d’établissements de crédit ou assimilés, d’infrastructures de marché, du HFDS du ministère de l’Économie et des Finances, de la Direction générale du Trésor, de la Fédération bancaire française, de la Banque de France, des autorités de supervision et de régulation telles que l’Autorité de contrôle prudentiel et de résolution et l’Autorité des marchés financiers) se réunit régulièrement pour améliorer la robustesse de la place financière de Paris et pour échanger sur les expériences menées tant au sein des établissements que sur les autres grandes places financières. Des exercices de grande ampleur sont ainsi réalisés annuellement (panne d’électricité,  pandémie H1N1, crue centennale de la Seine, Cyber-attaque…)

Quelles sont les étapes à réaliser pour la mise en place d’un exercice de gestion de crise ?

La première étape consiste à définir et valider les objectifs de l’exercice qui devront prendre en considération le degré de maturité de l’entité en termes de pilotage de crise (une ou plusieurs cellules de crise impliquées dans l’exercice). En effet, il s’agit de positionner le degré d’exigence attendu au niveau adéquat afin que les objectifs soient à la fois ambitieux mais atteignables (les objectifs doivent tenir compte des axes d’amélioration identifiés lors des précédents exercices afin de valider que les actions correctives ont bien été mises en œuvre).

La seconde étape consiste à retenir un macro scénario adapté à la fois au contexte de l’entreprise et aux objectifs fixés. Les scénarios envisageables sont divers et variés en fonction de l’origine (interne ou externe) et de la dimension (technique, économique ou sociale et organisationnelle) de la typologie de crise retenue. La palette de scénarios est vaste et s’étend du plus commun au plus inattendu :

• Incendie / explosion de gaz avec ou sans victime
• Cyber-attaque avec vols de données ou destruction du SI
• Panne informatique de grande ampleur
• Fraude interne ou externe
• Pandémie
• Mouvements sociaux
• Rumeur
• Catastrophe naturelle
• Attentats
• Enlèvement / séquestration voire disparition de dirigeants…

Le macro scénario est ensuite décliné en chronogramme détaillé qui reprend l’ensemble des stimuli qui seront adressés à la (ou aux) cellule(s) de crise tout au long de l’exercice (la durée de l’exercice peut s’étendre d’une à deux heures jusqu’à plusieurs jours !). Chaque stimulus constituant le chronogramme devra être formulé de manière concise et précise en reprenant les termes propres à l’entité (processus, noms et contacts des personnes simulées…) permettant ainsi de se rapprocher au maximum de l’organisation et de la configuration réelle de l’entité.

La phase d’animation consiste à jouer le scénario tel qu’il est prévu au sein du chronogramme. Une cellule d’animation, qui représente à la fois le monde extérieur et les autres acteurs de l’organisation, adresse aux cellules de crise testées (via mails, appels téléphoniques, captures d’écran d’articles de presse…) les stimuli en fonction du timing prédéfini. Les membres des cellules de crise jouent leur propre rôle et les observateurs présents dans la salle de crise consignent leurs observations en vue du débriefing. L’équipe d’animation veille à ce qu’aucune information ne sorte du cadre de l’exercice ceci permettant d’éviter tout déclenchement de crise « réelle ».

A l’issue de l’exercice, un débriefing à chaud est animé par le directeur de l’exercice au cours duquel chaque participant interagit et alimente les débats. Un rapport d’exercice reprenant les forces et faiblesses du dispositif est par la suite formalisé et adressé aux membres de la cellule de crise.

Les constats réalisés au cours des exercices permettent d’identifier les failles potentielles du dispositif qui font l’objet d’un plan de recommandation priorisé. L’entité devra établir, mettre en œuvre et suivre un plan d’action lui permettant de s’assurer de la résilience du dispositif mis en place. L’efficacité et la robustesse du dispositif de gestion de crise devront ensuite être éprouvées au cours des prochains exercices.

Cet article Les exercices de gestion de crise : pourquoi, pour qui, comment ? est apparu en premier sur RiskInsight.

TLAC, un nouveau matelas de sécurité

Le TLAC « Total Loss-Absorbing Capacity » s’appliquera dès 2019 aux 30 banques systémiques G-SIB – dont quatre françaises, BNP Paribas, BPCE, Crédit Agricole et Société Générale.

Elles devront détenir un coussin de fonds propres et instruments assimilés supplémentaires. Ce coussin devra correspondre à un pourcentage compris entre 16 et 20 % de leurs actifs pondérés en risque (ou RWA) et au moins deux fois le niveau du ratio de levier minimum (6% des expositions de levier, le ratio de levier étant, à ce stade prévu à 3%).

Le TLAC s’ajoute aux exigences en capital minimales fixées par Bâle III mais22 exclut les coussins spécifiques prévus dans le calcul réglementaire (coussin de conservation des fonds propres et coussin contra-cyclique).

L’objectif est de constituer un coussin de capital suffisamment large pour absorber les pertes financières en cas de défaillance d’une banque systémique.

Les instruments financiers éligibles au TLAC ont un périmètre plus large que ceux pris en compte dans le calcul du ratio total de fonds propres Bâle III. En plus des instruments Bâle III (CET 1, ADT 1, Tier 2), toutes les dettes subordonnées peuvent être éligibles sous certaines conditions.

TLAC : quels impacts sur le modèle bancaire ?

La mise en place de cette nouvelle exigence réglementaire impacte fortement le modèle bancaire sur plusieurs plans : juridique, organisationnel, rentabilité des actifs, structure du bilan… En voici quelques illustrations :

Fin du Bail-Out 

Dans le cadre du TLAC, le bail-out est remplacé par le bail-in. Le bail-out consiste en une recapitalisation des banques par l’État en cas d’insolvabilité ; tandis que le bail-in vise à un renflouement des dettes de la banque par ses créanciers. On peut noter finalement un certain alignement entre les titres de type actions et les titres de dettes, ce qui est une novation juridique.

Ce système de renflouement interne a déjà été adopté en Allemagne, Irlande, Danemark et partiellement au Royaume-Uni. Il est prévu en France à partir de 2016.

La fin du bail-out implique une augmentation du risque de détention des titres pour ses créanciers qui doit être rémunéré par un rendement supérieur (prime de risque).  Cette prime de risque augmente mécaniquement le coût du capital et baisse la rentabilité des actifs des banques.

L’introduction de la possibilité d’appeler les créanciers introduit une nouvelle forme d’instruments financiers, appelés hybrides ou dettes contingentes, dont la rémunération varie en fonction du niveau du capital réglementaire.

Nouvelle structure juridique « Holding de tête »

Afin de faciliter une éventuelle résolution (dissolution de l’établissement), les banques systémiques en France devront adopter une structure juridique inspirée du modèle américain « Holding Company » ou Holding de tête. Cette nouvelle structure dédiée à la résolution aura un rôle d’émettrice des dettes subordonnées.

Crédit Suisse, UBS ou Barclays s’y sont déjà préparées en créant de telles holdings. En effet, elles présentent l’avantage d’être simples à mettre en résolution, puisqu’elles ne portent que du capital et de la dette. Elles peuvent également émettre des obligations ordinaires, ce qui leur donne accès à un large marché.

Enfin, une organisation abandonnant des licences bancaires locales avec une seule entité régionale permet de réduire de manière importante les exigences en capital et d’augmenter mécaniquement la rentabilité des établissements.

Toutefois, ces holdings engendrent des coûts de mise en place, de possibles frottements fiscaux et un risque de complication de l’optimisation de la gestion actif-passif à l’échelle du groupe.

Un contexte réglementaire propice au changement !

Au-delà du TLAC, un second ratio « d’exigence minimale de fonds propres et passifs exigibles» ou MREL en anglais sera imposé aux banques par la « la Directive BRRD » traitant des faillites bancaires; ce ratio devra représenter 8% des passifs de l’établissement.

Les grandes banques européennes anticipent déjà sa mise en place et profitent des conditions de marchés favorables grâce aux opérations de rachats de titres mises en place par la Banque Centrale Européenne (BCE). Afin d’atteindre ces objectifs, les banques européennes ont le choix entre accroître leurs fonds propres durs et émettre des instruments hybrides tier 1 et tier 2.

De manière plus globale, il semble que le débat porte davantage sur la qualité des fonds propres que sur le montant de ceux-ci, c’est-à-dire sur la définition même du capital réglementaire avec une nécessaire homogénéisation entre les pays européens souhaitée par la BCE.

On le voit bien, le débat sur les banques « trop grosses pour être gérées » devrait durer encore longtemps avec pour objectif ultime de ne pas appeler les États (et donc les citoyens) en cas de faillite mais bien leurs créanciers.

Les banques doivent donc, au-delà des calculs et simulations sur l’optimisation de leur capital réglementaire, étudier les impacts et changements structurels sur leur gouvernance et organisation, leurs relations avec leurs investisseurs, les possibilités offertes par les nouveaux instruments financiers, la compatibilité de leurs activités avec ces nouvelles réglementations.

Cet article Le TLAC s’attaque au modèle bancaire est apparu en premier sur RiskInsight.

PayPal, PayLib : un réflexe qui s’installe

Selon l’enquête, 97% des Français disposent au moins d’une carte bancaire classique (type Visa ou MasterCard), 36% en ont plusieurs. 95% des cyberacheteurs l’utilisent pour leurs achats en ligne. Néanmoins, pour ces mêmes achats en ligne, plus d’ 1 sur 2 (52%) déclare utiliser fréquemment des solutions de paiement sécurisées, au 1^er rang desquelles se trouve le leader incontesté PayPal. Dans le giron d’eBay depuis 2002 et rassemblant plus de 7 millions d’utilisateurs, PayPal fait figure de poids lourd dans ce secteur…non sans réaction de la part des banques. Le rassemblement de BNP Paribas, La Banque Postale et la Société Générale autour de PayLib, très récemment rejointes par le Crédit Agricole, en est l’exemple emblématique. Une réaction en phase avec les attentes exprimées par les Français, qui citent à 60% leur banque comme l’acteur le plus apte à assurer la sécurité de leurs transactions.

Le NFC encore à la marge

Annoncé comme un vecteur de fluidité pour le consommateur, le NFC (Near Field Communication ou communication sans contact) peine à trouver son public dans le cadre du paiement.

1 Français sur 3 se déclare équipé d’une carte de paiement sans contact, alors que près de 50% des clients en disposent réellement, selon l’Observatoire du NFC. Dans plus de 80% des cas, le NFC est attribué automatiquement au renouvellement de la carte bancaire, sans information spécifique. Si elles veulent en généraliser l’usage, les banques devront donc fournir un réel effort de pédagogie et de communication.

Seul 1% des Français envisage leur téléphone comme un terminal de paiement potentiel pour les achats de faible montant. Pourtant, le paiement via smartphone, semble incontournable avec le développement du m-commerce. Un terrain sur lequel beaucoup d’acteurs non-bancaires se sont déjà engagés avec des propositions telles qu’Apple Pay, Orange Cash ou flash’Npay imaginée par Auchan et un domaine où 70% des Français attendent une prise de position de leur banque.

Le défi des banques : s’unir et innover pour mieux résister

Sur le terrain des moyens de paiement, le prochain défi des banques est plus que jamais celui de la simplicité, de la fluidité et de l’innovation dans les services associés. Les grandes enseignes bancaires pourraient user de leur légitimité sur le secteur du paiement, pour être davantage présentes sur tous les types de supports (carte bancaire, smartphone,…) et situations de paiement, en ligne, en points de vente physiques et de particulier à particulier.

Aujourd’hui, créer de la valeur supplémentaire autour du paiement pourrait donc être une voie à suivre pour les banques. Une stratégie qui gagnerait à être renforcée par des accords inter-banques et des partenariats pour résister aux géants du web qui donnent un nouveau visage à la concurrence.

Cet article Moyens de paiement : les Français attendent plus de leur banque est apparu en premier sur RiskInsight.

Concernant les comptes bancaires inactifs, la loi renforce les obligations des professionnels à l’égard des épargnants (principalement par une obligation d’information) et prévoit le plafonnement des frais prélevés par les banques.

La loi met alors en place un dispositif en trois temps : constatation du caractère inactif du compte bancaire ; dépôt des fonds à la Caisse des Dépôts et Consignations (CDC) à l’issue d’un délai variable; et transfert des sommes à l’État en application de la prescription trentenaire.

Les principales dispositions prévues par la loi

Pour être considéré comme inactif, le compte bancaire ne doit faire l’objet d’aucune opération, (à l’exception des inscriptions d’intérêts et débits par l’établissement tenant le compte, de frais et commissions de toutes natures ou versements de produits, ou remboursements de titres de capital ou de créance), à l’initiative de son titulaire (ou personne habilitée).

Le titulaire ne doit pas non plus s’être manifesté et doit n’avoir effectué aucune autre opération sur un autre compte ouvert à son nom dans l’établissement pendant 12 mois.

Ce délai est porté à 5 ans (à compter du terme de la période d’indisponibilité) pour les comptes titres, comptes sur livret, produits d’épargne réglementée, bons de caisse et comptes à terme et à 10 ans pour les coffres forts (sous réserve que les frais de location n’aient pas été payés au moins une fois sur cette période).

En cas de décès du titulaire du compte, le compte bancaire est également considéré comme inactif si, 12 mois après le décès, les héritiers ne se sont pas manifestés.

La consultation du RNIPP obligatoire

Les établissements concernés doivent consulter chaque année le répertoire national d’identification des personnes physiques (RNIPP) afin de s’assurer que l’inactivité d’un compte n’est pas liée au décès du titulaire.

Ce répertoire est constitué à partir des registres d’état-civil et recense notamment les décès des personnes nées en France et dans les collectivités d’outre-mer.

Les modalités de cet accès doivent encore être précisées par un décret en Conseil d’État.

Les frais prélevés sur les comptes inactifs bientôt encadrés ?

La loi prévoit que le plafond des frais prélevés sur les comptes inactifs sera fixé par décret en Conseil d’État.

Quelles modalités de transfert des avoirs inscrits sur les comptes inactifs à la Caisse des Dépôts et Consignations ?

Si le transfert est déjà possible, il n’est pas obligatoire. Ainsi, selon la CDC, 29 millions d’euros seulement ont été transférés dans ce cadre entre 2006 et 2012.

La loi Eckert prévoit que 10 ans après la dernière opération ou la dernière manifestation (3 ans en cas de décès), les avoirs des comptes inactifs sont transférés à la CDC.

Ce n’est que 30 ans après la dernière opération, la dernière manifestation ou la date du décès, que les sommes sont définitivement acquises par l’État.

Le transfert à la CDC du produit de la liquidation des avoirs en instruments financiers s’effectue dans les 3 mois qui suivent l’expiration des périodes de 3 ou 10 ans. La CDC doit alors organiser une publicité appropriée pour permettre au propriétaire des avoirs ou à ses ayant droit de les récupérer. (Informations et documents d’identification du titulaire à conserver par l’établissement).

Devoir d’information

Six mois avant le transfert des avoirs à la CDC, l’établissement doit informer, par tout moyen, le titulaire (ou personne habilitée) du constat et des conséquences liées à l’inactivité du compte.

Néanmoins, et contrairement aux assureurs, les établissements n’auront pas l’obligation de rechercher les ayant droit, une fois informés du décès d’un client.

Ils devront publier annuellement le nombre de comptes inactifs ouverts dans leurs livres, le montant total des dépôts et avoirs inscrits sur leurs comptes, ainsi que le nombre de comptes et le montant des avoirs transférés à la CDC. En effet, les notaires obtiennent des informations auprès de la CDC.

Les conséquences de la loi

Vers une harmonisation des pratiques ?

Si les établissements adoptent déjà leur propre définition de l’inactivité et facturent pour la plupart des frais de tenue de compte inactif, (68,75 euros par an en moyenne au 1er juin 2014 dans les 20 principales enseignes facturant ce service), la loi Eckert vient harmoniser la pratique en instaurant une nouvelle approche et imposant de nouvelles obligations aux établissements.

La loi vient notamment instaurer un délai commun et obligatoire dès son entrée en vigueur en 2016.

C’est pourquoi certains comptes considérés aujourd’hui comme inactifs et facturés en conséquence ne le seront bientôt plus au sens de la loi. Des zones d’ombre apparaissent alors et seront éclairées par un décret d’application.

Les établissements devront non seulement adapter leur tarification, mais aussi faire l’inventaire des comptes inactifs qu’ils détiennent déjà, et à l’égard desquels ils auront bientôt de nouvelles obligations.

Anticiper les contrôles de l’ACPR ?

Dans la mesure où l’ACPR a effectué de très nombreux contrôles, lourds de conséquences, pour les assureurs, il est légitime d’attendre des contrôles similaires dans le secteur bancaire. La question de la mise à jour des bases et référentiels client et du traitement des NPAI est donc à anticiper sans trop attendre…

Cet article Loi Eckert : comment lutter contre l’argent qui dort ? est apparu en premier sur RiskInsight.

BPCE mise sur Twitter pour faciliter les transactions

La banque française BPCE s’appuie sur un nouveau service de transfert d’argent entre particuliers grâce à son service de porte-monnaie électronique S-Money. Tout client du porte-monnaie électronique pourra transférer de l’argent à un autre client de S-Money grâce à l’envoi de tweet au format suivant : « @SMoneyfr #envoyer X€ @destinataire ». Pour Nicolas Chatillon, DG de S-Money, cette innovation se fond parfaitement avec Twitter : « la simplicité d’usage et l’instantanéité de la solution de paiement entre particuliers S-money s’intègrent parfaitement dans les parcours d’utilisation de Twitter. » Au-delà de faciliter le transfert d’argent entre particuliers, cette nouvelle fonctionnalité devrait permettre des dons caritatifs ou du crowdfunding.

Après l’envoi du tweet, l’application S-Money s’ouvre (afin de sécuriser le paiement) et pré-intègre les informations saisies dans le tweet, l’utilisateur n’a plus qu’à valider le paiement/transfert d’argent.

Rakuten Group & Instabank : des initiatives à l’avant-garde

Avant BPCE, d’autres acteurs se sont positionnés sur le segment du paiement sur les réseaux sociaux. Rakuten Group a récemment noué un partenariat avec Facebook pour permettre à ses clients de réaliser des transferts d’argent depuis le réseau social de Zuckerberg. Instabank, la start-up russe, propose des services bancaires online et social. Elle vise le mariage des activités quotidiennes sur les réseaux sociaux et la gestion financière des comptes. L’application propose d’effectuer des transferts d’argent, des paiements en ligne grâce aux comptes Facebook ou Foursquare. En créant un compte sur l’application, Instabank fournit une carte bleue virtuelle à ses clients, sur laquelle ils peuvent créditer leur argent réel et ainsi réaliser des transferts de fonds à des amis ou des paiements directement depuis Facebook.

Début mars, Visa a répliqué en annonçant être prêt pour organiser des transferts d’argent depuis n’importe quel réseau social (Facebook, Twitter, LinkedIn) ou système de messagerie instantanée comme WhatsApp. Cette information révèle à quel point le paiement sur les réseaux sociaux devient un enjeu pour les marques mais aussi et surtout pour les acteurs clé du paiement comme Visa.

 Tendance de fond ou cas isolé : la parole aux chiffres

Au moment de réfléchir aux véritables enjeux de ce type de phénomène, il est intéressant de s’attarder sur quelques chiffres assez évocateurs.

Tout d’abord, le taux d’équipement en smartphone ne cesse de croître. Selon le Baromètre du marketing mobile (Mobile Marketing Association), 1 français sur 2 possède un smartphone, et 1 foyer sur 3 dispose d’une tablette. Les marques ont donc un besoin croissant d’être présentes sur le mobile (via des apps ou webapps).

Par ailleurs, le m-commerce est en forte hausse (+120% de chiffre d’affaires au premier trimestre 2013 selon une étude publiée par la FEVAD). Quand le e-commerce doit croître de 9% en 2014, le m-commerce s’attend à une croissance de 106%. Les transactions sur mobile se généralisent donc et les freins au m-commerce sont en passe d’être levés.

Enfin, les réseaux sociaux (Facebook et Youtube en tête, Twitter dans une moindre mesure) voient leur communauté croître de manière significative. Mieux encore, les internautes utilisent de plus en plus les réseaux sociaux depuis leur mobile. Le trafic de Facebook est ainsi généré à 65% à partir du mobile (smartphone ou tablette).

Il est donc facile d’en conclure que les français sont toujours plus outillés en terminaux mobiles, qu’ils s’adonnent de plus en plus au shopping via ces devices et qu’ils sont de plus en plus attentifs aux réseaux sociaux, toujours principalement en situation de mobilité.

Doit-on pour autant déduire que le paiement sur les réseaux sociaux est une nouvelle tendance forte ?

Développer de nouveaux modèles qui replacent les besoins-client au cœur du système : un impératif pour les banques et fournisseurs de solutions de paiement

Certains acteurs du social media comme Twitter commencent à se poser la question d’intégrer des fonctionnalités avancées de paiement directement depuis leur plateforme. En septembre dernier, le site de micro-blogging a annoncé le lancement d’un test à petite échelle afin de valider l’intérêt d’un nouveau bouton Buy. Le twittos peut ainsi sélectionner des produits directement depuis sa timeline, saisir ses informations de paiement et de livraison, lesquelles sont directement transmises au e-commerçant.

Plus récemment, Facebook a également annoncé le lancement à venir d’une nouvelle fonctionnalité de transfert d’argent entre amis. L’objectif est de faciliter les transactions grâce à la plateforme sociale. L’utilisateur pourra enregistrer ses coordonnées bancaires et sélectionner « l’ami » à qui il souhaite verser une somme. Une nouvelle étape vers des achats intégrés depuis le réseau social ?

En se rapprochant de Twitter, BPCE se positionne clairement comme une banque innovante en lançant ce nouveau service. Pour autant, quel est l’intérêt pour le client d’utiliser ce service ? Un certain nombre d’applications bancaires permettent aujourd’hui de réaliser des transferts d’argent très simplement et très facilement : les clients n’ont pas à mémoriser et à saisir un tweet normé avec des handles et des hashtags spécifiques pour réaliser un virement à leur ami. Par ailleurs, en utilisant ce service, la publication du tweet générant le paiement est aujourd’hui publique, ce qui peut soulever des craintes chez les utilisateurs.

En effet, les réseaux ne sont pas forcément perçus de manière spontanée comme des acteurs légitimes et crédibles sur le domaine du paiement. Selon l’enquête Solucom – OpinionWay menée auprès de 2000 Français autour des moyens de paiement, seuls 5% des répondants seraient disposés à utiliser les réseaux sociaux afin de régler des achats ou de transférer de l’argent.

Néanmoins, avec ce service, BPCE se place là où de plus en plus de clients sont présents, à savoir sur les réseaux sociaux, et cette première étape n’est que la première pierre d’une tendance de fond qui risque fort de se développer. Toujours selon l’enquête Solucom-OpinionWay, près d’un Français sur 2 est en effet convaincu que le développement des transactions mobiles va connaître un essor croissant dans les années à venir. Il y a fort à parier que les réseaux sociaux sauront tirer parti de cette opportunité.

Cet article Le paiement sur les réseaux sociaux : nouvelle tendance ou épiphénomène ? est apparu en premier sur RiskInsight.

Une volatilité qui prend de l’ampleur

Selon l’enquête, moins d’un quart des clients d’enseignes traditionnelles se disent prêt à recommander leur banque à leur entourage. Un chiffre « effet glaçon » vérifié par le NPS (Net Promoter Score[1]) : les banques comptent plus de détracteurs que de promoteurs. Des clients peu enthousiastes et donc susceptibles de céder à la tentation de la volatilité : au cours des 12 derniers mois, 1 Français sur 4 a envisagé de quitter sa banque. À l’heure où banques en lignes et nouveaux entrants se bousculent pour investir le paysage bancaire, nombreux sont ceux qui ne considèrent plus leur banque comme le partenaire d’une vie. Les causes de ce désaveu ? Le coût des frais bancaires arrive en tête de liste (cité à 35%), suivi par la faible qualité de service (29%) et par l’attrait d’une offre concurrente (14%).

Alors que les banques s’engagent vers des stratégies de diversification de leurs activités parfois mal comprises (2/3 des Français ne sont pas favorables), les clients tirent la sonnette d’alarme sur le cœur même de l’activité des banques. Plus exigeant sur la personnalisation des services proposés ; plus affûté sur le fonctionnement des frais bancaires, globalement mieux informé grâce à Internet, le désormais « consom’acteur » entend imposer à la banque une nouvel équilibre des forces. Valoriser la fidélité, adopter une posture résolument tournée vers un conseil personnalisé plutôt que vers la vente d’offres ou de produits, jouer la carte de la transparence : les attentes du client exigent un retour aux fondamentaux du métier de la banque.

Des digital natives qui bousculent les codes de la banque traditionnelle

En quête d’immédiateté et de nouveauté, la génération « tout, tout de suite » pointe notamment du doigt la lenteur des processus : 62% voudraient davantage de rapidité dans le traitement des opérations contre 57% des plus de 35 ans. Ils sont ainsi plus nombreux que leurs aînés à réclamer une amélioration des heures d’ouverture des agences (60% contre 50% pour les plus de 35 ans). Pour ces adeptes du multicanal, la digitalisation des banques apparaît comme une condition sine qua none de leur adhésion et suscitent des attentes…en perpétuelle croissance. Alors que 70% des seniors jugent les banques à  la pointe de la technologie, seulement 63% des moins de 35 ans partagent cet avis.

Perturbateurs d’une typologie des clients longtemps segmentés selon l’âge ou les revenus, les clients de banque en ligne, bien qu’encore marginaux, partagent des demandes spécifiques. La compétitivité des frais bancaires séduit puis reste ensuite de loin leur 1^er levier de satisfaction (46% contre 19% pour les banques classiques). Fortement multi-bancarisés (à 77% versus 45% en moyenne pour les Français), ils sont paradoxalement aussi les meilleurs ambassadeurs de leur banque en ligne, affichant un taux de promotion de 36% contre 23% pour l’ensemble des Français.

Ces clients sont portés par un « effet nouveauté  » : consommateurs avertis, ils sont satisfaits de l’autonomie procurée par leurs banques et n’hésitent pas à en faire la promotion auprès de leur entourage. Mais ils n’en restent pas moins exigeants sur certains points. Les banques 2.0 ont peut-être remporté la bataille des prix, mais un nouveau défi s’offre à elles : améliorer leur capacité de conseil pour ne plus être la deuxième banque ou une simple banque de passage.

Fin du monopole des services bancaires : la grande bataille de la banque digitale est engagée

Indispensable pour les plus jeunes, la transformation numérique s’impose également comme un fil rouge, destiné à guider les banques dans cette période de transition. En proie à des menaces internes, comme la volatilité de la clientèle, mais également externes, avec l’arrivée des nouveaux entrants, les banques voient leur écosystème concurrentiel bouleversé. La création des banques sans guichet, dont une large majorité appartient pour l’instant à des banques traditionnelles, suscite l’enthousiasme pour plus de 60% des Français.  Et la tentation représentée par les acteurs venus de la grande distribution ou du e-commerce (1 Français sur 2 leur porte un regard positif) signe bien la fin d’un monopole : celui des banques traditionnelles sur le marché des services bancaires.

Néanmoins, les banques peuvent compter sur un capital-confiance qui demeure solide : 89% des clients d’enseignes traditionnelles se déclarent encore satisfaits de leur banque et 84% considèrent que la sécurité est la première de ses qualités. Un soutien indispensable sur lequel la banque devra s’appuyer afin de relever les défis entraînés dans le sillage de la transformation numérique.

L’heure est au changement de rythme : après avoir longtemps intégré une digitalisation subie, en mimétisme vis-à-vis des autres secteurs, il est temps pour la banque d’exploiter l’opportunité numérique. Replacer le client au cœur du système en palliant le manque d’écoute et proposer un parcours client sans coutures s’imposent comme des incontournables, rendus possibles par le big data et une exploitation intelligente des données. Tirer parti du mix-canal en intégrant les agences de proximité, développer un écosystème de supports permettant la co-construction avec le client : pour conserver un pouvoir de séduction, la banque de demain doit viser l’excellence dans l’expérience digitale.

Demain, il ne s’agira plus d’offrir une interaction digitale plus intéressante et plus adaptée que celle d’une autre banque, mais bien d’être en mesure de rivaliser avec les propositions de Google, Amazon et consorts, qui dictent les codes de l’expérience utilisateur depuis près de dix ans. Face à des clients ultra- sollicités et à une volatilité exacerbée, il devient crucial d’éviter les fausses notes et de maîtriser tous les événements qui peuvent à chaque instant faire basculer le client, le faire changer de banque.

>> Retrouvez l’enquête Solucom au complet sur le site dédié : http://www.bankobserver-solucom.fr/

Cet article Transformation numérique : la banque traditionnelle en péril ? est apparu en premier sur RiskInsight.

 Des équipes aguerries mais une fonction en péril ?

Premier grand enseignement de cette cuvée 2014 : les structures Organisation conservent leur place auprès des directions générales. Nombre d’entre elles ont su s’imposer dans un rôle de « tour de contrôle » des projets de l’entreprise. Les Organisateurs développent et diffusent la culture projet. Ils forment et accompagnent les directions Métiers, leur permettant davantage d’autonomie dans la réalisation et la conduite de leurs projets.

Image 1 : Missions de fonction Organisation – ORGASCOPE 2014

 Les compétences des équipes Organisation se sont étoffées. Cette diversification leur permet d’aborder une large palette d’interventions, au cœur de la transformation numérique et du multicanal. Pourtant, les organisateurs restent souvent confinés à des projets de déploiement d’outils, de « versionning », dans des contextes où la conduite du changement se limite à un habillage des procédures et des formations « de prise en main ».

Si les équipes se distinguent par une stabilité et une « séniorité » élevées. Cette situation qui paraît un avantage constitue un risque. Un décalage s’instituant entre l’Organisation senior et un réseau de distribution rajeuni. S’y ajoutent d’autres décalages potentiels avec les évolutions des usages relationnels, des modes de consommation d’une clientèle avide d’innovation. Sans oublier qu’à côté de l’Organisation, les directions de la transformation et du digital, très attractives et valorisées, font leur apparition dans les organigrammes et interviennent sur des problématiques très proches de ceux de l’Organisation.

Au final, la fonction Organisation expérimentée, compétente, efficace et efficiente, ne valorisant plus son action, risque de s’effacer progressivement et de perdre son importance dans l’entreprise.

Un désir d’avenir…orienté client

En quête de renouvellement la fonction doit dessiner son avenir. L’optimisation de la performance opérationnelle des structures demeure un axe privilégié d’intervention. Il faut éclater les silos, massifier les équipes, redistribuer les activités et faire progresser l’efficacité. Les outils maîtrisés par l’organisateur sont utiles pour mener un diagnostic pertinent, chiffrer les gains attendus et garantir leur concrétisation. En vitesse de croisière, l’organisateur sait transmettre aux managers les outils adaptés au pilotage. Cette contribution vaut tout autant pour les sièges que pour le réseau de distribution. Face à la réduction de la fréquentation du réseau physique, le maillage des agences est remis en cause, la charge de travail des conseillers et la répartition des activités entre le siège et le réseau également.

Autre corde à son arc, la conduite du changement dont le périmètre se limite plus à l’entreprise mais va inclure le client, ses appétences, ses évolutions, la transformation des modes de consommation. A elle de concevoir la stratégie du changement en amont des projets. En fonction de la nature des évolutions et du nombre de personnes impactées, l’Organisation pourra définir et déployer tout un panel d’actions, et par-delà les volets classiques communication et formation, généraliser de nouvelles pratiques.

Concrétiser la transformation numérique et le multicanal

 

Image 2 : facteurs d’évolution de la fonction – ORGASCOPE 2014

 Les responsables Organisation affichent une conviction : le multicanal, le numérique et l’innovation transforment en profondeur leur entreprise. La numérisation des parcours est la clé de l’optimisation de l’expérience client. En interne, la transformation des processus opérationnels – via l’automatisation des processus, la dématérialisation et la désintermédiation – vise la maîtrise des coûts.

Au carrefour de ces évolutions, l’Organisation a une contribution décisive. La mise en place d’une relation client multicanale nécessite un travail d’organisation en amont. L’expérience montre que la modification des processus et des structures doit précéder les déploiements des outils. L’Organisateur a les méthodes requises pour construire l’évolution des processus et des organisations. Il sait aussi repenser l’engagement des collaborateurs, en leur fournissant les outils de pilotage adaptés à l’évolution des métiers. Son implication est nécessaire pour que les considérables budgets liés à la transformation digitale et multicanal dégagent le retour sur investissement attendu.

Et si la fonction Organisation reste souvent synonyme d’une culture d’« alignement » en contradiction avec les démarches d’innovation, il n’en reste pas moins que l’innovation est un processus stratégique de l’entreprise. A ce titre, l’Organisation peut apporter sa vision transversale, aider à la construire, à la piloter. Les méthodes collaboratives, à l’œuvre dans les projets d’organisation, sont une des clés de la génération des idées d’innovation. La transformation des idées en projets puis en résultats opérationnels nécessite une méthode rigoureuse. Manager un portefeuille de projets, décider, mettre en œuvre et transférer aux opérationnels : autant de savoir-faire maîtrisés par les équipes Organisation et pleinement applicables au management de l’innovation.

Les résultats d’ORGASCOPE nous rendent confiants dans l’avenir de la fonction Organisation dans le tertiaire financier. Un avenir résolument tourné vers la satisfaction client et la transformation digitale, un avenir ancré au cœur de la stratégie des acteurs du tertiaire financier.

>> Pour lire les résultats complets d’ORGASCOPE 2014

Cet article La fonction Organisation dans la banque, derrière le calme trompeur, un avenir qui se prépare est apparu en premier sur RiskInsight.

Cet article Banques et sécurisation des transactions sensibles : les tendances dans quelques pays d’Europe est apparu en premier sur RiskInsight.

Nous l’avons vu lors d’un précédent article, les banques ont mis en place un certain nombre de mécanismes pour protéger leurs services bancaires en ligne.

Face à l’évolution des techniques des cybercriminels – et face, aussi, à l’évolution des usages des clients – ces mécanismes montrent depuis quelques temps leurs limites. Dès lors, quels moyens sont à disposition des banques pour assurer la détection des activités illégitimes et une réaction efficace le moment venu ?

Mécanismes de protection : la ligne Maginot des services bancaires en ligne

Si l’on décide de voir le verre à moitié plein, il est intéressant de noter que chaque nouvelle attaque met en évidence des lacunes dans les mécanismes de protection en place, contribuant ainsi à l’amélioration continue du niveau de sécurité.

Ainsi, au-delà de la protection des opérations sensibles par ANR, plusieurs autres mesures de protection sont adoptées par les banques de la place : masquage partiel des numéros de téléphone et adresses mail (pour éviter leur récupération par les attaquants), interdiction de virements vers des bénéficiaires frauduleux (« listes noires d’IBAN »), mise en place de plafonds sur les virements, ajout d’un délai d’activation du bénéficiaire, etc.

Toutefois, les banques qui concentrent leurs efforts sur les seuls mécanismes de protection se retrouvent dans des situations difficiles à gérer lorsqu’elles sont victimes d’un type d’attaque non anticipé. Quelles décisions prendre et avec quels interlocuteurs ? Quelle communication vis-à-vis des clients fraudés et non-fraudés ? Comment revenir à une situation « protégée » tout en maintenant le service offert aux clients ? Ce flottement donne généralement quelques jours aux pirates pour mener à bien leurs attaques, tandis que le passage en gestion de crise paralyse fortement les activités de la banque.

L’amélioration continue des mécanismes de protection permet de se prémunir des attaques connues et d’anticiper les plus prédictibles. En parallèle, il est crucial d’accepter les contournements à venir, de se donner les moyens de les détecter et de réagir rapidement le moment venu.

Ce constat est d’ailleurs appuyé par la Banque Centrale Européenne, via ses « Recommandations pour la sécurité des paiements sur internet » publiées en février 2013, pour application dès le 1^er février 2015. Au-delà des bonnes pratiques sur les processus de sécurité (politiques, analyses de risques, etc.) et des aspects relatifs à la robustesse des accès banque en ligne (authentification forte, protection des sessions, etc.) déjà globalement maitrisés, l’accent est en effet mis sur la surveillance, la détection et le blocage des transactions frauduleuses ainsi que sur les dispositifs d’alerte à destination des clients.

Le client au cœur du dispositif de détection de fraude

Trois vecteurs principaux de détection sont à disposition des banques : le client fraudé lui-même, la présence d’indicateurs de compromission à son niveau et l’analyse de son comportement.

Le client fraudé identifie la fraude avec certitude après consultation de l’état de ses comptes. Mais il peut également identifier les tentatives de fraudes et noter des comportements anormaux du site (temps de chargement longs, pages inhabituelles, demandes inopportunes de validation, etc.). La priorité pour les banques est donc de faciliter la remontée d’information par les clients. Dans la mesure où l’interlocuteur principal des clients est leur conseiller, une solution efficace consiste en la formation des conseillers et téléconseillers à la fraude : scénarios classiques, questions à poser pour affiner le diagnostic, réponses à apporter, etc. L’escalade vers des téléconseillers dédiés à la gestion des fraudes peut notamment faire partie du processus.

La présence d’indicateurs de compromission caractérise l’infection d’un client par un malware et met ainsi en évidence la nécessité de mettre sous surveillance ses activités. En fonction du malware, les critères analysés peuvent être les suivants : IBAN utilisés pour les virements, méthodes JavaScript invoquées par le client lors de la visite du site, etc. De nombreux éditeurs proposent des solutions de détection, parfois dédiées au secteur bancaire. Elles prennent la forme soit d’un logiciel à installer sur le poste du client, soit d’un composant à installer sur l’infrastructure de la banque en ligne. Ces solutions sont toutefois souvent peu utilisées par les clients car complexes à installer et à maintenir.

L’analyse comportementale du client permet, sur la base d’indicateurs techniques et métiers, d’identifier les actions inhabituelles, et donc suspectes, de chaque client. Les critères suivants peuvent notamment être pris en compte : lieux et horaires de connexion, fréquence et montant des opérations, bénéficiaires habituels (pays, IBAN, etc.), présence d’un même bénéficiaire étranger pour plusieurs clients, etc. Généralement basée sur un système de notation de la transaction, les solutions existantes facilitent le travail des équipes internes en leur permettant de concentrer leurs analyses sur les transactions suspectes uniquement. Ces solutions sont plus largement répandues mais peuvent encore beaucoup progresser.

Réaction : un enjeu fort, une maturité hétérogène

Comment réagir une fois les premiers diagnostics techniques menés si la détection n’est pas réalisée par le client lui-même ? La levée de doute doit nécessairement être effectuée auprès du client. Aussi, afin d’établir un contact avec le client qui soit à la fois rapide et en phase avec la politique de l’agence concernée, la solution la plus répandue est d’informer le conseiller pour qu’il assure un premier traitement.

L’existence et la diffusion de procédures simplifiées à destination des conseillers est également un accélérateur efficace du traitement. Ces procédures indiquent les réflexes à adopter (questions à poser et conseils à donner au client) en fonction de la nature de la suspicion : changement de mot de passe, désinfection du poste, acceptation d’une intervention, etc.

En complément,  les fonctionnalités ciblées par la fraude en cours doivent pouvoir être désactivées client par client, par exemple sur action du conseiller concerné. Cette possibilité évite de réduire les fonctionnalités offertes à l’ensemble des clients alors que seul un nombre réduit est infecté.

Afin d’éviter les sur-sollicitations et d’être plus efficace en cas d’incident avéré notamment, les alertes à destination des conseillers clientèle doivent rester exceptionnelles et être à ce titre “préfiltrées” par des dispositifs techniques ou organisationnels.

Enfin, au-delà de l’efficacité de la réaction en mode nominal, il est également crucial de réussir sa gestion de crise : critères d’entrée, partage des processus par les interlocuteurs, canaux de communication, traitement opérationnel et communication.

Toutes ces opérations nécessitent une refonte souvent en profondeur des outils de gestion de la banque en ligne et des processus de relation clients. Plusieurs grandes banques sont en train de réaliser leurs mues vers la « banque en ligne sécurisé 2.0 » mais les efforts doivent être maintenus dans la durée.

Vers une sécurité de bout en bout des opérations financières

58% des français attendent des améliorations sur la sécurité de la part de leur banque. Bien que sensibilisés au sujet, les acteurs bancaires doivent encore accentuer leurs efforts.

De nombreux défis restent à relever, notamment sur l’identification de nouveaux mécanismes d’authentification qui doivent combiner résistance aux attaques sophistiquées,  compatibilité avec les situations de mobilité et facilité d’utilisation.

Au-delà de cette seule protection, les volets détection et réaction sont le véritable enjeu. On peut s’attendre dans les prochains mois à une uniformisation vers le haut tant dans l’outillage que les processus internes de gestion des fraudes.

Seule une imbrication poussée des filières Cybersécurité et métier permettra de relever ces défis et de garantir ainsi une sécurité de bout en bout des opérations financières. Ce constat est également vrai pour les autres secteurs d’activité. Ce paradigme, construit par les banques et autorités au fil du temps et au gré des nécessités, mérite donc toute leur attention sous peine de subir des attaques aux impacts dévastateurs.

Cet article Sécurité des services bancaires en ligne : combiner détection et réaction ! est apparu en premier sur RiskInsight.

La sécurisation de ces plateformes représente ainsi un triple enjeu pour les banques. Tout d’abord un enjeu financier direct, lié au préjudice que pourraient subir les clients et leur éventuel dédommagement. Enjeu d’image ensuite,  les banques devant rassurer sur leur capacité à protéger leurs clients. Enfin, un enjeu de conformité aux directives émises par les organismes régulateurs tels que la Banque de France et la Banque Centrale Européenne.

Que font concrètement les établissements pour sécuriser leur banque en ligne ? Est-ce suffisant ?

Cet article Sécurité des services bancaires en ligne : où en sommes-nous ? est apparu en premier sur RiskInsight.

Un nouveau paysage bancaire : pure players versus agences bancaires à distance

Les pure players de la banque à distance sont historiquement des établissements d’épargne ou des courtiers qui proposent une relation exclusivement à distance et sur internet. Parmi eux, on peut par exemple citer en France Boursorama Bank, ING Direct, Fortuneo, Hello Bank et Monabanq. Si ces acteurs adoptent très souvent une stratégie low-cost pour attirer leurs clients, ils restent dépendants des acteurs traditionnels puisqu’un nouveau client d’un pure player doit saisir les coordonnées bancaires de son compte principal pour finaliser son adhésion. Aujourd’hui, le principal défi de ces banques est l’acquisition de clients, qui passe par l’amélioration de la notoriété et la confiance des clients dans leur modèle.

En réponse à la présence de plus en plus importante des pure players, les banques traditionnelles ont adopté une stratégie défensive pour affirmer leur présence sur internet et proposer des services à distance : la Net Agence de BNP Paribas, elcl de LCL, La Banque Postale Chez Soi de La Banque Postale, Agence Directe de la Société Générale.. Les agences virtuelles sont adossées à un groupe bancaire traditionnel dont elles bénéficient de l’historique et de l’expertise. Leur  stratégie tarifaire est généralement identique à celle des agences physiques, avec souvent des offres promotionnelles pour les clients en ligne. Leur stratégie est basée sur la confiance des clients et la notoriété de leur marque et une proposition de services à distance innovants. Leur principal défi est la fidélisation des clients et la gestion du risque de cannibalisation entre agences et sites internet.

Image de marque et notoriété

En France, le NPS (Net Promoter Score) des pure players est plus favorable que celui des banques de réseaux. Cet indicateur mesure la différence entre la proportion de clients prêts à recommander (prescripteurs) leur banque de détail et ceux qui ne le sont pas (détracteurs) Il s’avère défavorable aux banques françaises puisque leur NPS s’établit en moyenne à -13 %. Deux banques à réseau – Banque postale (+9%) et Crédit Mutuel (+4%) –parviennent à avoir plus de promoteurs que de détracteurs, tandis que deux banques en ligne – Boursorama et ING – peuvent même se targuer d’avoir pour promoteurs plus de la moitié de leurs clients (respectivement 59% et 54), soit des scores respectifs de +51% et +48%[4].

Parmi les critères qui permettent d’évaluer ce score, on retrouve les canaux digitaux (c’est-à-dire « la possibilité d’utiliser quotidiennement, de façon autonome et efficace, le service bancaire »). Ce critère renforce la recommandation client sans pour autant la desservir.

Pour quelle stratégie opter ?

Les banques françaises à distance adoptent des nouvelles approches qui les différencient peu les unes des autres. Certains pure players ont mis en place des agences physiques revisitées. À titre d’exemple,  ING Direct propose l’ING Direct Café qui ressemble à un espace détente et propose des services bancaires aux clients. Les agences bancaires virtuelles proposent quant à elles des services de mise en relation différenciants par rapport aux pure players (Chat, Visioconférence, SMS, Web Call Back).

Pour accompagner l’évolution des usages des clients, les banques tendent néanmoins à proposer différentes approches. Axa a ainsi lancé en début d’année 2014 une offre bancaire 100% mobile sous la marque SOON. La Banque Postale teste quant à elle un service de paiement par authentification vocale dénommé Talk to pay. De leurs côtés, trois banques françaises (BNP Paribas, Société Générale et La Banque Postale) se sont associées pour proposer Paylib…

Certaines banques, enfin,  misent sur l’open data et le décloisonnement des données pour appuyer leur stratégie d’innovation relationnelle et proposer au client une expérience client et des services adaptés à ces usages. Pour y parvenir, deux banques proposent des Open APIs (Application Programming Interface), c’est-à-dire qu’elles permettent à certains développeurs externes à la banque d’accéder aux informations de leur système d’information (mis à part  les données personnelles des clients), pour développer de nouvelles applications. La première initiative a été développée par le crédit Agricole (CAStore) et a permis de mettre à disposition 39 applications gratuites. La deuxième initiative a été mise en œuvre par Axa en 2012.

Les enjeux de demain pour les banques françaises

Afin de construire le modèle de demain, les banques doivent miser sur quatre éléments clés :

• Créer de la proximité avec les clients en proposant une expérience utilisateur globale et cohérente
• Offrir des services adaptés en se basant sur la gamification
• Mettre en cohérence les différents canaux proposés au client (agences physiques, agence en ligne, applications mobiles, réseaux sociaux, etc.)
• Faire de la donnée en temps réel un vrai atout stratégique pour profiler, cibler et personnaliser

La prise en compte de ces enjeux permettrait aux banques d’adopter des stratégies proactives pour contrecarrer l’arrivée de nouveaux acteurs dans le secteur et l’évolution rapide des usages des clients.

Cet article Les différents visages relationnels des banques en France est apparu en premier sur RiskInsight.

Parmi l’ensemble des secteurs d’activités, le secteur bancaire est l’un des plus dynamiques dans ce mouvement de dématérialisation : des services 100% internet tels que la NET agence (BNP Paribas) ou des marques dotées de leurs propres outils (Boursorama de la Société Générale) sont bien implantées dans le paysage. Ces services visent désormais la conquête de la « nouvelle frontière » du numérique, à savoir le mobile et la tablette. Ainsi, Soon d’AXA est d’emblée une offre mobile et vise des clients « mobile-first » voire « mobile-only ». Dans ce contexte, pouvoir communiquer avec sa banque sans attendre un rendez-vous face à face avec son conseiller est devenu un basique. La Banque Postale (LBP) s’est donc adaptée à cette nouvelle donne en refondant complètement les outils de relation client sur ses territoires numériques.

Regrouper pour mieux gérer et innover

Au fur et à mesure de la mise en place de ses projets digitaux, LBP a multiplié les modes de contacts : téléphone, web-callback, visio, tchat, formulaire de rendez-vous et pages d’informations étaient proposés au gré de la navigation et gérés de manière indépendante. Cette dissémination s’est renforcée à l’heure de la démultiplication des supports numériques : site web, site mobile, applications mobiles… En regroupant l’ensemble des services sur une seule application, avec un point d’accès unique et permanent, l’exposition des canaux de contact s’est vue grandement simplifiée, à la fois pour le client et pour la banque.

De fait, le regroupement permet d’uniformiser les statistiques de navigation et de faciliter la cohérence des services et leur maintenance. En parallèle, cette refonte a permis d’introduire une présentation dynamique des modes de contact offerts aux clients. Parmi les données clés paramétrant l’affichage, on peut retenir :

•  la typologie du client (traditionnel ou 100% en ligne)
•  la valeur du client selon une segmentation interne
•  la localisation bancaire du client
• les horaires d’ouverture des services
• le temps d’attente estimé par canal de contact
• le parcours du client au cours de sa session

En outre, la banque peut optimiser ses coûts, notamment  lorsque des prestataires externes sont impliqués. Dans ces cas, le coût est généralement très fortement corrélé à l’usage. Il faut donc contrôler au plus près l’exposition de ces services et donc, adapter l’offre au potentiel des clients. Dans une perspective plus marketing, cette intelligence permet aussi une différenciation dans les offres : la Banque Postale Chez Soi, pour les clients 100% Internet, a ainsi l’exclusivité de la visio.

Une mise en œuvre délicate

Un tel bouleversement n’est pas sans risque. La bonne conduite du projet doit bien prendre en compte les utilisateurs (clients, conseillers, équipe marketing) afin de faciliter la prise en main de la nouvelle offre. Au-delà de ces risques classiques, introduire l’affichage dynamique implique de parfaitement maîtriser la sensibilité des tous les paramètres.

Certains canaux surexposés peuvent ainsi faire croître l’usage de services coûteux là où d’autres services aussi efficaces auraient pu être proposés. Il en est ainsi pour le web-callback, à utiliser avec parcimonie (efficace mais coûteux), en opposition au numéro court (rébarbatif et payant pour le client). D’autres risques identifiés sont l’embouteillage sur un service, et donc une insatisfaction client en hausse, ou encore un affichage trop variable qui déroute le client ou l’alerte qu’il a une expérience dégradée.

Afin de se prémunir de ces effets indésirables, il faut avant tout connaître les usages via l’analyse des parcours clients pré refonte et/ou la mise en place de tests A/B. Ces tests permettent une optimisation au fur et à mesure du déploiement du projet, pour apprendre en faisant. Certaines erreurs types sont aussi à éviter : un service indisponible pour des raisons techniques ou d’horaires doit plutôt être masqué dans un sous menu plutôt que disparaître complètement. Un client cherchant un mode de contact précis doit être capable de le retrouver et d’être informé alors de son statut.

Au-delà d’une plateforme intelligente et centralisée

Une fois mise en place, cette plateforme de contacts peut être déportée à différents endroits du site, pour renforcer l’exposition de tel ou tel service, tout en maintenant les bénéfices d’une centralisation.

Les pages cibles sont logiquement celles à forte valeur ajoutée (finalisation de transaction par exemple), dans lesquelles les modes les plus confortables pour le client (mais les plus coûteux) sont généralement proposés : le web-call back et le tchat. Cette mise en relation se fait de plus en plus en mode « pull », où l’entreprise va pousser sur l’écran du client hésitant (laps de temps prédéterminé) un module de mise en relation.

En procédant de la même logique, le mode de contact proposé variera selon la qualification du client (historique de navigation et profil si authentifié) et la valeur de la transaction potentielle. Le web-call back n’a pas à être systématique dans un objectif de transformation : un simple numéro court mise en avant peut convenir à un produit simple ou un client au potentiel très limité.

Un hub de contacts bien conçu peut donc prendre en charge l’ensemble des points de contacts des canaux digitaux, à la fois sur la page dédiée et sur des modules déportés. Tirer parti de cet outil implique un mapping précis des pages, des clients et des objectifs clairs. Ensuite, la réalisation technique doit permettre une flexibilité et une finesse de paramétrage. À défaut, l’entreprise risque soit un accident industriel de relation client, soit une sous-utilisation du potentiel de l’outil mis en place. Dans les deux cas, l’objectif d’amélioration de la relation client n’est pas rempli.

L’exemple réussi du selfcare d’Apple est très parlant. L’assistance est tout d’abord dégrossie par le client selon son produit et son problème. Ensuite, les modes de contacts sont proposés selon la localisation du client mais aussi selon son contrat d’assurance, remonté grâce à l’identifiant du matériel. Le client peut donc se voir proposer une assistance payante ou gratuite, grâce à la combinaison entre les données client de l’entreprise à divers niveaux du SI et le contexte client immédiat, communiqué de manière simple et rapide par le client au moment de son entrée dans le tunnel selfcare. La relation client a été pensée de bout en bout et le client peut se sentir véritablement reconnu et accompagné, guidé dans ses difficultés.

Cet article Le hub, carrefour de la relation client digitale est apparu en premier sur RiskInsight.

La téléphonie des salles des marchés, un métier à part

La salle des marchés : une organisation tripartite au service du trader

Plus qu’un lieu physique, le terme de « salle des marchés » désigne l’ensemble des services et des personnes qui permettent aux établissements financiers d’intervenir sur les marchés. Son organisation se découpe en trois domaines distincts : le Front Office (négociations et décisions), le Middle Office (suivi des risques et résultats) et le Back Office (administration et contrôles).

C’est au sein du Front Office, centre décisionnel qui se doit d’être à la pointe du progrès technique en termes de communications et de gestion des flux d’information, qu’évoluent les opérateurs marchés : traders, brokers (intermédiaires entre les clients et l’établissement) et analystes financiers.

Les outils de communication mis à disposition des opérateurs doivent leur permettre de traiter une quantité importante d’informations critiques de façon rapide et simultanée avec plusieurs intervenants distants. Parmi les nombreux services offerts (Bloomberg, Reuters…), le téléphone reste le canal de communication privilégié pour 5% des opérations entre salles des marchés. Le poste téléphonique, appelé « platine », joue un rôle clé dans l’environnement de travail des opérateurs. Selon BT Trading « les traders perdraient 100 000 euros par heure s’ils n’avaient pas leur téléphone ». Bien que difficile à vérifier, cette assertion illustre l’importance pour les DSI d’offrir un service de téléphonie fiable et de qualité à ses utilisateurs en salles.

Seuls quelques acteurs sont aujourd’hui capables de répondre aux exigences de cette téléphonie métier spécifique.

Un marché de spécialistes

Cisco, Alcatel-Lucent, Aastra, Avaya… aucun des acteurs de la téléphonie administrative n’est présent sur le marché de la téléphonie Trading. C’est bien un univers de spécialistes, où les leaders se nomment  Orange Trading Solutions (ex Etrali) et BT ou IPC (issu du monde du système).

Les solutions proposées par ces trois constructeurs s’articulent autour de trois briques de services indissociables : l’infrastructure de téléphonie, l’enregistrement vocal et les lignes louées. Le cœur du système, majoritairement TDM (Time Division Multiplexing) aujourd’hui, se compose d’un commutateur en charge du contrôle des communications et de la gestion des ressources téléphoniques. Ce cœur est systématiquement complété par un service d’enregistrement des conversations vocales obligatoire, à but réglementaire et contrôlé par les autorités des marchés financiers. Les lignes louées TDM sont également très largement déployées sur les platines en salles et offrent des connexions permanentes sans numérotation et en point-à-point entre un opérateur et ses contreparties (clients, brokers, partenaires…).

Les solutions de téléphonie de marché Full IP apparues depuis 2010 sont encore très largement en retrait par rapport à un existant TDM omniprésent. Cependant, cette balance risque de fortement s’inverser dans les 3 à 5 prochaines années, la fin de vie des solutions TDM, les nouvelles réglementations financières et les besoins d’intégration de la téléphonie dans le SI poussant vers le monde IP.

Migration vers le modèle IP : une transition hésitante mais inévitable

Des facteurs de pressions externes et internes

L’obsolescence des solutions de téléphonie de marché TDM est l’un des premiers facteurs clés poussant vers une évolution IP. D’ici fin 2016, la majorité des systèmes TDM ne seront plus supportés par les constructeurs qui se concentrent sur le développement de solutions de nouvelle génération en « tout IP ».

Les nouvelles réglementations financières imposées par les autorités de régulation des marchés jouent également en faveur d’une migration vers le tout IP. Les établissements financiers sont soumis à de plus en plus d’obligations en termes de traçabilité et transparence des transactions. Les systèmes d’enregistrements vocaux se doivent d’évoluer pour répondre à la législation en offrant de nouvelles fonctionnalités. Ces nouveaux besoins vont au-delà des possibilités techniques et fonctionnelles des équipements TDM, l’IP étant un prérequis pour y répondre.

Enfin, de nouveaux besoins en termes de convergence des services sont apparus. Les platines IP de nouvelle génération se voient équipées de nouveaux services embarqués permettant une meilleure interaction avec le poste informatique du Trader et son environnement applicatif (CRM, annuaires, vidéoconférence, instant messaging, etc.).

Une évolution inéluctable

Malgré la réticence des DSI à migrer leurs systèmes de téléphonie de marché TDM, réputés pour leur robustesse et leur fiabilité, l’évolution technologique vers l’IP emprunte une trajectoire analogue à celle de la téléphonie administrative démarrée dans les années 2000.

Si dans un premier temps une migration totale vers l’IP présente des coûts supplémentaires par rapport aux systèmes existants généralement amortis, la performance économique peut être réelle à moyen terme par la rationalisation et la virtualisation des infrastructures.

L’adoption du modèle tout IP en environnement salle des marchés semble ainsi se confirmer, et il est fort à parier que les solutions de téléphonie de marché sur IP s’imposeront comme un véritable standard dans les 5 prochaines années.

Cet article La téléphonie en salle des marchés : sur la voie du tout IP ? est apparu en premier sur RiskInsight.

En dix ans, la ToIP s’est imposée comme le nouveau standard technique pour la téléphonie d’entreprise, notamment poussée par le marché. Mais, où en sont réellement les grands comptes en 2012 ? Le point avec Yohan Cohen, consultant et Florence Noizet, senior manager au sein de la practice Télécoms & innovation de Solucom.

Pouvez-vous nous rappeler ce qu’est la ToIP ?

La téléphonie sur IP est une technologie qui permet de faire converger le service de téléphonie d’entreprise et les flux de données sur une même infrastructure réseau IP. Elle transforme les services de téléphonie en une application temps réel du système d’information.

Cette technologie présente de nombreux avantages tant pour les DSI que pour les utilisateurs. Elle permet de mutualiser et de concentrer les infrastructures  hébergement des serveurs d’appels en datacenter, acheminement du trafic voix sur le WAN, collecte du trafic voix en un point central (via le trunk SIP), suppression des raccordements téléphoniques locaux …. Elle offre également de nouveaux services très prisés des utilisateurs tels que le click-to-call, la disponibilité, le softphone, l’annuaire intégré ou encore la messagerie unifiée.

Les entreprises déploient-elles ces solutions de ToIP ?

Si la quasi-totalité des grands comptes français bénéficient à ce jour d’un retour d’expériences significatif sur des premiers déploiements de ToIP, nous constatons toutefois un taux de déploiement mitigé chez nos clients.

Sur un panel de 30 grands comptes représentant un parc de 1,2 million de téléphones, 19 grands comptes ont moins de la moitié de leur parc téléphonique en ToIP. Et seulement 6 d’entre eux ont réalisé une migration totale !

Ce bilan s’explique notamment par le choix de nombreux grands comptes de migrer leur parc au fil de l’eau selon le cycle d’obsolescence des PABX existants.

On constate notamment des résultats contrastés en fonction du secteur d’activité des entreprises. Le secteur bancaire en particulier semble plus en avance.

Quelles sont les particularités de la ToIP dans le secteur bancaire ?

Avec 75% des postes téléphoniques des 9 plus grands comptes bancaires français déjà migrés, le secteur bancaire fait en effet figure de précurseur.

Plus particulièrement, les réseaux d’agence ont su tirer pleinement parti des avantages qu’offre la ToIP. L’accueil téléphonique proposé aux clients a été amélioré tout en réduisant les coûts grâce à la rationalisation des infrastructures et à la simplification de l’exploitation.

Aujourd’hui la ToIP est une solution techniquement mature en cours de déploiement dans les entreprises. Le service de téléphonie continue de s’enrichir en s’interfaçant avec les services de communications unifiées, de visioconférence et de mobilité : visioconférence sur le poste de travail, l’intégration du téléphone et du poste de travail, convergence fixe-mobile,…On peut donc s’attendre à ce que ces statistiques de déploiement évoluent, il sera intéressant d’en faire à nouveau état d’ici 12 à 18 mois.

Cet article Migration vers la ToIP : où en sont les grands comptes ? est apparu en premier sur RiskInsight.

Comme le souligne le baromètre bancassurance Solucom, la différenciation par le prix et les garanties s’estompe de plus en plus. La relation prime sur l’offre ! Maintenir un haut niveau de développement nécessite d’améliorer encore la perception client de la personnalisation de la relation et du professionnalisme.  Tout l’enjeu est de recréer la confiance client par la compétence, l’engagement, la qualité de la relation et du service.

C’est donc tout naturellement qu’aujourd’hui les groupes du secteur espèrent susciter la préférence par une qualité de service affirmée. En 2012, ils s’engagent. Reste à se différencier !

Des engagements, oui ; mais chacun les siens

En Février, « Le crédo » des Mutuelles de Poitiers

Une communication très percutante avec un mot d’ordre : « Vous n’êtes pas un dossier géré par un plateau téléphonique». Cet engagement fort met en avant la relation privilégiée avec le conseiller, dans un secteur où la gestion collective – notamment des sinistres – doit encore faire ses preuves auprès du client.

En mars, la caisse d’épargne s’engage

9 engagements, couvrant 4 «moments de vérité » : l’entrée en relation avec le client, le traitement des réclamations, les demandes de mobilité et les demandes de prêts, notamment immobiliers. Ces engagements permettent d’aborder tous les aspects de la relation que l’on peut avoir avec sa banque, au détriment peut-être de l’engagement phare d’apporter une réponse à toute demande de crédit sous 24h.

En avril, Axa se met à notre service

À grand renfort de communication multimédia et relayé dans la presse sectorielle, Axa a marqué ce début d’année avec son programme « Axe votre service ».  Il  se concrétise notamment dans la mise en ligne d’un site dédié à la valorisation de sa charte de service. « Simplicité, Conseil adapté, Présence engagée, A l’écoute » : 4 mots d’ordre simples, illustrés par une série de vidéo humoristique…près d’une vingtaine, mélangeant malheureusement concrétisation d’engagement et marketing de l’offre.

Toujours en avril, les 3 engagements de conseil du Crédit Agricole

Il ne s’agit pas de promouvoir la prise en charge de bout en bout mais le moment critique de la relation commerciale : un conseil : « objectif, clair, qui vous laisse le temps ». 3 engagements, concrétisés chacun par une mesure tangible : aucune incitation financière pour le conseiller, un MEMO explicatif des produits souscrits,  30 jours pour se rétracter.

 Des engagements pour le bénéfice des clients…et des collaborateurs

L’émergence de ces engagements de services de groupes bancaire et d’assurance donne bien le signal d’un mouvement de fond du secteur, d’une volonté de passer d’un mode de relation transactionnel à un mode relationnel.

Il ne suffit cependant pas d’afficher une pancarte ou de diffuser un spot publicitaire pour gagner ou fidéliser des clients. Certaines entreprises, les plus investies dans les démarches qualité orientées clients ont choisi de labelliser ou de certifier leurs engagements de services. On peut citer à ce titre Les Banques Populaires Loire (Afnor), Les Banques Populaires Nord (Bureau Veritas), ou encore la MAIF (Afnor). La Caisse régionale Groupama d’Oc y travaille également.

Mais le véritable enjeu est de fédérer les actions de l’entreprise autour d’une vision et d’objectifs clients communs. Le travail sur les engagements de services clients constitue un véritable levier de changement des comportements internes. Pour réussir cette transformation de l’entreprise, la démarche d’engagements doit être le fruit d’un projet d’entreprise pleinement partagé avec les équipes opérationnelles, concrètement traduits dans les gestes métiers et pris en compte dans les process managériaux.

Cet article 2012 : banques et assurances s’engagent ! est apparu en premier sur RiskInsight.