What is credit card skimming ?

Skimming is the crime of getting private information about someone else’s credit card in an otherwise normal transaction. The thief can procure a victim’s card number using basic methods such as photocopying receipts or more advanced methods such as using a small electronic device (Skimmer) to swipe and store hundred of victims’ card numbers.

When a Credit or Debit Card is swiped through a skimmer, it stores all the information stored in the card’s magnetic stripe. This last one contains the credit card’s numbers and expiration date and all other details related to it. Credit card skimmers are often placed over the card swipe mechanism on almost any type of credit card reader (ATM, gas station, etc.).

For ATMs for example, the thief installs a device that fits over the real ATM card-reader slot. Consequently, ATM users (bank & customers) do not know that their information is being intercepted as their card is inserted into a false reader. While using the ATM, the skimmer duplicates the data stored in the card. Sometimes, it is paired with a camera that records the user entering his PIN code. Another technique used is a keypad overlay that matches up with the buttons of the legitimate keypad below it and presses them while operated, but records or remotely transmits the keylog of the PIN entered.

Once the victim’s credit card information is stolen, thieves can either create a cloned card to proceed to purchases in stores or sell the credit card information on the Darknet. Victims are generally unaware of the theft until they notice unauthorized charges on their account and as thieves are generally hard to track down. But for a large part of them, it is possible for card issuers to detect them. The issuer collects every customer’s claims related to fraudulent transactions, and then uses data mining (regression) to discover insights, the relationship among them and the associated merchants. For example if a large amount of abused customers use a particular merchant, this last one will be investigated. Other sophisticated algorithms can also search for patterns of fraud.

Credit card skimming has expanded and takes place nowadays in every corner of the world. This practice is present from Europe to South Africa and is expected to grow in developing countries, as credit cards users are growing.

How to protect from credit card skimming ?

According the Fair Isaac Corporation (FICO), the number of compromised ATMs and points of sales in USA jumped 21 percent during the first six months of 2017. That comes on the heels of a 70% increase between 2015 and 2016. There are no statistics regarding Gas Pump Skimming since it’s a local crime and not centrally tracked. However the risk of theft is quite significant : according to the National Association for Convenience Stores, 29 Million Americans refuel every day using their credit card, a single compromised pump can capture data from 30 to 100 cards per day. And when skimming occurs at a gas station, it is usually limited to one pump which makes it more difficult to spot.

Credit Card skimming is becoming a serious and real threat of the modern digitalized world and governments are becoming aware of this. Many ATMs worldwide are now equipped with a guide to help people identify whether the ATM is compromised or not. Banks may also not process suspicious charges until the identity of the one who initiated the transaction is verified. However progress is still needed. In US for instance, gas pumps received a three-year extension on EMV transition in 2017, meaning that fuel pumps will continue to be field for fraudsters with skimmers until October 2020. Therefore, we should all be cautious and adapt our behaviour to avoid and/or counter skimmers. Firstly, everyone must watch where they shop with their credit card. Secondly, people should check the ATM before using it. Skimmers are generally produced using a 3D printer, there should be therefore some noticeable differences. Finally, we should act in a responsible manner, for example we should never fall to those “credit card cleaning“ scams where thieves claim to clean the magnetic strip on your credit card to help it work better (whereas he plugs it into a skimmer) or we can rely on apps that helps detects skimmers such as “Skimmer Scanner” a free skimmer scanner Android app released in September 2017 .

Cet article Guest author Article – What is credit card skimming ? est apparu en premier sur RiskInsight.

Les limites de la DSP2

La limitation du périmètre aux seuls comptes de paiement

La DSP2, en tant que directive sur les services de paiement régit les opérations en ligne des acteurs de ces services uniquement sur les périmètres concernés qui sont les comptes intervenant dans les opérations de paiements.

Dans les faits cependant, les acteurs, et en particulier les agrégateurs, réalisent aujourd’hui des opérations sur l’ensemble des comptes des utilisateurs, notamment leurs comptes d’épargne. Un des enjeux de ces agrégateurs étant de fournir des services à valeur ajoutée touchant à l’ensemble de l’activité de l’utilisateur sur ses comptes : comptes courants, comptes d’épargnes, chèque, cartes, crédits, plan en actions, …

En réglementant uniquement sur l’accès aux comptes de paiement, la commission européenne et l’ABE mettent en lumière le fonctionnement des agrégateurs (rejeu des secrets de connexion utilisateurs) sans fournir une solution à l’ensemble des problématiques des échanges entre ces acteurs non bancaires (agrégateurs) et les banques.

Dans l’intérêt du développement des agrégateurs, des solutions devront donc être actées pour élargir cette législation. Par ailleurs, les travaux engagés par les banques dans le cadre de la DSP2 les ayant amenées à construire l’architecture nécessaire à l’exposition de services sur internet, une évolution de ces services à plus des comptes et à plus de services utilisateurs est probablement à venir.

Incompatibilité avec les standards existants

Contrairement à l’initiative OpenBanking UK, basé sur le standard reconnu du groupe de travail Financial API, au sein de la fondation OpenID, les nouveaux services offerts par les banques dans le cadre de la DSP2 se fondent sur des exigences réglementaires plutôt que sur des standards de sécurité établis.

Consentement utilisateur

Le consentement utilisateur est un bon exemple de cet éloignement entre le standard, ici OpenID Connect, et la réglementation.

La directive implique que le consentement de l’utilisateur à l’utilisation d’un ou plusieurs comptes pour un agrégateur :

• Doit être recueilli par le TPP (donc l’application qui va consommer les API) ;
• Doit être appliqué et vérifié par l’ASPSP (hébergeant les API).

Ceci est réalisé à rebours du standard OpenID Connect (implémenté dans le cadre de OpenBanking UK), dans lequel le consentement doit être recueilli par le service hébergeant les données et les API.

Cinématique authorization code

Mise en œuvre pour l’usage des AISP, la cinématique authorization code requiert une redirection de l’utilisateur de l’AISP vers le service d’authentification et de consentement de l’ASPSP, puis en retour une nouvelle redirection vers l’application de l’AISP.

Cette redirection peut être considérée comme un obstacle à l’utilisation des services comme le mentionne en exemple l’article 32 des RTS. En conséquence elle peut s’avérer illégale et des travaux sont en cours pour trouver des alternatives conformes ou non aux standards OAuth2.

L’acceptation de l’usage de cette cinématique pour les besoins de la DSP2 relève alors de chaque autorité nationale, ce qui a pour effet de limiter l’uniformisation européenne de ces interfaces. Actuellement, en France, l’ACPR a validé l’usage de cette redirection.

Figure 3: Les acteurs de la DSP2 en scène

Conclusion

Dans un environnement numérique en constante mutation, la DSP2 prend le parti de favoriser le développement des acteurs intermédiaires de services de paiement, pour mieux standardiser les échanges et apporter une meilleure ergonomie de navigation des utilisateurs et une meilleure sécurité des transactions.

Elle comporte des apports importants sur des sujets de sécurité, qui imposent des évolutions des SI bancaires : l’ouverture des services sur internet et le changement des moyens d’authentification sont en particulier un sujet compliqué pour les banques historiques.

Cet article Sécurité des opérations financières en ligne en 2020 : Quelles limitations à l’efficacité de la DSP2 ? (2/2) est apparu en premier sur RiskInsight.

Cet engouement invite les acteurs historiques et de nouvelles fintechs à se positionner sur le marché des services bancaires en ligne. De nombreuses solutions se déploient aujourd’hui à grande échelle, nécessitant une réglementation adaptée.

La DSP2 et les acteurs financiers

La DSP2, Directive sur les services de paiements 2, s’inscrit dans l’évolution des transactions électroniques. Elle est une nouvelle étape dans la normalisation des échanges financiers après la DSP1 et en parallèle des travaux OpenBanking au Royaume-Uni.

Avec l’évolution du nombre d’acteurs sur le marché, les solutions mises en œuvre pour l’authentification des utilisateurs et la sécurisation des opérations financières se multiplient. Ces solutions peuvent s’appuyer sur des moyens d’échange reconnus comme sécurisés (EBICS, SWIFT…) mais elles ne sont pas les plus aptes à répondre à un besoin de plus en plus important d’accès aux données en temps réel.

Le but de cette directive est d’apporter un cadre réglementaire aux banques et aux acteurs non-bancaires tout en favorisant la concurrence.

Pour cela, la directive circonscrit les prestations réalisées par les acteurs des services de paiements en trois services :

• Le Service d’Information sur les Comptes (« Account Information Service » ou AIS) consiste en l’affichage et l’agrégation des données de solde et des transactions des comptes de paiement.
• L’Initiation de Paiement (« Payment Initiation Service » ou PIS) consiste en la transmission d’un ordre de paiement pour le compte d’un payeur, à son établissement teneur de compte.
• L’Emission d’Instruments de Paiement (« Payment Issuer Instrument Service » ou PIIS) met à la disposition des utilisateurs des moyens de paiement.

Elle impose aux fournisseurs (« Provider ») de ces services un ensemble de règles et d’obligations à remplir. À la condition que ces règles soient appliquées, les AISP, PISP et PIISP auront la possibilité d’accéder gratuitement aux données sur les comptes de paiement de l’utilisateur dans leur établissement teneur de comptes (« Account Servicing Payment Service Provider » ou ASPSP).

Figure 1: Les services du périmètre de la DSP2

L’apport sécuritaire de la DSP2

Pour offrir la possibilité d’accéder aux données des établissements teneur de compte (les banques), la directive impose à ces dernières d’exposer de nouvelles interfaces répondant à un ensemble de mesures de sécurité et permettant la réalisation de ces services.

Figure 2: Exigences sécuritaires de la DSP2

Sous l’impulsion de plusieurs groupes de travail (en particulier le STET et le Berlin Group), la solution retenue est la construction d’API exposant les services des ASPSP, à l’aide des standards Open API adoptés par les géants du Web. En particulier, d’un point de vue sécurité, les standards retenus sont OAuth2 et OpenID Connect.

Identification et authentification des acteurs

En réponse au fonctionnement actuel des agrégateurs, une des mesures d’importance de la directive est l’obligation pour les acteurs bancaires de s’identifier et de s’authentifier entre eux pour réaliser toute opération liée aux comptes de paiement.

En effet, en l’absence d’interface adéquate, les agrégateurs fonctionnent actuellement par « web scraping » qui consiste à simuler la navigation d’un utilisateur sur sa banque en ligne, en rejouant ses secrets de connexion. Cette méthode comporte trois défauts principaux :

• L’agrégateur client n’est pas formellement identifié, empêchant l’établissement teneur de comptes de déterminer s’il s’agit d’un acteur légitime ou non ;
• Les secrets de connexion de l’utilisateur sont transmis et connus par un acteur tiers et ne sont pas gardés confidentiels par l’utilisateur ;
• La traçabilité des opérations n’est pas assurée car il est impossible d’établir la preuve d’origine d’une requête. Plus particulièrement, la granularité d’accès aux services utilisés et informations consultées par un acteur tiers n’est pas possible.

La directive (articles 66 et 67) oblige donc tous les acteurs, notamment AISP et PISP à s’identifier et s’authentifier pour consommer les services. Un consensus s’est établi autour de la réalisation d’une authentification mutuelle par certificat lors de l’établissement de toutes les communications entre un fournisseur de service (TPP) et un établissement teneur de compte (ASPSP).

Renforcement de l’authentification de l’utilisateur

Elément récurrent dans la directive et au cœur de l’un des Regulatory Technical Standards (RTS) définis par l’ABE (Autorité Bancaire Européenne), l’authentification renforcée des utilisateurs est une des mesures structurantes de cette directive.

Aujourd’hui, les solutions s’appuient principalement sur l’utilisation d’un mot de passe (rejouable et sujet au phishing) et sur l’OTP SMS (présentant des risques d’interception) pour l’authentification renforcée. Ces deux méthodes sont très répandues mais présentent des failles de sécurité et sont parfois coûteuses. Les nouveaux services de paiement mobile permettent aussi une identification par l’adresse e-mail ou par le numéro de mobile, non connu de la banque.

Les RTS visent à sécuriser cette authentification de l’utilisateur par la définition d’une authentification renforcée (« Strong Customer Authentication » ou SCA) comme une authentification à deux facteurs indépendants, c’est-à-dire que la compromission de l’un n’entraîne pas la compromission du second. La directive impose que l’établissement teneur de compte fournisse les moyens de réaliser cette authentification renforcée, et que chacun des deux facteurs soit sécurisé sur toute la chaîne de transmission.

Les solutions envisagées pour répondre à ce besoin sont de plusieurs natures :

• Le mot de passe reste un facteur principal aujourd’hui, à condition d’être accompagné d’un second facteur pour l’authentification renforcée.
• Les solutions matérielles, plus sures, présentent l’inconvénient d’un coût supplémentaire : token d’authentification physique, clé ou dispositif FIDO U2F…
• Les solutions logicielles sur smartphone sont en développement constant : notification in-app, token d’authentification logicielle, biométrie à l’aide des capteurs de l’appareil, MobileConnect…

Le lien dynamique, « dynamic linking »

Dans le cas particulier des transactions de paiement, la directive impose qu’un code unique soit généré pour permettre aux acteurs de la transaction d’être, à tout moment du processus d’authentification et d’autorisation, en mesure de retrouver les caractéristiques de la transaction. En particulier, l’utilisateur doit être conscient, durant la totalité du processus, du montant et du bénéficiaire de la transaction qu’il autorise.

Cette mesure est similaire à ce qui est déjà réalisé dans certains cas de paiement en ligne. L’utilisateur est en effet notifié par SMS avec le code OTP correspondant à une transaction unique, de son montant et de l’origine de la demande. Elle généralise donc cet usage et l’impose en condition pour toute transaction de paiement.

Les exemptions à l’authentification forte

Dans la définition du besoin d’authentification forte et les exigences sur la « Strong Customer Authentication », la DSP2 essaie également de maintenir un équilibre avec l’ergonomie de la navigation pour les utilisateurs des services. Pour cela, elle prévoit des cas où les fournisseurs de services de paiement peuvent choisir d’exempter leurs utilisateurs de la réalisation d’une authentification forte.

Les conditions en place pour réaliser ces exemptions sont précisément décrites dans les RTS, notamment suivant les modes de paiement de l’utilisateur. Il est ensuite de la responsabilité des fournisseurs de service de paiement de déterminer, à l’aide d’un score de risque, si une exemption doit être appliquée ou non.

Conclusion

Dans un contexte de digitalisation des services financiers induit par la montée en puissance des fintechs, la Commission Européenne et l’ABE favorisent l’ouverture à la concurrence et donc l’intégration des nouveaux acteurs au sein de l’écosystème des services de paiement. La DSP2 pose un cadre clair pour la sécurisation des services et interconnexions entre acteurs historiques et fintechs. Dans l’état cependant, elle comporte des limitations qui réduisent la portée des mécanismes de sécurité mis en avant. Un prochain article détaillera la nature de ces limitations.

Cet article Sécurité des opérations financières en ligne en 2020 : Quels sont les apports de la DSP2 ? (1/2) est apparu en premier sur RiskInsight.

Le dilemme de l’évolution des dispositifs antifraude : quels leviers pour intégrer ces technologies ?

Faisant écho à ces problématiques, l’écosystème des éditeurs s’est organisé pour proposer des solutions antifraude s’appuyant sur ces technologies. Ainsi éditeurs et start-ups se sont très largement développés, partout dans le monde (plus de 150 fournisseurs ont été recensés au sein du radar « Antifraude » Wavestone). Le besoin de lutte antifraude a en effet par nature une dimension internationale, notamment dans la protection des flux monétaires qui sont rarement limités à un seul pays.

Figure 2 :Exemple du radar des éditeurs antifraude Wavestone (extrait non exhaustif)

Même si la lutte contre la fraude apparait comme un use case de choix pour démontrer le ROI du Machine Learning (réduction du nombre de fraudes, automatisation de la détection…) et au-delà du choix de la stratégie d’outillage de lutte contre la fraude au regard de la maturité du marché, les questions à se poser doivent rester celles d’une solution SI « standard » (exploitation, maintenance, évolutivité…).

Si les coûts d’infrastructures nécessaires à la mise en place d’outils basés sur le Machine Learning et le big data ne sont pas négligeables, ils permettent de créer un environnement favorable à l’exploitation de la richesse des données pour divers usages (maintenance prédictive des serveurs, connaissance client, etc.) en gardant à l’esprit les garde-fous mis en place par le RGPD.

Figure 3 : Où peut-on agir avec le Machine Learning : exemple d’une banque

Une nouvelle cible à atteindre : une approche “sans couture” technologique et métier

Face aux nouveaux enjeux et l’apport des technologies émergentes, une nouvelle stratégie antifraude doit être désormais définie.

La mise en place d’un dispositif de détection globale de confiance qui devra respecter 5 grands principes.

• L’efficience et l’automatisation : il bénéficiera d’une détection à plusieurs critères (moteur de règles et Machine Learning) et d’une efficacité opérationnelle optimisée par l’automatisation de mesures allant de l’augmentation du niveau d’authentification demandé au gel d’un virement.
• L’évolutivité et l’omnicanal : il intègrera plusieurs périmètres dans la détection avec une logique « sans couture » entre le monde cyber et le monde « hors cyber » et sera conçu pour permettre l’intégration de nouvelles données disponibles (ex : données de biométrie comportementale).
• La visibilité et l’exploitabilité : il fournira la visibilité (reporting) et l’explication des résultats de détection, aux équipes antifraude, aux clients et également aux régulateurs.
• La conformité et la sécurisation : il respectera les obligations en matière de détection ainsi que les réglementations (RGPD), et traitera les risques inhérents au Machine Learning (tentatives de poisoning, compréhension par l’attaquant du modèle…).
• La gouvernance transverse cybersécurité et métier : une collaboration étroite des équipes de détection de menaces cyber et métier antifraude, dépassant les silos encore trop présents, permettra une réponse globale avec une vision 360 des menaces et fera le meilleur usage des données disponibles.

Pour bénéficier de tous les atouts apportés par cette nouvelle stratégie de détection, il conviendra également de ne pas négliger les systèmes d’investigation et de réaction.

Une décentralisation partielle de la lutte contre la fraude, impliquant les conseiller bancaires, permettra une plus grande capacité d’investigation. Ayant la connaissance la plus fine de leurs clients, ces derniers représentent un atout dans le processus d’investigation.

De plus, la biométrie comportementale et le machine learning permettent de fournir une meilleure visibilité sur le niveau de confiance qu’on peut accorder à l’utilisateur. Une fois le niveau de confiance défini, il est donc possible d’adapter les niveaux d’authentification demandés en conséquence. Une contribution adaptée et graduée de l’utilisateur permettra ainsi de réduire le nombre d’alertes émises.

La mise en place d’une nouvelle cible antifraude n’est pas seulement pour assurer une réponse adaptée à un changement de contexte mais aussi pour anticiper une vague de fond qui s’amorce aujourd’hui. La détection de fraudes deviendra à l’avenir de plus en plus complexe compte tenu d’une digitalisation qui va continuer à s’accélérer, en particulier sur les moyens de paiement. L’émergence de nouveaux acteurs, comme les Fintechs, et la désintermédiation grandissante des banques vont notamment entraîner un appauvrissement de la donnée disponible. Les dispositifs antifraude sont donc voués à évoluer en profondeur afin de garder et développer leur efficacité.

Cet article Revolution technologique : quelle perspective pour la lutte contre la fraude ? (2/2) est apparu en premier sur RiskInsight.

Les expériences et expérimentations du secteur bancaire, en avance sur ces problématiques, permettent d’envisager les perspectives à venir et fournit donc un prisme d’analyse utile aussi pour les autres secteurs.

Menaces, usages, réglementations : trois évolutions majeures qui impliquent des adaptations des dispositifs antifraude

Les transformations business et technologiques dans l’ensemble des secteurs d’activité font apparaitre des évolutions impactant directement les dispositifs antifraude historiques.

Les menaces évoluent, les pratiques de fraude se sont professionnalisées avec de nouveaux outils et de nouvelles pratiques. Prenons l’exemple du phishing : même sans connaissances informatiques, une cellule de fraudeurs entrainée peut désormais acheter un kit de phishing prêt à l’emploi et met en moyenne seulement trois minutes entre une connexion frauduleuse et une sortie d’argent. Les tentatives de fraude se sont donc démultipliées ces dernières années.

En parallèle, les usages évoluent vers une plus forte digitalisation, parfois dictés directement par des évolutions réglementaires, à la fois à destination des clients ou à destination des collaborateurs. Par exemple la mise en place de l’Instant Payment en France ou de la directive européenne sur les services de paiement 2ème version (DSP2) prévoient des virements instantanés. Ces nouveaux usages accélèrent les transactions financières entre les acteurs entrainant par la même occasion des besoins d’évaluation instantanée des risques de fraude. De plus, cette multiplication des canaux de paiement entraîne une augmentation de la surface d’attaque avec notamment une diversification des malwares bancaires aux applications mobiles ainsi que l’apparition de pratiques d’ingénierie sociale complexes multicanales et appuyées sur une compréhension des processus métier.

La diversification des fraudes, la volumétrie associée et l’augmentation des besoins de traitement instantané rend le traitement manuel presque impossible. La création de règles d’alertes plus restrictives pour minimiser les volumes ferait cependant courir le risque de manquer un grand nombre de fraudes.

Dans ce nouveau paysage, où la fraude devient de plus en plus technologique et peut avoir de multiples origines (clients, donneurs d’ordres, sous-traitants, fournisseurs, administrateurs…), les stratégies de détection doivent évoluer et passer d’une détection réactive des fraudes connues à une détection proactive des menaces encore inconnues.

Les nouvelles technologies, l’avenir de l’antifraude pour faire face à ce nouveau paradigme

L’approche historique de la détection de fraude est fondée principalement sur la définition de règles unitaires générant une alerte en cas de non-respect d’un des critères et sur la corrélation d’événements, consistant à mettre en œuvre des règles métiers plus avancées prenant en compte plusieurs types de données, afin de générer une alerte lorsque apparaissent des indices du déroulement d’un scénario de fraude connu.

Cette approche tout en demeurant efficace pour la détection de fraudes connues, par exemple dans la lutte contre le phishing, n’est plus suffisante pour faire face aux évolutions en cours. Une approche hybride doit être enrichie sur la base des nouvelles technologies présentes sur le marché (intelligence artificielle / Machine Learning, biométrie comportementale…) qui offrent deux grandes perspectives d’enrichissement des dispositifs actuels.

1.  Passer d’une détection de masse à une détection individualisée beaucoup plus fine qui va se concentrer sur les changements de comportement.

Le Machine Learning a la possibilité de créer des profils individuels à chaque client. Ces profils, composés de variables construites à l’aide des données collectées, vont permettre de modéliser le comportement. Ainsi, les algorithmes utilisés vont comparer le profil du client (et donc son habitude) avec un événement donné et, de fait, remonter une anomalie lorsqu’une divergence apparait. A noter que le nombre de variables manipulées peut facilement dépasser plusieurs dizaines, là où des règles statiques n’intègreront que quelques paramètres, permettant ainsi de démultiplier le potentiel de détection ou de réduire le nombre de faux positif.

2. Diversifier les périmètres à couvrir en bénéficiant des économies d’échelle apportées par ces technologies (mutualisation des infrastructures big data, massification des données, automatisation permettant un gain de temps pour les analystes…)

Ces technologies ont la capacité d’intégrer et corréler, grâce à des Data Lake sur lesquels elles s’appuient, des volumétries importantes de données brutes, techniques ou métiers (logs applicatifs, connaissances clients, opérations financières…) et d’apporter un potentiel d’enrichissement par des données extérieures (liste de surveillance, transformation d’adresses IP en localisations physiques…). Pour tirer le maximum de bénéfices des systèmes antifraudes, le Data Lake doit disposer d’un historique de données pertinentes et conformes, à savoir 13 mois pour des personnes physiques et 6 mois pour des personnes morales.

Pour autant ces technologies ne sont pas « magiques », elles nécessitent d’avoir à disposition des données en qualité et en quantité afin de réaliser un important travail préparatoire sur la construction des variables qui portent les capacités de détection des algorithmes. Cette phase de construction nécessite un apport d’expertise à la fois métier mais aussi technologique (datascience, développeurs, etc.).

Figure 1 – les principales méthodes de détection

Le choix des algorithmes n’est également pas à négliger, notamment d’un point de vue de la transparence. En effet, certains outils sont basés sur des algorithmes où les résultats sont difficilement justifiables. Le manque de visibilité sur les critères d’établissement des résultats entraine une remontée d’alertes en « boîte noire » et ne permet pas toujours de justifier les blocages aux clients. Une trop grande opacité peut également avoir des conséquences juridiques, voir être illégale, lorsque ces alertes ont des conséquences directes sur des clients.

Si ce premier article présente quelles sont les technologies d’avenir dans la lutte contre la fraude, un deuxième article viendra détailler comment les intégrer au mieux.

Cet article Revolution technologique : quelle perspective pour la lutte contre la fraude ? (1/2) est apparu en premier sur RiskInsight.

Comment l’idée vous est-elle venue ?

Emmanuel Ruiz nous explique que « l’équipe CopSonic [le] suit depuis plus de 15 années dans l’entrepreneuriat […] de traitement du signal audio ». Ayant découvert par hasard, en travaillant sur un effet spécial, qu’il était possible de « transmettre via du son de petites quantités de données », l’équipe structure ensuite le produit sous forme de Software Development Kit (SDK) « afin de sécuriser les échanges de données et de communications en champ proche ».

Quel est le plus grand risque de sécurité pour les banques et pour ses clients selon vous ? Comment répondez-vous à la menace qui pèse sur les banques ?

Emmanuel Ruiz met en avant que « le plus grand risque reste la fraude à l’identité et la validation d’une transaction de paiement à l’insu de la personne concernée. C’est en tout cas le risque que nous cherchons à couvrir avec notre technologie en équipant les utilisateurs d’une banque donnée avec une technologie universelle, sécurisée et facile d’utilisation ». La solution permet notamment de se protéger contre les nouvelles menaces qui se propagent par ultrasons car « il existe depuis 3 ans un virus véhiculé par ondes acoustiques entre appareils électroniques [ainsi que] des attaques sur des assistants vocaux [comme] Dolphin Hack ».

L’enjeu pour les RSSI aujourd’hui est de parvenir à concilier la facilité d’implémentation, la simplicité d’utilisation des solutions de sécurité avec une technologie sécurisée. Comment convaincre un RSSI de la pertinence de votre solution et de la sécurité du produit ? Quels sont les différenciateurs qui vous démarquent sur le marché ?

CopSonic propose une technologie conforme à la Directive PSD2 et au RGPD. L’intérêt pour les banques est de pouvoir exploiter la technologie directement en l’intégrant dans leurs applications “pour [leur] permettre de garder le contrôle sur la transaction de paiement réalisée par l’utilisateur final. Cette technologie est universelle et fonctionne sur tout type de dispositif, sans déploiement matériel nouveau à mettre en œuvre. Elle est donc incomparablement moins chère que les autres.”

Cette technologie inaudible à l’oreille humaine permet cependant de véhiculer des informations de manière sécurisée ; ce moyen de communication étant résilient à toutes les technologies électromagnétiques dans des usages de proximité (de type NFC ou Bluetooth). Le marché de la communication par les ultrasons est à l’aube de son explosion : par exemple Google se positionne déjà sur le paiement par ultrason avec sa solution Google TEZ, lancée depuis septembre 2017 en Inde.

Quelles sont les synergies entre votre innovation et les solutions de sécurité bancaires existantes à l’heure actuelle ?

CopSonic décrit sa technologie comme « avant tout complémentaire aux autres usages, dans un monde transactionnel mobile, web ou en champ proche [mais elle] s’impose en revanche comme la seule valable et compatible avec les assistants vocaux, qui vous demanderont bientôt de valider une transaction de paiement ». La solution de CopSonic offre donc « un service innovant répondant aux besoins des utilisateurs ». Par ailleurs, « sur les sujets de phishing, skimming, eavesdropping, [CopSonic propose] des solutions qui ne requièrent qu’une mise à jour logicielle dans l’infrastructure existante du serveur bancaire jusqu’à l’application mobile en passant par les POS, TPE ou ATM/DAB ».

Ces cas d’usages sont déjà une réalité puisque CopSonic annonce « travailler avec une banque française pour proposer sur des TPE un ‘’QRCode Invisible’’ : le service proposera en parallèle un ultrason pour sécuriser cette transaction via un OTP ultrasonique ». Par rapport à un QRCode classique, l’avantage pour l’utilisateur réside dans le fait qu’il n’aura pas besoin de viser avec la caméra de son smartphone le TPE.

Comment voyez-vous la banque de demain ? Quelles opportunités pour la cybersécurité dans la banque de demain ?

Pour CopSonic, le plus grand changement qui attend la banque de demain est lié à la sécurisation de l’expérience utilisateur : ces derniers sont de plus en plus exigeants sur l’ensemble de la chaine. Depuis la mise en relation jusqu’à l’expérience de paiement, ils attendent de la banque un parcours fluide et sécurisé.

Emmanuel Ruiz détaille ainsi : « Le développement des paiements instantanés (peer-to-peer), des paiements IOT (comment payer une prise de courant qui vous délivre 60 minutes de courant ?) et des nouveaux comportements de consommation (assistants vocaux au domicile, en voiture connectée) vont voir naître autant de nouvelles normes que de nouveaux risques et solutions pour les couvrir au mieux. La banque devra en tout état de cause continuer d’équiper ses utilisateurs de moyens de validation de transactions de paiement en conciliant sécurité et facilité d’utilisation. »

Pour en savoir plus : https://www.copsonic.com/

Cet article L’INTERVIEW DE COPSONIC – LA SECURITE PAR LES ULTRASONS est apparu en premier sur RiskInsight.

In response to industry feedback, including Wavestone’s continuous involvement in the framework development (see our most recent contributions here and here), NIST is now working hard to allow the guidelines to more easily apply to organizations, thanks to sector-specific “Profiles” (e.g., Manufacturing Profile released in September 2017).

The Financial Services Sector Coordinating Council (FSSCC) recently held a workshop hosted by NIST in Washington, D.C., to further develop the Financial Services Profile of the framework. It gathered not only industry members but also regulators such as the FED and the OCC. While it is still preliminary, here are few takeaways…

A new risk-tiering methodology

First and foremost, the profile introduces the concept of risk tiering similar to that of the FFIEC Cybersecurity Assessment Tool (CAT), but with qualitative rather than quantitative criteria. It proposes thirteen questions to determine the organization’s criticality level from 1 (Critical) to 4 (Relevant) based on criteria such as systemic importance, as well as geographical and geopolitical considerations. This criticality level then determines applicable “diagnostic statements” to assess.

The methodology aligns well with industry best practices and is tailored to financial services. However, the sequence of questions to determine an organization’s inherent risk is likely to have most if not all financial institutions rated at Level 1 or 2. For example, any organization collecting and/or managing end-consumer Personally Identifiable Information (PII) would be designated a Level 2: Significant risk. While coverage of PII and privacy in general is welcome in a context of increased privacy concerns, it may not be so relevant from an inherent risk perspective.

Qualitative assessments, such as the one proposed here, are relevant for smaller institutions, but bringing cybersecurity risk management practices closer in maturity to those of credit and market risk management would require leveraging quantitative assessment methodologies. The recent paper Cyber Risk for the Financial Sector: A Framework for Quantitative Assessment from an IMF economist points in that direction.

Significant changes to the Framework Core and diagnostic statements

The profile builds on to the Framework Core with two new functions: “Governance” and “Supply Chain/Dependency Management.” These additions put more emphasis on key areas, but at the cost of changing the well-known “Identify-Protect-Detect-Respond-Recover” structure, which is helpful for communicating with business and senior management.

The profile does not stop here, as it also increases the number of Categories and Subcategories, +8 and +20 respectively. While these additions are mostly relevant, they are not specific to Financial Services and could therefore be added to the Framework Core itself.

Based on this structure, the profile defines 300 diagnostic statements leveraging again the FFIEC CAT and other resources from NYS DFS, FSB, and CPMI-IOSCO.

More precise assessment criteria

When utilizing the NIST CSF, the FFIEC CAT, or any other generic framework or tool, most firms at some point end up defining specific potential answers to assessment criteria. Indeed, firms may have protection mechanisms in place, but they may not be consistently deployed across all assets. Similarly, while a measure may not yet be in place, a clear path forward may have been defined. Such scenarios are relevant to reflect an organization’s cybersecurity maturity.

The profile addresses this issue by proposing seven possible answers which successfully address common scenarios: “Not Applicable,” “Yes,” “Yes-Risk Based,” “Yes-Compensating Controls Used,” “Partial-Ongoing Project w/Action Plan,” “Not Tested,” and “No.” This addition is certainly an important step toward more consistent framework use and a foundation for maturity measures across organizations and across industries.

The need to think global

The proposed profile is currently presented as U.S.-centric. Indeed, most questions in the risk-tiering section and most diagnostic statement references relate to U.S. references. While this focus would be helpful for initial adoption in the U.S. market, it could be a barrier to expansion moving forward. Country-specific references are helpful, but the Profile itself should be kept as generic as possible, with U.S. references provided as add-ons only. FSSCC peers could then develop other add-ons at the country or region-level.

Moreover, the proposed profile must further address the challenge of managing different maturity levels across geographies. Given the pervasive nature of cyber risk, shouldn’t organizations ensure a consistent maturity across geographies unless sufficient segregation is ensured? As challenging as it sounds, the magnitude of risk certainly justifies this approach.

As regulations are introduced worldwide and organizations are more and more global, managing complexity and avoiding inconsistencies necessitate a common framework. The Financial Services Profile as intended by the FSSCC has an important role to play in this respect. More than a pragmatic approach to leverage the NIST CSF, it aims at greater regulatory harmonization and streamlined regulatory compliance efforts. It is laudable and certainly long-anticipated by organizations.

Cet article NIST and FSSCC Team Up for Financial Services Cybersecurity est apparu en premier sur RiskInsight.

La cybersécurité au cœur des préoccupations de Société Générale et de Wavestone

Les « Banking Cybersecurity Innovation Awards » s’adressent aux startups et PME innovantes européennes pour qu’elles fassent découvrir et qu’elles mettent en valeur leurs solutions en matière de cybersécurité, en particulier sur les thématiques [de la sécurité de la Blockchain, les services FinTech, le paiement mobile…]. Cette initiative fait appel aux esprits les plus créatifs des entrepreneurs européens pour construire la cybersécurité de la banque de demain et assurer la confiance numérique de la banque et de ses clients.

Les candidats pourront concourir dans trois catégories :

• Confiance numérique pour la banque : pour les solutions visant à sécuriser les systèmes internes de la banque, aussi bien métiers que liés aux infrastructures informatiques.
• Confiance numérique pour les clients : pour les solutions visant à sécuriser les échanges entre la banque et les clients, il s‘agit de solutions visibles des clients ou mise en œuvre sur leurs terminaux.
• Spécial France : pour une startup dont le siège social est basé en France et dont le capital est majoritairement détenu par des personnes, morales ou physiques, françaises.

Un jury d’envergure

Les lauréats seront départagés d’abord sur dossier puis en soutenance orale, le 06 juin 2017 dans les locaux de Wavestone, par un jury composé de membres reconnus pour leur expertise à la fois technique et stratégique dans le domaine de la cybersécurité et de la banque :

• Françoise Mercadal-Delasalles, Directrice des Ressources et de l’Innovation, Société Générale
• Laurent Goutard, Directeur de la Banque de Détail en France, Société Générale
• Thierry Olivier, RSSI, Société Générale
• Pascal Imbert, CEO Wavestone
• Reza Maghsoudnia, Strategic Devlopement Director Wavetone
• Gérôme Billois, Senior Manager Cybersecurité Wavestone
• Guillaume Poupard, Directeur Général ANSSI
• Patrick Duvaut, Directeur de la recherche au sein de l’école Télécom ParisTech
• Sébastien Couasnon, Journaliste et présentateur de Tech & Co sur BFM Business

Les collaborateurs Société Générale et Wavestone auront également l’opportunité de voter pour le candidat de leur choix, lui octroyant ainsi une voix supplémentaire par société.

Les 3 lauréats remporteront alors la possibilité de tester leur solution au sein du Système d’Information de la Société Générale et d’intégrer « Shake’Up », le programme d’accélération de Startup de Wavestone.

Enfin, la cérémonie de remise des prix se déroulera le 05 juillet 2017 après midi, sur le nouveau technopôle de la Société Générale, « Les Dunes », à Val de Fontenay
Visitez https://www.banking-cybersecurity-innovation.com/index.html Pour plus de renseignement ou pour proposer votre candidature.

Cet article Première édition des “Banking Cybersecurity Innovation Awards” est apparu en premier sur RiskInsight.

Le secteur bancaire, une cible historique

Les attaques contre le secteur financier ne sont pas une nouveauté, il s’agit même d’un secteur de prédilection pour les pirates agissant à des fins vénales. Mais en 2016 nous avons assisté à une diversification et à une intensification de ces attaques. En effet, au cours de l’année passée, plusieurs attaques majeures, motivées par l’attrait de gains financiers importants, ont été réalisées contre des banques de détail et d’investissement mais également contre des banques centrales. Sans viser à être exhaustif, cet article présente de manière synthétique certains des cas emblématiques.

Pour les banques, trois zones de risques, poreuses entre elles, sont clairement identifiées:

Depuis l’existence d’Internet, les failles des systèmes accessibles directement aux clients ont été largement exploitées par les cybercriminels qui ont continué à faire évoluer leurs techniques en 2016.

Les distributeurs de billets, très exposés historiquement, ont été visés par de nouveaux malwares, notamment ALICE et RIPPER. Ces malwares peuvent être installés sur la machine de deux façons différentes :

• En passant par le réseau auquel est connectée la machine pour accéder aux serveurs de gestion, nécessitant d’infiltrer le SI de la banque.
• Directement sur le système d’exploitation de la machine à l’aide d’un port USB mis à nu.

Le piratage des distributeurs de billets a résulté à la perte de plusieurs millions d’euros au cours de l’année passée pour différentes banques à travers le monde. En Europe, le groupe de cybercriminels Cobalt a piraté des distributeurs dans une douzaine de pays pour un montant inconnu. Des attaques similaires ont eu lieu à Taïwan et en Thaïlande avec le vol de 2,5M$ et 350k$ respectivement.

D’une autre manière, les DAB et TPE peuvent servir d’hôtes aux fameux « Skimmers ». Il s’agit d’un dispositif hardware plus ou moins discret permettant de récupérer l’empreinte de la carte des utilisateurs. Plusieurs types de « Skimmers » existent dont en particulier :

• Les Skimmers externes, reproduction de tout ou partie de la façade de la machine qui s’installe au-dessus du distributeur ou du terminal de paiement.
• Les Skimmers internes, s’installant directement dans le lecteur de carte de la machine .

Cette seconde méthode très en vogue en 2016 est difficilement détectable car il n’y a pas de modification importante de l’aspect physique de la machine, seule une caméra externe est requise pour capturer le code PIN. De plus ces Skimmers internes n’affectent ni le système d’exploitation ni le fonctionnement de la machine.

Beaucoup plus connus, les malwares de type cheval de Troie, continuent d’évoluer et sont toujours largement utilisés pour récupérer les informations de paiements des clients ; certains d’entre eux sont spécialement développés pour les smartphones, notamment sur Android.

L’évolution des attaques vers les systèmes exposés et internes en 2016

Les cas d’attaques les plus importants de l’années 2016 dénotent une évolution du mode opératoire des attaquants avec une préparation minutieuse qui dure jusqu’à plusieurs mois. Pour s’introduire dans le système d’information des institutions financières et le manipuler, des méthodes spécifiques doivent être suivies, en se basant sur le fonctionnement et les processus métier. Ces derniers sont étudiés longuement par les attaquants, afin d’agir efficacement et en toute discrétion.

Après ce temps de préparation et une fois le système d’information de la banque pénétré, les attaquants sont capables de manipuler les applications métier et de détourner des montants jusque-là impensables avec une seule attaque dont l’exécution ne dure que quelques heures.

Citons notamment en 2016 le record de l’année : 81 M$ qui ont quitté « les coffres » de la Bangladesh Bank de façon non légitime.

Le mode opératoire de l’attaque sur la Bangladesh Bank, ayant eu lieu au mois de février, permet de mieux comprendre comment le détournement de telles sommes est possible.

Les attaquants ont commencé par ouvrir au mois de Mai 2015 des comptes à la banque RCBC aux Philippines sous de fausses identités. Ils ont ensuite réussi à s’introduire dans le SI de la Bangladesh Bank, par une faille non identifiée.

Vient alors la phase préparatoire lors de laquelle ils ont installé sur le réseau de la banque un malware espion spécialement développé qui les renseigne sur les horaires de fonctionnement de l’équipe en charge des transactions SWIFT afin de s’aligner sur les pratiques de la banque. Ils parviennent aussi à récupérer les identifiants des opérateurs ayant les droits de création, approbation et exécution de ces transactions.

A la suite de cette période de préparation, l’attaque est lancée en Février 2016 avec 35 transactions frauduleuses ordonnées à la New York FED, gérant des comptes de la Bangladesh Bank pour un total de 951 millions de dollars vers des comptes de la RCBC aux Philippines, créés au préalables et associés à l’industrie du jeu et des casinos. La principale nouveauté repose dans le fait que le malware utilisé modifie les confirmations de transactions, supprime les enregistrements électroniques des ordres et bloque l’impression des récépissés papier pour ne laisser aucune trace de la fraude.

31 transactions seront bloquées par le système anti-fraude de la New York FED et les intermédiaires en cours de route, mais au final 4 transactions sont validées pour un montant total de 81 millions de dollars. Les fonds seront ensuite retirés des comptes pour être blanchis. L’enquête implique le FBI et le gouverneur de la Bangladesh Bank a été limogé.

En réponse à cette attaque et à des tentatives similaires contre des banques Vietnamiennes et Equatoriennes, le SWIFT a lancé en 2016 un programme de sensibilisation pour ses clients ainsi que des recommandations pour une meilleure cyber sécurité.

A quoi s’attendre pour la suite ?

Ce contexte agité promet donc une année 2017 sous haute vigilance pour tous les acteurs du monde financier. La tendance à mener des attaques en profondeur contre leurs systèmes devrait s’intensifier, nécessitant une réelle évolution dans l’appréhension de la cybersécurité. Certaines annonces tonitruantes comme celle réalisé au Royaume-Uni « a major bank will fail »  tente d’alerter sur cette situation.

La capacité des attaquants à agir directement sur les éléments clés du SI bancaire tels que le système anti-fraude et les applications métier impose aux banques de durcir leur sécurité informatique à tous les niveaux ; que ce soit par exemple avec la protection contre les intrusions, une meilleure gestion des identités ou des systèmes d’authentification forte pour les utilisateurs sensibles.

La spécificité du milieu bancaire à fonctionner sur un modèle de réseau fortement interconnecté implique que la cybersécurité des services partagés, tels que les systèmes de transactions internationaux ciblés à plusieurs reprises, soit abordée globalement afin de garantir un niveau de sécurité cohérent entre les établissements financiers.

Article réalisé conjointement avec les travaux de préparation du panorama de la cybercriminalité du CLUSIF 2017 sur la partie “menaces touchant la finance”. 

Cet article 2016 : les cyberattaques touchent la banque sur tous les fronts est apparu en premier sur RiskInsight.

Machine Learning, démystification et opportunités

Le Machine Learning est une forme d’intelligence artificielle qui consiste à apprendre et modéliser un phénomène pour mieux le comprendre et le maîtriser. Pour cela, un ou plusieurs algorithmes permettent d’établir des corrélations entre les évènements qui composent ce phénomène. On distingue deux grands types de méthodes :

• Les méthodes supervisées, qui créent des modèles à partir d’une base de données d’exemples (généralement des cas déjà traités et validés).
• Les méthodes non-supervisées, qui n’ont pas besoin d’une base de données d’exemples

Pour illustrer la différence entre les deux méthodes, on peut considérer le cas de la détection de fraude. Pour s’entraîner et créer des modèles précis, les méthodes supervisées utiliseraient en entrée des données déjà traitées et marquées comme étant liées ou non à des cas de fraude (schémas de fraude connus), alors que les méthodes non-supervisées utiliseraient des données brutes issues des applications du SI afin de modéliser les comportements normaux. Conceptuellement, cela revient à modéliser respectivement ce qui est anormal (la fraude – en ayant assez de données pour que cette représentation soit fidèle) ou ce qui est normal (en détectant de facto les fraudes lorsque l’on s’éloigne de cette normalité).

Tous les algorithmes ne se valent pas. Chacun possède des qualités et des défauts qu’il faut savoir peser et qui dépendent en grande partie des données d’entrée, propres à chaque cas métiers. Il est important de choisir des données à la fois pertinentes et disponibles en quantité suffisante pour obtenir des résultats probants. Dans le contexte de la Banque en Ligne, de nombreuses données peuvent faire l’objet de Machine Learning :

• Habitudes de transaction : montants des virements, pays destinataires…
• Habitudes de connexion : heure de connexion, user-agent, device utilisé…
• Habitudes de navigation : parcours client, vélocité de navigation…
• Données comportementales : vitesse de frappe, déplacement de la souris…
• Données marketing : produits consommés, libellés des virements…

Correctement exploitée par des algorithmes de Machine Learning, la conjugaison de ces différentes données, précédée par un traitement tirant le maximum de leur valeur, peut permettre des résultats bien plus significatifs que ne le permettent les méthodes classiques. La connaissance client (KYC), en exploitant par exemple le parcours client type, la détection de fraude, en utilisant les habitudes de virement pour identifier des cas suspects (pays de connexion, distribution des montants…), ou encore le marketing à travers la connaissance des habitudes de consommations (analyse des libellés, regroupements des achats par catégories…) peuvent notamment largement tirer parti de ces données.

Concrètement, quels sont les gains du Machine Learning ?

Tout d’abord, connaître le client et mieux adresser ses besoins

Le Machine Learning permet de tirer le maximum de valeur des données en singularisant les modèles là où les méthodes « classiques » reposent sur un modèle commun à l’ensemble des données d’entrée. Par exemple dans le cas de la détection de fraude, les modèles de règles « classiques » reviennent à élaborer un modèle qui sera commun à tous les clients, sans tenir compte de leur unicité, là où le Machine Learning permettra une détection plus efficace en associant un profil à chaque client et en effectuant une surveillance et une détection propres à ce profil. Ce raisonnement vaut pour tous les autres domaines d’applications, et permet, in fine, une meilleure représentation et une meilleure connaissance non plus « du client » au sens large, mais de chacun des clients.

Le Machine Learning permet également d’offrir de nouveaux services

Au-delà de l’amélioration notable des résultats basés sur les KPI classiques (taux de faux positifs, taux de détection…), le Machine Learning permet une création de valeur en termes de gains financiers en personnalisant les outils dont profite le client. Cela peut parfaitement servir de socle à une offre commerciale qui reposerait par exemple sur la personnalisation de ses seuils par le client ou sur la possibilité d’être alerté en temps réel lorsqu’une information marketing, commerciale ou concernant sa sécurité a particulièrement du sens. Certaines banques ont d’ailleurs déjà franchi le pas, en offrant la possibilité à leurs clients Entreprises d’être alertés en cas de virements qui dépassent des seuils personnalisés préalablement établis.

Finalement, le Machine Learning est aussi une occasion de moderniser les outils et rester à l’état de l’art

Lancer un projet de Machine Learning permet de communiquer sur le sujet et de profiter du buzzword pour générer de la satisfaction chez un certain nombre de client de plus en plus sensible à des problématiques de sécurité ou de confidentialité, tout en s’assurant d’être à l’état de l’art du marché. Cela peut également permettre de moderniser des outils existants en vue des changements qui vont continuer d’opérer dans la Banque en Ligne au gré des nouvelles règlementations et des exigences techniques (temps réel notamment avec Instant Payment) et métiers qui en découlent. Dans ce cadre, on voit par exemple éclore des méthodes de Machine Learning pour la surveillance des marchés et lutter contre les délits d’initiés.

En conclusion, la pleine maîtrise technique du Machine Learning coïncide avec de nouveaux besoins et de nouvelles exigences exprimés dans la Banque en Ligne moderne. Embrasser cette évolution présente de nombreux avantages, de l’amélioration des performances et des résultats à la satisfaction des clients, en passant par une meilleure flexibilité technique. La maîtrise des différentes méthodes doit permettre un renouvellement des traitements et des processus métiers, en les rapprochant du client (aujourd’hui ces méthodes sont plutôt transparentes pour lui). Dans le cas de la lutte contre la fraude, on peut par exemple imaginer de nombreux cas autour de l’alerting et des contre-mesures, comme une vérification par authentification forte en cas de suspicion, ou des informations reçues en temps réel pour mieux impliquer les clients.

Cet article Le Machine Learning, quelles opportunités et quels enjeux dans une Banque en Ligne moderne ? est apparu en premier sur RiskInsight.

Parallèlement, les chiffres de la fraude n’ont cessé de progresser, pour dépasser en 2014 les 500 millions d’euros détournés sur le plan national. Dans la plupart des cas, cette fraude est due à l’utilisation de numéros de carte volés.

Pour endiguer cette tendance, les principaux organismes émetteurs de cartes bancaires (dont Visa et MasterCard) ont décidé de fonder en 2005 le Payment Card Industry Security Standard Council, dont le porte-étendard demeure sans nul doute PCI DSS (Payment Card Industry Data Security Standard).

PCI DSS et la nébuleuse des responsabilités

Le standard PCI DSS s’applique à « toute entreprise qui stocke, traite ou transmet des données carte ». Cette définition englobe donc aussi bien les banques que les commerçants, ou encore les prestataires de service de paiement (PSP), qui ont de ce fait des comptes à rendre devant les réseaux émetteurs de cartes. Pour être conformes à PCI DSS, ces acteurs doivent ainsi respecter les 280 exigences de sécurité qui composent le standard, réparties autour de 12 thèmes de nature technique ou organisationnelle.

Il convient par ailleurs de noter qu’en France, le standard PCI DSS n’est pas une obligation légale, mais est imposé contractuellement par les principaux acteurs du marché : Visa et MasterCard. Une société non conforme à PCI DSS s’expose ainsi à des pénalités financières, qu’elles soient imposées directement par les réseaux, ou par un partenaire de la chaine de paiement, comme ce fût par exemple le cas pour le Groupe Aldo en 2010.

Toutefois, les acteurs concernés n’ont pas tous les mêmes responsabilités vis-à-vis de la norme. Si la conformité des commerçants doit être justifiée chaque année auprès de Visa et MasterCard, ce n’est pas le cas de la banque, qui n’est pas tenue de réaliser un reporting régulier sur sa propre situation. Elle est en revanche responsable de celle de ses commerçants, autrement dit sa clientèle professionnelle. En effet, la déclaration des commerçants demeure du ressort de la banque, qui s’expose en cas de non-conformité ou de compromission chez l’un de ses clients à des pénalités financières.

Des commerçants aux profils variés…

Tous les commerçants ne présentent pas le même profil vis-à-vis du standard, et ne font donc pas face aux mêmes obligations. PCI DSS distingue quatre catégories, dont la plus élevée regroupe les marchands effectuant plus de six millions de transactions annuelles sur un réseau. Ces sociétés doivent impérativement obtenir une certification PCI DSS, délivrée à l’issue d’un audit au cours duquel l’intégralité des points de contrôle est vérifiée. Les autres commerçants n’ont pas d’obligation de certification. Leur conformité est justifiée par le biais d’un processus déclaratif, matérialisé par un questionnaire d’auto-évaluation (Self Assessment Questionnaire, SAQ). Ce questionnaire, complété chaque année, permet d’attester que l’ensemble des points de contrôle de la norme est respecté par le commerçant.

Les commerçants ne sont toutefois pas contraints de supporter eux-mêmes l’intégralité des exigences adressées par la norme. Un e-marchand ne comptant que quelques salariés ne disposera vraisemblablement pas de service informatique spécifique, ne développera probablement pas lui-même son site internet, et hébergera encore moins les fonctionnalités de paiement sur son système d’information. Les commerçants dans cette situation ont ainsi la possibilité de reporter une partie des responsabilités liées au standard vers un prestataire proposant une solution de paiement certifiée PCI DSS. Le commerçant choisissant cette solution ne deviendra pas automatiquement conforme à PCI DSS, mais portera considérablement moins de risques sur son périmètre. À titre de comparaison, le SAQ correspondant à cette situation n’adresse que deux des douze thèmes (sécurité physique et gestion des prestataires) du standard, pour un total de 17 exigences à couvrir.

…dont la banque hérite d’une responsabilité complexe

La banque est responsable de la déclaration de l’ensemble de ses commerçants auprès des réseaux. Si les marchands les plus conséquents sont susceptibles d’être d’autant plus réceptifs voire demandeurs de cette démarche PCI DSS, ce n’est pas nécessairement le cas des commerçants peu exposés, en règle générale également peu sensibles aux questions de sécurité. Aborder le standard sous l’inconditionnel angle réglementaire serait alors voué à l’échec. Le client risquerait en effet de se tourner vers une autre banque, ne lui imposant pas ces contraintes dont il ne perçoit pas la nécessité.

Il appartient alors à la banque d’accompagner son commerçant, en lui faisant dans un premier temps comprendre les enjeux portés par la sécurisation des données. Pourquoi protéger les données carte ? Quels risques encourus en cas de compromission ? Comment corréler sécurité et développement du business ? Toutes ces questions peuvent être abordées sans même évoquer PCI DSS. L’objectif est que le marchand intègre la protection des données comme vecteur de sécurisation de son business, lui permettant de continuer à travailler en acceptant les moyens de paiement Visa et MasterCard, et de développer la confiance de sa clientèle.

En tant que premier relais de l’établissement bancaire auprès du client, le chargé d’affaires peut être l’interlocuteur privilégié pour aborder ces questions. Il est alors du ressort de la banque de définir sa cible en termes de sensibilisation, et de former ses conseillers au discours sécurité qui doit être intégré au sein de la démarche commerciale globale.

En synthèse, la banque se retrouve donc dans une position complexe d’intermédiaire entre les réseaux carte et ses propres clients. Pour satisfaire les deux parties, il est alors nécessaire de gérer les risques associés à leurs intérêts divergents. Risque réglementaire d’une part, lié au non-respect des exigences imposées par Visa et MasterCard. Risque économique d’autre part, dû à une fuite d’une partie de sa clientèle.

Définition d’une stratégie de déclaration, le véritable enjeu pour la banque

La multiplicité des profils au sein d’un portefeuille clients proscrit l’adoption d’une réponse unique. Pour satisfaire l’ensemble des acteurs impliqués, une stratégie portant sur la déclaration de chaque client doit ainsi être mise en œuvre.

Imposer le remplissage systématique d’un SAQ en vue d’une déclaration ne convaincra pas les plus petits commerçants, moins exposés et moins enclins à consacrer les ressources nécessaires à une mise en conformité PCI DSS. À l’inverse, laisser une marge de manœuvre totale à ses clients exposera la banque aux pénalités imposées par Visa et MasterCard en cas de compromission.

La stratégie adoptée doit donc se construire sur la base des profils commerçants, pouvant être modélisés suivant deux paramètres :

• Exposition au risque : le commerçant est d’autant plus exposé qu’il réalise un grand nombre de transactions carte à l’année, et qu’il est au contact de ces données (par exemple en les stockant sur son système d’information, ou en portant certaines fonctions de paiement en interne).
• Maîtrise des exigences PCI DSS : le commerçant a un niveau de maîtrise d’autant plus important qu’il est en mesure d’allouer les ressources nécessaires à la démarche de mise en conformité, et qu’il manifeste sa volonté de conformer aux règles du standard.

En définitive, la meilleure réponse que puisse apporter une banque à la question PCI DSS repose sur une approche pragmatique. Connaître son portefeuille clients et identifier les risques portés par chacun d’entre eux doit permettre de répartir au mieux les moyens à consacrer à leur mise en conformité. Cet engagement de moyens sera par ailleurs perçu de façon positive par les réseaux carte, moins susceptibles de se retourner vers la banque si une compromission commerçant venait malgré tout à se produire.

Cet article PCI DSS : Quelle stratégie pour la banque vis-à-vis de ses commerçants ? est apparu en premier sur RiskInsight.

La Directive de Services des Paiements : une première initiative

L’adoption par le Parlement Européen en 2007 de la Directive de Services des Paiements (DSP) et sa transposition sur le plan national en 2009 avait pour objectifs majeurs d’harmoniser les services de paiements de l’Union Européenne et de stimuler la concurrence. Mise à part le fait qu’à partir de cette adoption, il est possible d’effectuer et recevoir des paiements d’Allemagne, d’Espagne, du Royaume-Uni… aussi aisément qu’en France ; un nouveau statut d’Établissement de Paiement (EP) a été créé. Il permet à de nouveaux acteurs autres que les banques et les établissements de crédit de fournir des services de paiement. En France, les EP sont agréés par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).

L’héritage de cette première version concernait 3 types de Fintech : celles proposant des opérations de paiements associés à un compte (ex : Slimpay qui permet de générer des mandats de prélèvements électroniques), les transferts de fonds et les émissions d’instruments de paiement (ex : portefeuille électronique). Les plateformes de financement (crowdfunding) qui ne fournissent pas de services de paiement n’entrent pas dans le champ d’application de la DSP1. Elles sont par ailleurs réglementées par l’ordonnance du 30 mai 2014 en tant que service de financement. Celles qui perçoivent des fonds bénéficient jusqu’à présent d’une dérogation, du fait que le montant total de leurs opérations de paiement soit inférieur à 3 000 000 € sur un mois (article 26 de la DSP1).

De nouveaux types d’acteurs, un nouveau cadre réglementaire

Le développement des Fintech a fait apparaître de nouveaux services de paiements depuis la DSP1 : les services d’information sur les comptes (ex : agrégateur de données Bankin’) et les services d’initiation de paiement (ex : Sofort), autrement appelés les tiers de paiement (Third Party Providers ou TPP). Ces nouveaux acteurs, se connectant aux banques des utilisateurs via leur login/mot de passe bancaire, ne sont pas pris en compte par la DSP1 et engendrent de nouveaux risques (données n’étant plus sous la protection du secret bancaire, problématique liée aux responsabilités en cas de fraude, etc.).

La DSP2 (adoptée par le Parlement Européen le 8 octobre 2015 et qui devrait être transposée dans le droit national fin 2017) stimule toujours la concurrence tout en fournissant un nouveau cadre réglementaire adéquat entre les TPP et les banques. Concernant la DSP1, les contrôles sont effectués par l’ACPR, la CNIL et la DGCCRF et les sanctions peuvent aller jusqu’au retrait d’agrément de l’Établissement de Paiement (EP). La nouvelle version de la Directive laisse aux États membres la charge de définir le régime de sanctions à appliquer en cas de son non-respect, sanctions qui ne sont donc pour l’instant pas connues.

Extrait de l’article 103 de la Directive : « Les États membres déterminent le régime de sanctions applicables en cas d’infraction aux dispositions de droit national visant à transposer la présente directive et prennent toutes les mesures nécessaires pour en assurer l’application. Ces sanctions sont effectives, proportionnées et dissuasives ».

Une obligation pour les banques qui ouvre de nouvelles opportunités : la coopétition

La DSP2 impose aux banques de transmettre de façon sécurisée les données seulement nécessaires à l’activité des TPP et de rembourser le payeur en cas d’incident de paiement dans un délai de 1 jour (excepté si la responsabilité du TPP est engagée dans un incident de paiement, auquel cas, il doit lui-même rembourser immédiatement la banque). Pour autant, la directive ne précise pas les exigences techniques de sécurité auxquelles devront se soumettre les banques et les TPP. Le contenu des guidelines de l’Autorité Bancaire Européenne (prévus pour fin 2016) sera déterminant : les normes techniques devront prendre en considération l’éventail des risques inhérents aux nouveaux services de paiement.

Cette obligation peut être vue comme une opportunité pour les banques de développer des Open API. L’Open API est une interface de programmation qui permet à des tiers d’accéder à des ressources internes. Cet accès n’est pas forcément autorisé en lecture et en écriture à l’intégralité des données. La plupart du temps, il est limité et nécessite l’accord de l’utilisateur.

Les banques peuvent utiliser et promouvoir ces mécanismes afin de renforcer leur compétitivité, leur image de marque et proposer de nouveaux services plus rapidement en offrant la possibilité aux développeurs externes de créer de nouvelles applications à partir de l’Open API et en les rémunérant en échange. Ce mouvement est essentiel pour que les banques gardent la main sur l’innovation et les nouveaux services pour continuer à se différencier. Certaines banques ont déjà initié une démarche proactive et innovante en mettant en place un Open API soit ouvert au public (CA Store, Fidor Bank) soit restreint à des partenaires (Bradesco, Garanti).

Cet article La DSP2 : une directive sur les services de paiements qui prône la concurrence est apparu en premier sur RiskInsight.

Cet article Dossier : Solvabilité II, Assureurs, êtes-vous vraiment prêts ? (2/2) est apparu en premier sur InsuranceSpeaker.

Cet article Dossier : Solvabilité II, Assureurs, êtes-vous vraiment prêts ? (2/2) est apparu en premier sur RiskInsight.

Une multiplicité des moyens de paiement

Le panorama des nouveaux moyens de paiement ne cesse d’évoluer au fil des années. Cette évolution sous-entend aussi une diversité des technologies utilisées par chaque solution.

Le e-commerce : Les transactions en ligne via un ordinateur se résume généralement à recopier les données d’une carte bancaire sur un site marchand. Il est toutefois possible d’utiliser un portefeuille électronique, comme le propose par exemple PayPal.

Le m-commerce : On distingue différents modes de paiements sur mobile :

• Le paiement à distance, via internet sur une application dédiée ou sur un navigateur, ou encore par SMS en utilisant la technologie USSD (Unstructured Supplementary Service Data). Ce protocole de communication permet entre autre de consulter son suivi conso et de payer sa facture en tapant #123# depuis son mobile. Ce dernier est aujourd’hui surtout présent dans les régions du monde où la population est peu bancarisée ;
• Le transfert d’argent de mobile à mobile, est un service proposé par de plus en plus de portefeuilles électroniques, à l’instar de Google Wallet ou des portefeuilles Bitcoin;
• Le paiement de proximité, ou paiement sans contact, permettant de payer chez le marchand avec son smartphone. Cette solution est dominée par deux technologies. La première est le Near Field Comunication (NFC), comme le proposent Apple Pay et Google Wallet. La seconde est le Quick Response Code (QR Code), une technologie notamment utilisée par les portefeuilles Bitcoin ou DigiCash.

Il ne s’agit pas ici d’une liste exhaustive des nouveaux moyens de paiement, puisque d’autres solutions permettent de payer autrement, à l’image du NFC Reader proposé par Square. Cependant, il faut garder en tête que ces nouvelles solutions tendent à se généraliser. Reste à identifier les impacts au niveau de la sécurité.

Quels enjeux en matière de sécurité ?

Ces nouveaux moyens de paiement sont tributaires des supports qui les proposent. Autrement dit, de nouveaux risques apparaissent, puisque le smartphone devient en partie responsable de la sécurité du paiement. Certes, ces solutions proposent des systèmes de sécurisation de la transaction via par exemple le chiffrement ou la tokenisation (mécanisme visant à remplacer le numéro de la carte bancaire par un autre numéro unique et inutilisable dans d’autres contextes). Mais un smartphone n’est autre qu’un outil personnel pour l’utilisateur, donc potentiellement personnalisable ou attaquable. Or, une authentification désactivée, ou un smartphone « jailbreaké » (dont les fonctions de sécurité ont été déverrouillées) sont autant de problèmes de sécurité dont l’utilisateur est responsable ou peut être la victime en cas de failles de sécurité utilisées des pirates.

La solution de paiement doit donc proposer des mesures de sécurité pour palier à ces éventualités. Trois exemples concrets permettent de mieux comprendre les enjeux de la sécurité des nouveaux moyens de paiement.

Apple Pay, Google Wallet et les portefeuilles Bitcoin, trois solutions, trois philosophies différentes

Les solutions proposées par les deux géants américains Apple et Google, sont des portefeuilles électroniques. À noter que ce terme est un abus de langage car il signifie initialement l’utilisation d’un compte crédité. Ils permettent de payer via des applications qui les supportent, et ils permettent aussi de payer chez le marchand directement avec son smartphone par communication NFC. Google Wallet existe depuis septembre 2011 aux États-Unis alors qu’Apple Pay est lui disponible depuis octobre 2014 outre-Atlantique et depuis le 14 juillet 2015 en Grande Bretagne. On compte néanmoins plus de 700 000 terminaux de paiement acceptant chacune des deux solutions.

Apple Pay (à gauche) et Google Wallet (à droite)

L’une des distinctions majeures entre ces deux solutions réside dans le stockage des données à caractère personnel. Tandis qu’Apple certifie ne récupérer aucune donnée qui pourrait être reliée à l’utilisateur, Google, lui, se propose de récupérer et stocker toutes ces données dans le Cloud. La raison de ces choix technologiques provient du fait qu’Apple est propriétaire de sa technologie de bout en bout, il fabrique ses propres smartphones. De l’autre côté, Google ne fabrique pas les mobiles qui proposent sa solution de paiement. Ainsi, il se propose de stocker toutes les données sur le cloud afin de les sécuriser. Une confiance que l’on retrouve aussi au travers d’une solution en marge du système bancaire : le Bitcoin.

Les portefeuilles Bitcoin permettent de faire ses achats en monnaie « virtuelle » depuis son mobile. Il est en effet aujourd’hui possible de payer avec ses bitcoins chez certains marchands, et ce, même en France. Le Picotin par exemple, restaurant dans le 12^ème arrondissement de Paris, propose à ses clients de payer son addition par bitcoin.

© Sebastian Seibt | Le Picotin accepte les paiements en monnaie dématérialisée

De plus, certains portefeuilles électroniques comme igot (disponible en Australie) s’occupent de transférer au marchand l’équivalent de la quantité de bitcoin en monnaie locale.

Ce moyen de paiement virtuel présente de nombreux avantages, en particulier du point de vue de l’anonymisation même s’il reste peu répandu et sujet à des variations de valeurs extrêmement fortes.

Ces solutions sont donc une nouvelle expérience de paiement. Une expérience qui se voit portée par deux arguments : ergonomie et sécurité. Apple Pay, Google Wallet, et les portefeuilles Bitcoins peuvent-ils incarner l’avenir des paiements sécurisés ? C’est dans l’optique de répondre à cette question, qu’il sera nécessaire de décrypter la sécurité de ces trois nouveaux moyens de paiement. Cela fera l’objet de prochains articles de blog à ce sujet.

Cet article Démocratisation des nouveaux moyens de paiements : la sécurité au cœur des enjeux est apparu en premier sur RiskInsight.

La directive-cadre Solvabilité 2 date de 2009. Nous sommes presque en 2015. D’après vous, quelles ont été les plus grandes avancées du secteur de la mutualité sur la gestion des risques ?

Alban Jarry : Un meilleur adressage des éléments pouvant générer des risques qui améliore progressivement la transparence dans la remontée d’informations et, par conséquent, un meilleur pilotage de l’entreprise. Aujourd’hui, il est possible d’avoir des tableaux de bords plus précis sur les risques financiers, assurantiels, opérationnels ou environnementaux. Cartographier les risques et les anticiper permet de mieux informer la gouvernance et de l’éclairer dans sa prise de décision.

Serge Marcante : À la Mutuelle Générale, nous avons mis en place fin 2013 une Direction des Risques et de la Qualité (DRIQ) indépendante des directions opérationnelles. Elle regroupe quatre services qui permettent de couvrir les problématiques liées aux risques et à la surveillance des processus : la gestion des risques, la sécurité, la conformité et la qualité. Avant même la mise en application de la Directive, cette direction va permettre au Conseil d’Administration de disposer de toutes les informations sur les risques stratégiques qui peuvent affecter le profil de risque de la mutuelle et ainsi de les anticiper.

Plus particulièrement à la Mutuelle Générale, où en êtes-vous dans la mise en place de la fonction « Risques », l’une des quatre fonctions clés définies par Solvabilité 2 ?

SM : Cette fonction sera localisée (dès l’entrée en vigueur des textes législatifs) au sein de la DRIQ dans la Direction des Risques. Elle assurera le respect de l’article 44 de la Directive. Nos politiques de risques et de gouvernance sont en cours de finalisation et seront applicables pour 2016. Il est important de se préparer, dès à présent, aux échéances réglementaires qui vont arriver dans un peu plus d’un an.

AJ : Nous améliorons continuellement notre dispositif de surveillance des risques et les cartographions. C’est un travail collaboratif et nous nous appuyons, en particulier, sur la Direction de la Qualité et du Développement Durable qui a rédigé la plupart des processus et permis de mieux cartographier les risques opérationnels. Pour les risques assurantiels et financiers, nous nous sommes dotés d’outils de surveillance qui permettent de les suivre et de calculer, en particulier, les éléments quantitatifs du pilier 1.

Avez-vous déjà défini de quelle façon l’AMSB, notion nouvelle en France, va être constituée ?

SM : Nous attendons la transposition en droit français de l’AMSB pour finaliser notre organisation sur ce point et notamment sur le principe des « quatre yeux ». Ce point est toujours en cours de négociation avec les autorités.

Un des objectifs de l’ORSA est de développer la culture du risque à chaque échelon de l’établissement et de mobiliser l’ensemble des acteurs. Aujourd’hui, quels sont selon vous les acteurs les plus sensibilisés ?

SM : L’ensemble de la chaîne de décision et de gouvernance est progressivement sensibilisé : le Conseil d’Administration, la Présidence, la Direction Générale Déléguée, les membres du Directoire et du Comex. Il est primordial que tous soient informés et participent à la surveillance des risques.

AJ : Nous avons une structure de contrôle en trois niveaux assez classique : les directions opérationnelles, la DRIQ puis l’Audit. Au niveau des directions opérationnelles, nous sommes en train de renforcer la surveillance des risques avec la création de « correspondances DRIQ » qui seront les premiers relais de notre direction dans la structure. Il est important que les collaborateurs soient sensibilisés car ce sont les premiers acteurs d’une amélioration continue de la qualité.

La gestion des risques telle que requise par Solvabilité 2 est-elle jugée comme étant une opportunité au sein des établissements ou comme un frein au développement ?

SM : La performance exigée par Solvabilité 2 en matière de gestion du risque est une opportunité pour la structure et doit participer à son développement en l’aidant à mieux appréhender les risques inhérents à chaque décision et à mieux les maîtriser quand ils se présentent. Plus largement, la collecte de données et de simulations, le fait de devoir repenser la culture du risque et d’affiner les outils de gestion internes sont autant d’éléments positifs pour l’entreprise.

Selon vous, quels sont les facteurs clés de succès pour une bonne gestion des risques dans un établissement du secteur de la mutualité ?

AJ : Une bonne gestion des risques nécessite de tenir compte du principe de proportionnalité et de maîtriser les budgets affectés à leur surveillance. Surtout, il faut être pragmatique dans la prise de décision. Les fondations d’une bonne maîtrise des risques reposent avant tout sur notre capacité à faire preuve de bon sens. C’est dans ce but que nous avons réorganisé l’actif et avons retenu un unique dépositaire. Nous travaillons aussi avec nos différents délégataires de gestion pour optimiser nos traitements liés au passif. Dialoguer avec les autres acteurs du secteur en participant à des travaux de Place facilite aussi grandement la mise en place de Solvabilité 2.

A contrario, s’il n’y en avait que deux à citer, quels sont les écueils à éviter ?

SM : Le premier écueil serait de considérer que les nombreuses règles et procédures instaurées par Solvabilité 2 en matière de maîtrise des risques doivent se subsister au bon sens élémentaire, primordial dans ce domaine. La deuxième erreur serait de négliger le principe de proportionnalité, au risque de construire une usine à gaz et de perdre de vue l’objectif essentiel : maîtriser les risques de l’entreprise.

*Alban JARRY, Directeur du Programme Solvabilité 2 et de la Mutuelle Générale, Vice-Président de XBRL France.
**Serge MARCANTE, Directeur des Risques et de la Qualité et membre du Directoire de la Mutuelle Générale

Cet article La gestion des risques sous Solvabilité 2 : quelle intégration dans le secteur de la mutualité ? est apparu en premier sur RiskInsight.

Cet article Banques et sécurisation des transactions sensibles : les tendances dans quelques pays d’Europe est apparu en premier sur RiskInsight.

Nous l’avons vu lors d’un précédent article, les banques ont mis en place un certain nombre de mécanismes pour protéger leurs services bancaires en ligne.

Face à l’évolution des techniques des cybercriminels – et face, aussi, à l’évolution des usages des clients – ces mécanismes montrent depuis quelques temps leurs limites. Dès lors, quels moyens sont à disposition des banques pour assurer la détection des activités illégitimes et une réaction efficace le moment venu ?

Mécanismes de protection : la ligne Maginot des services bancaires en ligne

Si l’on décide de voir le verre à moitié plein, il est intéressant de noter que chaque nouvelle attaque met en évidence des lacunes dans les mécanismes de protection en place, contribuant ainsi à l’amélioration continue du niveau de sécurité.

Ainsi, au-delà de la protection des opérations sensibles par ANR, plusieurs autres mesures de protection sont adoptées par les banques de la place : masquage partiel des numéros de téléphone et adresses mail (pour éviter leur récupération par les attaquants), interdiction de virements vers des bénéficiaires frauduleux (« listes noires d’IBAN »), mise en place de plafonds sur les virements, ajout d’un délai d’activation du bénéficiaire, etc.

Toutefois, les banques qui concentrent leurs efforts sur les seuls mécanismes de protection se retrouvent dans des situations difficiles à gérer lorsqu’elles sont victimes d’un type d’attaque non anticipé. Quelles décisions prendre et avec quels interlocuteurs ? Quelle communication vis-à-vis des clients fraudés et non-fraudés ? Comment revenir à une situation « protégée » tout en maintenant le service offert aux clients ? Ce flottement donne généralement quelques jours aux pirates pour mener à bien leurs attaques, tandis que le passage en gestion de crise paralyse fortement les activités de la banque.

L’amélioration continue des mécanismes de protection permet de se prémunir des attaques connues et d’anticiper les plus prédictibles. En parallèle, il est crucial d’accepter les contournements à venir, de se donner les moyens de les détecter et de réagir rapidement le moment venu.

Ce constat est d’ailleurs appuyé par la Banque Centrale Européenne, via ses « Recommandations pour la sécurité des paiements sur internet » publiées en février 2013, pour application dès le 1^er février 2015. Au-delà des bonnes pratiques sur les processus de sécurité (politiques, analyses de risques, etc.) et des aspects relatifs à la robustesse des accès banque en ligne (authentification forte, protection des sessions, etc.) déjà globalement maitrisés, l’accent est en effet mis sur la surveillance, la détection et le blocage des transactions frauduleuses ainsi que sur les dispositifs d’alerte à destination des clients.

Le client au cœur du dispositif de détection de fraude

Trois vecteurs principaux de détection sont à disposition des banques : le client fraudé lui-même, la présence d’indicateurs de compromission à son niveau et l’analyse de son comportement.

Le client fraudé identifie la fraude avec certitude après consultation de l’état de ses comptes. Mais il peut également identifier les tentatives de fraudes et noter des comportements anormaux du site (temps de chargement longs, pages inhabituelles, demandes inopportunes de validation, etc.). La priorité pour les banques est donc de faciliter la remontée d’information par les clients. Dans la mesure où l’interlocuteur principal des clients est leur conseiller, une solution efficace consiste en la formation des conseillers et téléconseillers à la fraude : scénarios classiques, questions à poser pour affiner le diagnostic, réponses à apporter, etc. L’escalade vers des téléconseillers dédiés à la gestion des fraudes peut notamment faire partie du processus.

La présence d’indicateurs de compromission caractérise l’infection d’un client par un malware et met ainsi en évidence la nécessité de mettre sous surveillance ses activités. En fonction du malware, les critères analysés peuvent être les suivants : IBAN utilisés pour les virements, méthodes JavaScript invoquées par le client lors de la visite du site, etc. De nombreux éditeurs proposent des solutions de détection, parfois dédiées au secteur bancaire. Elles prennent la forme soit d’un logiciel à installer sur le poste du client, soit d’un composant à installer sur l’infrastructure de la banque en ligne. Ces solutions sont toutefois souvent peu utilisées par les clients car complexes à installer et à maintenir.

L’analyse comportementale du client permet, sur la base d’indicateurs techniques et métiers, d’identifier les actions inhabituelles, et donc suspectes, de chaque client. Les critères suivants peuvent notamment être pris en compte : lieux et horaires de connexion, fréquence et montant des opérations, bénéficiaires habituels (pays, IBAN, etc.), présence d’un même bénéficiaire étranger pour plusieurs clients, etc. Généralement basée sur un système de notation de la transaction, les solutions existantes facilitent le travail des équipes internes en leur permettant de concentrer leurs analyses sur les transactions suspectes uniquement. Ces solutions sont plus largement répandues mais peuvent encore beaucoup progresser.

Réaction : un enjeu fort, une maturité hétérogène

Comment réagir une fois les premiers diagnostics techniques menés si la détection n’est pas réalisée par le client lui-même ? La levée de doute doit nécessairement être effectuée auprès du client. Aussi, afin d’établir un contact avec le client qui soit à la fois rapide et en phase avec la politique de l’agence concernée, la solution la plus répandue est d’informer le conseiller pour qu’il assure un premier traitement.

L’existence et la diffusion de procédures simplifiées à destination des conseillers est également un accélérateur efficace du traitement. Ces procédures indiquent les réflexes à adopter (questions à poser et conseils à donner au client) en fonction de la nature de la suspicion : changement de mot de passe, désinfection du poste, acceptation d’une intervention, etc.

En complément,  les fonctionnalités ciblées par la fraude en cours doivent pouvoir être désactivées client par client, par exemple sur action du conseiller concerné. Cette possibilité évite de réduire les fonctionnalités offertes à l’ensemble des clients alors que seul un nombre réduit est infecté.

Afin d’éviter les sur-sollicitations et d’être plus efficace en cas d’incident avéré notamment, les alertes à destination des conseillers clientèle doivent rester exceptionnelles et être à ce titre “préfiltrées” par des dispositifs techniques ou organisationnels.

Enfin, au-delà de l’efficacité de la réaction en mode nominal, il est également crucial de réussir sa gestion de crise : critères d’entrée, partage des processus par les interlocuteurs, canaux de communication, traitement opérationnel et communication.

Toutes ces opérations nécessitent une refonte souvent en profondeur des outils de gestion de la banque en ligne et des processus de relation clients. Plusieurs grandes banques sont en train de réaliser leurs mues vers la « banque en ligne sécurisé 2.0 » mais les efforts doivent être maintenus dans la durée.

Vers une sécurité de bout en bout des opérations financières

58% des français attendent des améliorations sur la sécurité de la part de leur banque. Bien que sensibilisés au sujet, les acteurs bancaires doivent encore accentuer leurs efforts.

De nombreux défis restent à relever, notamment sur l’identification de nouveaux mécanismes d’authentification qui doivent combiner résistance aux attaques sophistiquées,  compatibilité avec les situations de mobilité et facilité d’utilisation.

Au-delà de cette seule protection, les volets détection et réaction sont le véritable enjeu. On peut s’attendre dans les prochains mois à une uniformisation vers le haut tant dans l’outillage que les processus internes de gestion des fraudes.

Seule une imbrication poussée des filières Cybersécurité et métier permettra de relever ces défis et de garantir ainsi une sécurité de bout en bout des opérations financières. Ce constat est également vrai pour les autres secteurs d’activité. Ce paradigme, construit par les banques et autorités au fil du temps et au gré des nécessités, mérite donc toute leur attention sous peine de subir des attaques aux impacts dévastateurs.

Cet article Sécurité des services bancaires en ligne : combiner détection et réaction ! est apparu en premier sur RiskInsight.

La sécurisation de ces plateformes représente ainsi un triple enjeu pour les banques. Tout d’abord un enjeu financier direct, lié au préjudice que pourraient subir les clients et leur éventuel dédommagement. Enjeu d’image ensuite,  les banques devant rassurer sur leur capacité à protéger leurs clients. Enfin, un enjeu de conformité aux directives émises par les organismes régulateurs tels que la Banque de France et la Banque Centrale Européenne.

Que font concrètement les établissements pour sécuriser leur banque en ligne ? Est-ce suffisant ?

Cet article Sécurité des services bancaires en ligne : où en sommes-nous ? est apparu en premier sur RiskInsight.

Dans ce contexte la sécurité est souvent ressentie comme un mal nécessaire. Le Responsable de la Sécurité du SI doit alors changer de posture et anticiper l’évolution des usages métiers et SI, mais aussi des menaces. Ceci est d’autant plus vrai dans le monde de la banque de détail avec des sujets très concrets comme l’explosion de la mobilité, la mise à disposition de tablettes dans les agences, l’ouverture du back-office bancaire, ou encore la nouvelle concurrence des plateformes d’intermédiation pour les clients.

Maîtriser les risques au service des métiers

Le RSSI doit faire évoluer sa posture, basée aujourd’hui en grande partie sur la protection du SI, en améliorant ses capacités d’observation et d’anticipation des évolutions métiers.

L’enjeu pour lui ? Adopter un rôle de facilitateur, pour amener de la fluidité, autoriser les nouvelles technologies, les nouveaux usages et ainsi rendre concrètes les étapes permettant d’intégrer la sécurité dans les processus métiers. L’agilité et la rapidité de « délivrance » d’un service sont les éléments les plus importants pour les métiers. Si la sécurité répond trop tard, elle sera souvent ignorée.

En parallèle, le RSSI fait face à une explosion de la cybercriminalité. Des attaques plus ciblées, plus sophistiquées et plus destructrices se multiplient. Dans le cadre de l’opération Ababil, de nombreux cas d’attaques DDoS (Distributed Denial of Service) ont été recensés contre des banques hollandaises et américaines (notamment Bank of America). Autre exemple, une campagne de phishing très sophistiquée qui a récemment touché 14 entreprises en France afin de dérober des données bancaires au travers d’e-mails et d’appels téléphoniques ciblés.

Le combat est inégal : les attaquants sont innovants et rapides alors que le RSSI est contraint par des budgets et la rentabilité attendue des projets. Pour inverser la tendance, il doit se focaliser sur une stratégie de détection et de réaction face à ces attaques. Il doit également rester en veille et prendre une longueur d’avance sur les innovations des cybercriminels.

L’idéal est naturellement d’adopter une approche consistant à se concentrer sur les risques jugés prioritaires d’un point de vue sécurité mais aussi… métiers ! Ceci  bien entendu, tout en répondant aux exigences de la conformité qui vont grandissant sur les sujets de la lutte contre le blanchiment, le terrorisme ou encore la fraude.

Face à la multiplication des sujets, il paraît essentiel d’aller plus loin que les pratiques classiques de plans d’action tri-annuels. Il convient se doter d’un outil pour réussir à résoudre l’équation entre innovation et sécurité. Mais alors quel outil utiliser pour avoir une vision globale ?

Mettre en place un outil d’anticipation : construire le radar SSI

Le radar SSI, est un outil simple et visuel permettant le suivi des nouveaux usages, des menaces et des réglementations. Utile dans tous les secteurs, Solucom l’a en particulier décliné dans le secteur de la banque de détail.

Il s’accompagne d’un processus de veille permettant d’anticiper les évolutions et d’orienter la stratégie SSI afin de pouvoir répondre aux besoins d’ouverture, de mobilité, de fluidité exprimés par les métiers.

En partant des sujets bruts identifiés dans les actions de veille de Solucom, le RSSI choisira de prioriser les thèmes majeurs propres à son environnement pour ensuite définir une fiche actions par thème. Ces fiches déclenchent par la suite des réactions à court terme ou des projets à moyen terme afin de fournir une réponse sécurité en avance de phase des demandes. À travers cette transformation du mode opératoire et du positionnement du responsable sécurité, celui-ci devient porteur d’innovation et enraye son image de frein aux innovations.

En mai dernier, au cours de la remise des Trophées de la Sécurité, les discussions ont porté sur l’avenir de la fonction de RSSI. Trois pistes ont été évoquées. Parmi elles, celle d’ « Expert sécurité en solutions métiers ». Cette voie nécessiterait une intégration de la sécurité très en amont dans les projets : la clé selon nous d’une innovation maîtrisée au sein de la DSI. Pour cela, il est crucial que le responsable sécurité aille au-devant des métiers pour en comprendre les enjeux, tout en s’insérant naturellement dans la politique de sécurité et les processus historiquement définis.

Cet article Quelle marge de manœuvre pour le RSSI afin d’accompagner l’évolution des modèles bancaires ? (Épisode 2) est apparu en premier sur RiskInsight.

L’innovation, facteur d’ouverture du SI cœur de métier

De nouvelles initiatives émergent, à l’instar du  « Compte Nickel ». Ce projet consiste à permettre l’ouverture d’un compte bancaire sans aucune condition de revenu, chez un buraliste. Les formalités sont on ne peut plus simple : une photocopie d’une pièce d’identité et un numéro de téléphone portable. Ce projet, qui a obtenu l’agrément de l’Autorité de contrôle prudentiel, le régulateur du secteur bancaire, démontre un mouvement de plus en plus fort vers une désintermédiation de la banque de détail.

Pour répondre à l’apparition de ce type de service, les banques diversifient leur offre, et de fait ouvrent leur système d’information de façon significative. Des offres, telles que celle proposée par Crédit Agricole Private Banking Services pour les banques privées en Suisse, entraînent ainsi une externalisation complète des processus métier du back-office et une sous-traitance informatique. Les banques étant de plus en plus sous pression d’un point de vue coûts et évolutions réglementaires, ce « Business Process Outsourcing » leur permet de rester compétitives et de se recentrer sur l’essentiel : la relation client. Pour autant, ces ouvertures posent la question de nouveaux acteurs qui interagissent au cœur du SI bancaire et doivent être intégrées aux analyses de risques. Par exemple, la solution allemande SOFORT Banking qui effectue les paiements / règlements en se connectant à la place des clients sur leur compte bancaire.

Nous observons par ailleurs une multiplication des moyens et situations de paiement, mais aussi des acteurs. Par exemple, la start-up Klarna propose à ses clients d’effectuer leurs achats et de ne payer qu’à réception. Au-delà, les canaux d’échanges financiers se diversifient. Aux États-Unis, American Express utilise Twitter comme canal d’achats en ligne via l’utilisation des hashtags, ou encore Square qui permet d’échanger de l’argent par courrier électronique. Les questions relatives à la fraude doivent être particulièrement traitées par rapport à ces nouveaux canaux.

Mais comment se positionnent aujourd’hui les banques françaises face à cette multiplication d’usages bancaires ?

Une stratégie défensive « d’occupation du terrain » efficace pour l’instant, avec peu d’impact opérationnel

Le constat est simple : le principal  risque identifié est celui de ne pas faire, risque pouvant entraîner une désintermédiation voire un préjudice en termes d’image.

Les banques traditionnelles cherchent donc à incarner la relation client, en s’appuyant sur des services de gestion de finances.  Ainsi, des applications apparaissent se concentrant notamment sur des nouveaux modèles de gestion, portant l’innovation non pas sur la dépense mais sur l’économie.

Par ailleurs, de nouveaux moyens sont déployés pour améliorer la qualité de la relation client en développant les compétences des conseillers.  Allianz a par exemple lancé un simulateur d’entretien client virtuel « Sales Game » pour développer les compétences relationnelles et commerciales de leurs conseillers. Plus de 16 millions de scénarios différents sont proposés, par un outil qui a réclamé plus d’un an de développement.

Ces innovations poussent le SI vers plus d’ouvertures (canaux, partenaires…) et nécessitent de faire évoluer les modèles que l’on connait. En parallèle, le secteur bancaire est de plus en plus ciblé par des menaces directes sur son SI (nouveaux types d’attaques, plus ciblées, plus destructives) et les réglementations accentuent la pression. Quelle est dans ce contexte la marge de manœuvre du Responsable de la Sécurité du Système d’Information pour accompagner ces évolutions métiers ?

(À suivre)

Cet article Modèles bancaires : quid de l’évolution des usages et de la relation client ? est apparu en premier sur RiskInsight.

Le recensement de ces risques nous conduit à nous pencher sur les exigences réglementaires de Bâle II & III.

Les 3 types de risques du système financier : risques de marché, risques de crédit, risques opérationnels

Il existe trois types de risques liés aux marchés financiers. La mesure et la gestion de ces risques sont devenues un des objectifs majeurs des grandes institutions bancaires. Les réglementations prudentielles, les techniques de contrôle et les prérogatives des autorités de surveillance visent à s’appliquer à l’ensemble des banques en vue de garantir un contrôle bancaire efficace.

Le premier type de risque est le risque de marché, il est fonction de la variation de facteurs tels que : taux d’intérêt, cours de change, prix des matières premières, cours des actions…le tout dans un contexte mondial. Ces différents facteurs peuvent donner lieu à des pertes financières substantielles et par effet-dominos à un effondrement du marché financier mondial.

Le second est le risque de crédit, il est quant à lui lié à la défaillance du paiement des créances, il est fonction du montant de celle-ci, de la probabilité de défaut et de la proportion de la créance non recouvrée en cas de défaut.

Enfin, les risques opérationnels relèvent des pertes potentielles liées aux défaillances des procédures, des systèmes informatiques, à la fraude interne ou à des évènements extérieurs (fraudes externes, sinistres, réglementations ou actes de terrorisme).

Au-delà des principes fixés par le comité de Bâle en vue de la gestion de ces trois types de risques, un des trois piliers de Bâle II vise le renforcement de la discipline des marchés. L’exigence et la surveillance des fonds propres constituent les deux autres piliers adoptés par le Comité de Bâle. Pour respecter ces piliers, les établissements financiers doivent fournir aux parties prenantes et selon leur degré d’implications, des informations financières en toute transparence portant sur la structure des fonds propres, leur adéquation et les expositions aux risques.

Si Bâle II a été un projet de mise en conformité rapprochant la vision réglementaire de la vision économique, son impact n’a concerné que les métiers liés au crédit et aux activités de marchés. En revanche, Bâle III a un périmètre beaucoup plus large et des impacts plus significatifs susceptibles de changer certaines activités en profondeur, et d’inciter à des changements de stratégie. Un renforcement des systèmes de gestion des risques et des équipes d’audit viendra accompagner ces changements de stratégie.

Un moyen d’action pour contrer la crise financière : Bâle III

Avec les nouvelles exigences de Bâle III sur les ratios de liquidité LCR (Liquidity Coverage Ratio) et NSFR (Net Stable Funding Ratio), le liquidity risk management est devenu un sujet de préoccupation majeur des banques. Celles-ci doivent également s’impliquer plus fortement dans l’implémentation des règles bâloises en assurant un contrôle permanent des processus, de la gestion de l’information et de l’optimisation des profits sous des contraintes de financement en quête de stabilité.

La gestion des risques de marchés est finalement fonction de l’information financière. Quant aux banques, de nouveaux défis seront lancés en vue d’identifier et d’appliquer la bonne gestion des besoins bancaires et de leurs systèmes d’informations.  La mise en place de nouveaux modèles quantitatifs de gestion de risques ou le renforcement d’audits internes vont accroître la sensibilisation des établissements bancaires à ces risques financiers.

Cet article L’intérêt des réglementations bâloises face aux risques financiers est apparu en premier sur RiskInsight.

Parmi ces services, nous retrouvons notamment le Mpaiement. Faire ses achats sur internet à n’importe quel moment et de n’importe où (transport, salle d’attente…) a enthousiasmé les utilisateurs. Cependant, les débuts ont été laborieux : saisir les 16 caractères de sa carte bancaire sur un clavier tactile de taille réduite génère forcément des erreurs et peut décourager plus d’un client. L’achat sur smartphone ne peut être qu’efficace que s’il est simple et rapide !

Protéger sa carte bancaire à travers les portefeuilles virtuels

Les portefeuilles virtuels proposés par les commerçants ont apporté une solution : les données de carte bancaire sont enregistrées chez le commerçant et par le biais d’un login et d’un mot de passe, l’utilisateur s’identifie pour réaliser son paiement en « un clic », tout simplement. La sécurité des données est assurée par les mesures mises en œuvre dans le cas d’une certification PCI DSS du commerçant ou d’une externalisation du service auprès d’un fournisseur de service de paiement (Payment Service Provider), lui-même certifié PCI DSS. (cf. un article précédent).

S’identifier pour réaliser un paiement n’est cependant pas une solution totalement innovante. Paypal, le leader mondial du portefeuille virtuel pour les sites web a naturellement décliné son offre pour les smartphones.  Ce service remporte un net succès et attise les convoitises, comme l’on peut le voir en ce moment avec  l’arrivée de nouvelles solutions sur le marché français telles que Kwixo, Buyster ou Lemonway qui utilisent notamment le numéro de téléphone du client comme identifiant.

Au-delà des mesures techniques de sécurité pour l’hébergement des données, ces solutions proposent, pour certaines d’entre elles, une sécurisation intéressante des mots de passe du client (longueur minimale, caractères spéciaux, questions secrètes pour le renouvellement) mais malheureusement elles font également le sujet d’attaque par Phishing et l’utilisateur non averti peut alors se retrouver malgré lui piégé en livrant lui-même ses identifiants au fraudeur….

La course aux moyens de paiement de demain est lancée !

De nouveaux moyens de paiement vont changer nos habitudes de demain comme les smartphones ont pu le faire ces dernières années.

Solution déjà lancée outre-atlantique dans les Starbucks New-Yorkais, le code barre 2D (ou QR code) est une nouveauté pour le paiement mobile. Initialement envisagé pour obtenir de l’information en le flashant, le QR code, a été détourné aujourd’hui pour proposer une « facture électronique » que le client va flasher avec son smartphone, et régler via une application de portefeuille virtuel, protégé par un code PIN.

Autre challenger qui se fait dorénavant attendre… le NFC. Le Near Field Communication est un protocole sécurisé d’échange de données entre une borne et une puce, intégré par exemple dans un smartphone ou une carte bancaire. Le NFC permet de centraliser divers services en un seul support, tels que le titre de transport ou la carte fidélité. Il peut également offrir la possibilité de payer « sans contact », une solution simple et transparente pour les utilisateurs. En expérimentation depuis 2010 dans la ville de Nice, ce test grandeur nature n’a pas rencontré le succès escompté. Pour 200 000 cartes avec module NFC livrées, seules 2 800 transactions sans contact ont été effectuées la première année au sein des 1 500 commerces de proximité de la ville (source ZDNet.fr).

Cependant, Google est l’un des acteurs qui y croit fort, notamment avec sa solution Wallet, basée sur la technologie NCF. Uniquement disponible aujourd’hui aux États-Unis, Google compte bien utiliser sa force pour prendre une place importante sur ce marché avant que son concurrent Apple ne propose également sa solution.

L’un des principaux freins au développement de ce nouveau moyen de paiement reste, notamment, le nombre très limité de terminaux mobiles intégrant directement une puce NFC. Mais avec le récent dépôt de brevet d’Apple sur le NFC, on peut s’imaginer que le message a été compris par les grands fabricants de smartphones…

Cet article Un téléphone ça sert à payer ! est apparu en premier sur RiskInsight.

Les cartes de paiement ont envahi notre quotidien, que ce soit pour les achats en magasin comme pour la vente à distance en particulier via internet Pour autant, cette généralisation de l’utilisation de la carte de paiement a entrainé une augmentation du montant total de la fraude de 9,8% par an en moyenne, pour atteindre 342,3M€ en 2009*. Les grands émetteurs de cartes comme Visa et Mastercard  se devaient de réagir et de proposer de nouvelles mesures de sécurité.

PCI DSS, un standard de sécurité exigeant…

Pour contrer cette augmentation des fraudes, les acteurs majeurs des cartes de paiement ont défini le standard de sécurisation PCI DSS, dont les objectifs sont les suivants :

• Réduire les risques de fuite de données bancaires en renforçant et uniformisant à l’échelle mondiale leur sécurisation
• En cas de fraude, déplacer les responsabilités des sociétés de cartes de paiement vers les garants de la certification PCI DSS (banques et sociétés d’audit)

Le standard adresse 12 thèmes classiques de la sécurité. Mais il est particulièrement exigeant ! Toutes les règles doivent être appliquées et elles sont précises. Durcissement des serveurs, revue quotidienne des logs, détection des points d’accès wifi pirates, sont autant de chantiers complexes à adresser dans le cadre d’une mise en conformité. D’autant plus que leur application est contrôlée à travers des audits annuels pour les sociétés réalisant plusieurs millions de transactions par an.

Quelle stratégie de mise en conformité ?

Au vu de cette complexité, notre recommandation est d’initier tout projet de mise en conformité PCI DSS par la réduction du périmètre d’application du standard. Pour cela, plusieurs méthodes se détachent :

• Aligner le périmètre applicatif avec les besoins métiers réels. Cet exercice  consiste à supprimer les données de cartes bancaires partout où leur présence n’est pas justifiée par un besoin métier réel.
• Désensibiliser les données de cartes bancaires. Il est possible de remplacer les données bancaires par une donnée non exploitable en cas de fraude –  troncature, hash, ou identifiant unique (token) – différente de la donnée bancaire. Des éditeurs se positionnent sur la fourniture de solutions de désensibilisation.

Cette étape effectuée, le périmètre d’application du standard PCI DSS se résume alors aux applications restantes et aux services d’infrastructures sous-jacents (réseau, postes de travail concernés, sauvegardes, base d’identifiants uniques…). C’est a priori sur ce périmètre que s’appliqueront donc les exigences de PCI DSS.

Sauf si…  la réduction de périmètre se poursuit à travers l’externalisation de ces ressources applicatives. Et cette externalisation pourrait même servir à améliorer les services offerts…

L’externalisation : une solution à PCI DSS ?

Historiquement implantés dans beaucoup d’entreprises pour assurer un rôle d’intermédiaire avec les banques, les PSP (Payement Service Providers) peuvent jouer un rôle majeur dans une stratégie de mise en conformité, dans la mesure où toutes leurs offres sont proposées en standard sur des environnements entièrement certifiés PCI DSS.

En particulier, les PSP sont aujourd’hui en mesure de proposer l’externalisation de tous les composants de la chaîne de liaison paiement par internet ou par téléphone : collecte des données, demandes d’autorisation et de paiement, contrôles anti-fraude avancés…

Et l’externalisation peut aller encore plus loin ! Les PSP proposent dorénavant des tables de correspondance « tokenizer » facilitant la désensibilisation des données carte de paiement. Lors de la collecte de données, un identifiant unique, personnalisable, est renvoyé à l’entreprise et peut donc circuler dans le SI sans aucune contrainte vis-à-vis de la norme PCI DSS.

L’externalisation permet ainsi de réduire de manière conséquente le périmètre applicatif, mais attention… ce n’est pas la solution ultime pour être conforme à PCI DSS.  Certaines populations conservent souvent le besoin d’accéder au numéro de carte depuis leur poste de travail, pour des raisons réglementaires, entre autres. Nous pouvons par exemple citer les services de lutte anti-fraude ou les téléconseillers, dont les terminaux devront sans doute rester dans le périmètre PCI DSS. Il est donc difficile de penser qu’aucun composant du SI ne manipulera de données cartes surtout dans une grande entreprise.

Mais bien plus qu’un simple levier de mise en conformité PCI DSS, un projet d’externalisation peut devenir stratégique pour l’entreprise en lui permettant de développer de nouveaux moyens de paiements (ex : cartes cadeaux), de nouveaux marchés internationaux (facilités de connexions aux acquéreurs étrangers) ou de nouvelles fonctionnalités (ex : paiement one-click sans renseignement des données CB). Le recours à ces acteurs peut aider à la conformité mais aussi faciliter de nouveaux usages.

*Ces statistiques sont issues du rapport d’activité annuel 2009 de l’Observatoire de la sécurité des cartes de paiement publié en Juillet 2010

Cet article PCI DSS : l’externalisation est-elle une solution ? est apparu en premier sur RiskInsight.