View
1.677
Download
2
Category
Preview:
DESCRIPTION
A l'occasion de la conférence sur les moyens de paiement des Rencontres de la compétitivité numérique qui s'est tenue à Bercy le 1er décembre 2014, Jean-Yves ROSSI, président de CANTON-Consulting a présentée la Keynote "Point sur l’environnement réglementaire du paiement en 2015, les risques et la fraude"
Citation preview
Jean-Yves ROSSIPrésident de CANTON-Consulting
Lundi 1er décembre 2014 14h15
KEYNOTE
L’évolution de l’environnement réglementaire
du paiement en 2015,
Les risques,
Et la fraude …
Une reprise de ces Rencontres sous le signe de ...
trois mauvaises nouvelles !?
Les réglementations structurent le schéma de maîtrise des risquesdes entreprises financières et de l'industrie des paiements…
Elles obligent les PSP à adopter
une organisation en
adaptation permanente en
fonction du niveau de risque
En France, c’est traditionnellement le
CRBF 97-02 qui organise le contrôle interne
Le risque de fraude est un élément
majeur au coeur de cet exerciceimposé de prévision et contrôle.
Les Autorités Européennes ont compétencedirecte en matière de risque et de fraude :
• Article 83 TFUE :
Le Parlement européen et le Conseil, statuant par voie de directives conformément à la procédure législative ordinaire, peuvent établir des règles minimales relatives à la définition des infractions pénales et des sanctions dans (les) domaines de criminalité(...) le blanchiment d'argent, la corruption, la contrefaçon de moyens de paiement, la criminalité informatique (...)
• Article 127.2 TFUE
Les missions fondamentales relevant du SEBC consistent à : (...) promouvoir le bon fonctionnement des systèmes de paiement.
SEBC a lancé le Forum SecuRePay
• 2011 : Un forum de coopération volontaire entre les superviseurs de l’EEE
• Thème : la sécurité des instrument électroniques de paiement de détail.
• Janvier 2013 : 14 recommandations sont publiées– Environnement général de sécurité et de contrôle– Mesures spécifiques pour les paiements en ligne– Communication et prise de conscience du consommateur
La Commission Européenne
DSP 2007/64/UE (11) : Il faut "veiller à ce que, pour tous les prestataires de services de paiement, les mêmes risques soient traités de la même manière“
La DSP2 va renforcer les obligations définies par la DSP sur l'authentification :
– (51a) "tous les moyens de paiement en ligne (mobile, internet) doivent garantirl'authentification sécurisée de l'utilisateur et réduire au maximum le risque de fraude"
– L'article 4 introduira une définition de l'authentification forte– L'article 87 précisera les fonctionnalités permettant l'authentification– L'article 66 alourdit les contraintes de responsabilité pesant sur les PSP– L'article 88 prévoit l'élaboration par l’ABE de standards techniques sur l'authentification et la
communication
Les premiers effets directs de ses travaux s’imposeront bientôt aux PSP
• Obligation pour tous les PSP de :– Procéder à une évaluation des risques liés au paiement
– Instaurer un système d'authentification forte (= au moins 2 facteurs) pour l'initiation des paiements ou l'accès à des données sensibles
– Concevoir des processus efficients d’autorisation et de détection des comportements anormaux et fraudes, par suivi des transactions
• 1er février 2015 : date de mise en oeuvre “recommandée”
• 1er août : force obligatoire, sous forme de ligne directrice ABE
L’ABE-EBA va recevoir mandat de la Commission en matière de sécurité
•Une Autorité créée par le Règlement 1093/2010 du 24 novembre 2010 dans le cadre de la réformedu Système Européen de Surveillance Financière• avec le pouvoir d’ élaborer des projets et normestechniques de règlementation et d’exécution.• Le 20/10/2014, BCE et ABE ont décidé d’entreren “coopération pour la sécurisation des systèmes de paiement ”
L’article 88 DSP2 futur en définit le domaine d’intervention :
Les exigences régissant le Dispositif de Sécurité Personnalisé : procédure, exceptions et mesures de protection de son intégrité
Et les modes de communication entre les différentsintervenants d'une transaction (PSP du payeur, éventuel payeur de
tierce partie, payeur, bénéficiaire...)
À partir de 2015 de nouvelles règles de sécurités'appliqueront donc progressivement en Europe
L’Europe peut-elle aller au-delà ?Depuis février 2013, la Commission travaille à un projet majeur de
plan de Cybersécurité de l’UE, en liaison avec la Haute représentante de l’Union Européenne pour les affaires étrangères
Et un projet de Directive concerne la Sécurité des Réseaux et de l’Information ou Network and Information Security (SRI -NIS)
Ce projet devrait s'appliquer aux entreprises clés de l'Internet, dont les services de paiement
Mais il soulève de multiples problèmes de coordination au sein de l’UE , entre ses divers programmes et projets, et entre les Etats
Son calendrier est très incertain
Alors, cette montée en puissance des instances européennes dans lutte contre la fraude, est-elle
une bonne ou une mauvaise nouvelle ?
• Bonne nouvelle puisque la normalisation permet aux acteursde se coordonner
• Et qu’elle favorise, par elle-même, l'initiative économique et facilite la cohérence d’action
• Et porte l’espoir de contribuer au renforcement indispensable de la sécurité d’ensemble de l’écosystème des paiements
• Mais sera-t-elle assez efficace ?
La supervision coordonnée européenne se met en place
Et les superviseurs conjuguent leurs efforts pour arrêter la fraude :
Ils vont avoir fort à faire …
EST-IL ENCORE SEULEMENT POSSIBLE DE GAGNER LA
BATAILLE DE LA SECURITE ?
La fraude est devenue une vraieindustrie technologique de pointe
• Il suffit de l’affichage d'une image JPEG sur votre navigateur pour queTSPY_ZBOT.TFZAH s'introduise dans votre système
• Les virus asiatiques SOGO-MOT et MIRYAGO sont des champions de furtivité, un sujet qui couvre même la transmission des informationscapturées
• KAP-TOXA a capturé les identifiants de paiement de la chaîne américainede produits de luxe Neiman Marcus pendant 4 mois avant d'être détecté
• Poison Ivy, Dark Comet, … sont des RAT ou Remote Access Trojans qui acquièrent un contrôle complet des machines infectées et en surveillenttoutes les actions
Cette industrie de la fraude est maintenant coordonnée entre les continents
Le système de l’International Revenue Share Fraud, apparu il y a 10 ans dans les télécoms, consiste à organiser des chaînes de fraude(eurs) sur de multiples pays pour exploiter les failles partout où elles sont.
Produit estimé dans le télécoms : 3,8 Bn $ (CFCA Global Fraud Loss survey 2011)
L’IRSF multiplie les possibilités d’attaques coordonnées et de « schtroumphage »
Il rend les poursuites techniquement difficiles et même souvent juridiquement irréalisables
Un exemple d’application dans les paiements
1- Découverte fin août2014 du vol chez Home Depot aux USA des identifiants de cartes de crédit
40 millions de cartes volées
2- Des hackers de Russie ou d’Ukraine sont suspectés
Les numéros volés sont revendus par
« paquets » appelés « European sanctions »
3- Fin Octobre 2014 : des trains de transactionsutilisant ces identifiants sont acceptés par les banques émettrices américaines
Le vol durait depuis avril
Ces flux d’opérations se présentent comme des transactions EMV
Alors que ces cartes n’avaient jamais eu de puces !
4- Les transactions provenaient de marchands Brésiliens
5- Elles exploitaient, semble-t-il, une faille d’implémentation du standard EMV sur un m-POS européen
Le paiement s’est construit selon un principe idéal de sécurité absolue
Nous sommes entrés dans un univers où l’insécurité gagne en technicité, en agilité et en puissance
Changement d’ère !
La fraude a pris une ampleur systémique
Chaque jour : 148 000 ordinateurs voient leur sécurité compromise Deutsche Telekom subit 1 million d'attaques informatiques
Les revers du succès du smartphoneChronique d’une tempête annoncée
Les smartphones savent tout de nousIls sont "Le rêve de Staline" (Richard Stallmann)
98,1 % de tous les logiciels malveillants mobiles détectés en 2013 ciblent les appareils Android
En volume financier
Au Brésil,
une seule fraude aux prélèvements bancaires, continue de 2012 à 2014, a permis de détourner 4 Bn$
0.00 €
0.50 €
1.00 €
1.50 €
2.00 €
2.50 €
3.00 €
3.50 €
1 2 3 4 5
Bill
ion
s
En volume financier2 - Symantec estime
le montant des pertes subieschaque année par les victimes des cybercriminelsdans le monde entier à290 Mds €
0.00 €
50.00 €
100.00 €
150.00 €
200.00 €
250.00 €
300.00 €
1 2
Bill
ion
s
En volume financier3 - Selon
TimotheusHöttges(CEO Deutsche Telekom AG) cemontant s’élèveen 2014 à 575 Bn$
0.00 €
50.00 €
100.00 €
150.00 €
200.00 €
250.00 €
300.00 €
350.00 €
400.00 €
450.00 €
500.00 €
1 2 3
Bill
ion
s
En volume financier4 - Selon
McAfeeles pertesannuellesmondialesgénérées par la fraudes’élèveraient à750 Bn$
0.00 €
100.00 €
200.00 €
300.00 €
400.00 €
500.00 €
600.00 €
700.00 €
1 2 3 4
Bill
ion
s
En volume financierQuel que soit le « bon »
chiffre, il est d’un ordre de grandeur nettement supérieur au budget des Etats !
En 2013, le budget de l’UE : 148,5 Mds €
0
100
200
300
400
500
600
700
800
1 2 3 4 5
Bill
ion
s
Nulle « citadelle » n’est à l’abri
Plus l’organisation est nombreuse plus les risques de complicité augmentent
Si les criminels ne trouvent pas une complicité interne, ils n’hésiteront pas à recourir aux pires menaces pour obliger un collaborateur à introduire un logiciel malveillant
Ensuite…SpyEye contourne les authentifications à deux facteursLes techniques « High rollers » multiplient les prélèvements
sur des comptes techniques (NDP 97)Des scripts (Java) savent multiplier des prélèvements ou
transferts sur des montants homogènes avec les opérations habituelles du compte attaqué
Le pire n'estjamais sûrmais...
Les consommateurs
le savent
Résultats du sondage sur la cybersécuritéEurobaromètre de 2012
38 % des internautes de l'UE ont modifié leurcomportement en raison d'inquiétudes sur la sécurité
15 % sont moins enclins à utiliser les services bancaires en ligne
12 % des interrogés avaient déjà été victimesde fraude en ligne
… Mieuxque les entreprises
Seulement 26 % des entreprises de l'UE ont une politique de sécurité informatique formalisée ! (Eurostat Janvier 2012 )
En un an, leur budget de sécurité informatique s'est réduit de 10 % ! (source PWC - The Global State of Information Security®)
Pourtant, tous sont prêts au changement
• Côté consommateurs : Les solutions de paiementmobile sont très largement essayées et adoptées
• Côté Professionnels : 280 000 TPE françaises seraientprêtes à utiliser un m-POS dans les 6 mois (Source Visa)
• Même la curiosité voire l'attrait pour le Bitcoindémontrent l'évolution des esprits sur le thème des paiements
La résultante, c’est l’accroissement du coût du risque • Les Etats-Unis passent tardivement à EMV• Le (vrai) taux de fraude sur les paiements cartes y approche
0,45% du volume total• Ce chiffre suffit à expliquer le succès d’Apple Pay, sur une
offre de sécurisation qui coûte 0,15% aux banques et leur en économise le double
• Ces évolutions promettent un risque fort de « migration » de la fraude d’une rive à l’autre de l’Atlantique
Rappelons qu’en Europe…• Taux de fraude sur la zone SEPA : 0,038 %
• Le plus fort taux, c’est en France 0,065 %
• Au total les 19 Pays de la zone Euro supportent un coût total de 1,5 Md€
• … qui pèse aux 2/3 sur la France et le UK (environ moitié-moitié)
(source BCE Février 2014)
L’industrie doit savoir réagir sans attendre les obligations réglementaires
• La fraude se perfectionne à une vitesse que les gains accumulés accélèrent
• Ces enjeux sont stratégiques et appellent une juste anticipation par les acteurs,
• En sachant s’impliquer dans toutes les évolutions normatives à venir
Le travail de veille doit aussi intégrer
• Les conséquences de l’évolutions des règles de répartition légales ou contractuelles des responsabilités (Liability shift)
• Les normes PCI-DSS
Et les autres chantiers de normalisation sur le thème des Paiements sur Internet, qui cheminent :
Toutes ces obligations nouvelles et ces perspectives normatives sont autant de contraintes à intégrer pour construire
une véritable stratégie, indispensable pour résister à la montée
des risques liés à la fraude!
L’Euro a choisit l’image des ponts comme symbole de sa construction
pour que le vent mauvais de la fraude ne vienne ajouter à la liste , dans l’ordre de la monnaie scripturale, une version numérique du fameux Pont de Tacoma
Aujourd’hui , la maîtrise de ce risque majeur que représente la fraude moderne pour l’industrie des services de paiement constitue un défi.Ce défi va donc bien au-delà des strictes obligations réglementaires !
Il appelle des investissements stratégiques et techniques à la hauteur
https://www.youtube.com/watch?v=TGaM8pdnr50
Crédits
CREDITS
• « ISO logo » par International Organization for Standardization — http://www.iso.org/iso/home/name_and_logo.htm. Sous licence Public domain via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:ISO_logo.png#mediaviewer/File:ISO_logo.png
• "W3C® Icon" by This file was made by User:Sven http://www.w3.org/Consortium/Legal/logo-usage-20000308.html. Licensed under Public domain via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:W3C%C2%AE_Icon.svg#mediaviewer/File:W3C%C2%AE_Icon.svg
• Pont de Tacoma : Par Barney Elliot (Stillman Fires Collection), via Wikimedia Commons
Présentation sous licence Creative CommonsSera publiée sur www.cantonconsulting.eu en format opensource
Reproduction autorisée avec citation de la source Partage dans les Mêmes Conditions 4.0 International
Recommended