A l'occasion de la conférence sur les moyens de paiement des Rencontres de la compétitivité numérique qui s'est tenue à Bercy le 1er décembre 2014, Jean-Yves ROSSI, président de CANTON-Consulting a présentée la Keynote "Point sur l’environnement réglementaire du paiement en 2015, les risques et la fraude"
Webschool du Jura - Cybercriminalité en entreprise
RCN 2014 Moyens de paiement - Présentation CANTON-Consulting
1. Lundi 1er décembre 2014
14h15
KEYNOTE
Jean-Yves ROSSI
Président de CANTON-Consulting
2. L’évolution de l’environnement réglementaire
du paiement en 2015,
Les risques,
Et la fraude …
Une reprise de ces Rencontres sous le signe de ...
trois mauvaises nouvelles !?
3. Les réglementations structurent le schéma de maîtrise des risques
des entreprises financières et de l'industrie des paiements…
Elles obligent les PSP à adopter
une organisation en
adaptation permanente en
fonction du niveau de risque
Le risque de fraude est un élément
majeur au coeur de cet exercice
imposé de prévision et contrôle.
En France, c’est traditionnellement le
CRBF 97-02 qui organise le
contrôle interne
4. Les Autorités Européennes ont compétence
directe en matière de risque et de fraude :
• Article 83 TFUE :
Le Parlement européen et le Conseil, statuant par voie de directives conformément à la
procédure législative ordinaire, peuvent établir des règles minimales relatives à la
définition des infractions pénales et des sanctions dans (les) domaines de criminalité
(...) le blanchiment d'argent, la corruption, la contrefaçon de moyens de paiement, la
criminalité informatique (...)
• Article 127.2 TFUE
Les missions fondamentales relevant du SEBC consistent à : (...) promouvoir le bon
fonctionnement des systèmes de paiement.
5. SEBC a lancé le Forum SecuRePay
• 2011 : Un forum de coopération volontaire entre les
superviseurs de l’EEE
• Thème : la sécurité des instrument électroniques de
paiement de détail.
• Janvier 2013 : 14 recommandations sont publiées
– Environnement général de sécurité et de contrôle
– Mesures spécifiques pour les paiements en ligne
– Communication et prise de conscience du consommateur
6. La Commission Européenne
DSP 2007/64/UE (11) : Il faut "veiller à ce que, pour tous les prestataires de
services de paiement, les mêmes risques soient traités de la même manière“
La DSP2 va renforcer les obligations définies par la DSP sur l'authentification :
– (51a) "tous les moyens de paiement en ligne (mobile, internet) doivent garantir
l'authentification sécurisée de l'utilisateur et réduire au maximum le risque de fraude"
– L'article 4 introduira une définition de l'authentification forte
– L'article 87 précisera les fonctionnalités permettant l'authentification
– L'article 66 alourdit les contraintes de responsabilité pesant sur les PSP
– L'article 88 prévoit l'élaboration par l’ABE de standards techniques sur l'authentification et la
communication
7. Les premiers effets directs de ses
travaux s’imposeront bientôt aux PSP
• Obligation pour tous les PSP de :
– Procéder à une évaluation des risques liés au paiement
– Instaurer un système d'authentification forte (= au moins 2 facteurs) pour
l'initiation des paiements ou l'accès à des données sensibles
– Concevoir des processus efficients d’autorisation et de détection des
comportements anormaux et fraudes, par suivi des transactions
• 1er février 2015 : date de mise en oeuvre “recommandée”
• 1er août : force obligatoire, sous forme de ligne directrice ABE
8.
9. L’ABE-EBA va recevoir mandat de la
Commission en matière de sécurité
•Une Autorité créée par le Règlement 1093/2010
du 24 novembre 2010 dans le cadre de la réforme
du Système Européen de Surveillance Financière
• avec le pouvoir d’ élaborer des projets et normes
techniques de règlementation et d’exécution.
• Le 20/10/2014, BCE et ABE ont décidé d’entrer
en “coopération pour la sécurisation des
systèmes de paiement ”
10. À partir de 2015 de nouvelles règles de sécurité
s'appliqueront donc progressivement en Europe
L’article 88 DSP2 futur en définit le domaine d’intervention :
Les exigences régissant le Dispositif de Sécurité Personnalisé :
procédure, exceptions et mesures de protection de son
intégrité
Et les modes de communication entre les différents
intervenants d'une transaction (PSP du payeur, éventuel payeur de
tierce partie, payeur, bénéficiaire...)
11. L’Europe peut-elle aller au-delà ?
Depuis février 2013, la Commission travaille à un projet majeur de
plan de Cybersécurité de l’UE, en liaison avec la Haute
représentante de l’Union Européenne pour les affaires étrangères
Et un projet de Directive concerne la Sécurité des Réseaux et de
l’Information ou Network and Information Security (SRI -NIS)
Ce projet devrait s'appliquer aux entreprises clés de l'Internet,
dont les services de paiement
Mais il soulève de multiples problèmes de coordination au sein de
l’UE , entre ses divers programmes et projets, et entre les Etats
Son calendrier est très incertain
12. Alors, cette montée en puissance des instances
européennes dans lutte contre la fraude, est-elle
une bonne ou une mauvaise nouvelle ?
• Bonne nouvelle puisque la normalisation permet aux acteurs
de se coordonner
• Et qu’elle favorise, par elle-même, l'initiative économique et
facilite la cohérence d’action
• Et porte l’espoir de contribuer au renforcement indispensable
de la sécurité d’ensemble de l’écosystème des paiements
• Mais sera-t-elle assez efficace ?
13. La supervision coordonnée
européenne se met en place
Et les
superviseurs
conjuguent
leurs efforts
pour arrêter la
fraude :
Ils vont avoir fort à
faire …
EST-IL ENCORE
SEULEMENT
POSSIBLE DE
GAGNER LA
BATAILLE DE LA
SECURITE ?
14. La fraude est devenue une vraie
industrie technologique de pointe
• Il suffit de l’affichage d'une image JPEG sur votre navigateur pour que
TSPY_ZBOT.TFZAH s'introduise dans votre système
• Les virus asiatiques SOGO-MOT et MIRYAGO sont des champions de
furtivité, un sujet qui couvre même la transmission des informations
capturées
• KAP-TOXA a capturé les identifiants de paiement de la chaîne américaine
de produits de luxe Neiman Marcus pendant 4 mois avant d'être détecté
• Poison Ivy, Dark Comet, … sont des RAT ou Remote Access Trojans qui
acquièrent un contrôle complet des machines infectées et en surveillent
toutes les actions
15. Cette industrie de la fraude est maintenant
coordonnée entre les continents
Le système de l’International Revenue Share Fraud, apparu il y a 10 ans
dans les télécoms, consiste à organiser des chaînes de fraude(eurs)
sur de multiples pays pour exploiter les failles partout où elles sont.
Produit estimé dans le télécoms : 3,8 Bn $ (CFCA Global Fraud Loss survey 2011)
L’IRSF multiplie les possibilités d’attaques coordonnées et de
« schtroumphage »
Il rend les poursuites techniquement difficiles et même souvent
juridiquement irréalisables
16. Un exemple
d’application dans les paiements
1- Découverte fin août
2014 du vol chez
Home Depot aux USA
des identifiants de
cartes de crédit
40 millions de cartes volées
2- Des hackers de
Russie ou d’Ukraine
sont suspectés
Les numéros volés sont
revendus par
« paquets » appelés
« European sanctions »
3- Fin Octobre 2014 :
des trains de transactions
utilisant ces identifiants sont
acceptés par les banques
émettrices américaines
Le vol durait depuis avril
Ces flux d’opérations se présentent comme des transactions EMV
Alors que ces cartes n’avaient jamais eu de puces !
4- Les transactions
provenaient de
marchands Brésiliens
5- Elles exploitaient,
semble-t-il, une faille
d’implémentation du
standard EMV
sur un m-POS européen
17. Changement d’ère !
Le paiement s’est
construit selon un
principe idéal de
sécurité absolue
Nous sommes entrés
dans un univers où
l’insécurité gagne
en technicité,
en agilité et
en puissance
18. La fraude a pris
une ampleur systémique
Chaque jour :
148 000 ordinateurs voient leur sécurité compromise
Deutsche Telekom subit 1 million d'attaques informatiques
Les revers du succès du smartphone
Chronique d’une tempête annoncée
Les smartphones savent tout de nous
Ils sont "Le rêve de Staline" (Richard Stallmann)
98,1 % de tous les logiciels malveillants mobiles
détectés en 2013 ciblent les appareils Android
19. En volume financier
Au Brésil,
une seule fraude
aux prélèvements
bancaires,
continue de 2012
à 2014,
a permis de
détourner 4 Bn$
3.50 €
3.00 €
2.50 €
2.00 €
1.50 €
1.00 €
0.50 €
0.00 €
1 2 3 4 5
Billions
20. En volume financier
2 - Symantec estime
le montant des
pertes subies
chaque année par
les victimes des
cybercriminels
dans le monde
entier à
290 Mds €
300.00 €
250.00 €
200.00 €
150.00 €
100.00 €
50.00 €
0.00 €
1 2
Billions
21. En volume financier
3 - Selon
Timotheus
Höttges
(CEO Deutsche
Telekom AG) ce
montant s’élève
en 2014 à
575 Bn$
500.00 €
450.00 €
400.00 €
350.00 €
300.00 €
250.00 €
200.00 €
150.00 €
100.00 €
50.00 €
0.00 €
1 2 3
Billions
22. En volume financier
4 - Selon
McAfee
les pertes
annuelles
mondiales
générées par la
fraude
s’élèveraient à
750 Bn$
700.00 €
600.00 €
500.00 €
400.00 €
300.00 €
200.00 €
100.00 €
0.00 €
1 2 3 4
Billions
23. En volume financier
Quel que soit le « bon »
chiffre, il est d’un
ordre de grandeur
nettement supérieur
au budget des Etats !
En 2013, le budget de
l’UE : 148,5 Mds €
800
700
600
500
400
300
200
100
0
1 2 3 4 5
Billions
24. Nulle
« citadelle »
n’est à l’abri
Plus l’organisation est nombreuse plus les risques de
complicité augmentent
Si les criminels ne trouvent pas une complicité interne, ils
n’hésiteront pas à recourir aux pires menaces pour
obliger un collaborateur à introduire un logiciel
malveillant
Ensuite…
SpyEye contourne les authentifications à deux facteurs
Les techniques « High rollers » multiplient les prélèvements
sur des comptes techniques (NDP 97)
Des scripts (Java) savent multiplier des prélèvements ou
transferts sur des montants homogènes avec les
opérations habituelles du compte attaqué
Le pire n'est
jamais sûr
mais...
25. Les
consommateurs
le savent
Résultats du sondage sur la cybersécurité
Eurobaromètre de 2012
38 % des internautes de l'UE ont modifié leur
comportement en raison d'inquiétudes sur la
sécurité
15 % sont moins enclins à utiliser les services
bancaires en ligne
… Mieux
12 % des interrogés avaient déjà été victimes
de fraude en ligne
que les
entreprises Seulement 26 % des entreprises de l'UE ont une politique de
sécurité informatique formalisée ! (Eurostat Janvier 2012 )
En un an, leur budget de sécurité informatique s'est réduit de 10 % !
(source PWC - The Global State of Information Security®)
26. Pourtant, tous sont prêts au changement
• Côté consommateurs : Les solutions de paiement
mobile sont très largement essayées et adoptées
• Côté Professionnels : 280 000 TPE françaises seraient
prêtes à utiliser un m-POS dans les 6 mois (Source Visa)
• Même la curiosité voire l'attrait pour le Bitcoin
démontrent l'évolution des esprits sur le thème des
paiements
27. La résultante,
c’est l’accroissement du coût du risque
• Les Etats-Unis passent tardivement à EMV
• Le (vrai) taux de fraude sur les paiements cartes y approche
0,45% du volume total
• Ce chiffre suffit à expliquer le succès d’Apple Pay, sur une
offre de sécurisation qui coûte 0,15% aux banques et leur
en économise le double
• Ces évolutions promettent un risque fort de « migration »
de la fraude d’une rive à l’autre de l’Atlantique
28. Rappelons qu’en Europe…
• Taux de fraude sur la zone SEPA : 0,038 %
• Le plus fort taux, c’est en France 0,065 %
• Au total les 19 Pays de la zone Euro
supportent un coût total de 1,5 Md€
• … qui pèse aux 2/3 sur la France et le UK
(environ moitié-moitié)
(source BCE Février 2014)
29. L’industrie doit savoir réagir sans
attendre les obligations réglementaires
• La fraude se perfectionne à une vitesse que les
gains accumulés accélèrent
• Ces enjeux sont stratégiques et appellent une
juste anticipation par les acteurs,
• En sachant s’impliquer dans toutes les évolutions
normatives à venir
30. Le travail de veille doit aussi intégrer
• Les conséquences de l’évolutions des règles
de répartition légales ou contractuelles des
responsabilités (Liability shift)
• Les normes PCI-DSS
Et les autres chantiers de
normalisation sur le thème
des Paiements sur Internet,
qui cheminent :
31. Toutes ces obligations nouvelles et ces
perspectives normatives sont autant de
contraintes à intégrer pour construire
une véritable stratégie,
indispensable pour résister à la montée
des risques liés à la fraude!
32. L’Euro a choisit l’image des ponts
comme symbole de sa construction
33. Aujourd’hui , la maîtrise de ce risque majeur que représente la fraude
moderne pour l’industrie des services de paiement constitue un défi.
Ce défi va donc bien au-delà des strictes obligations réglementaires !
Il appelle des
investissements stratégiques
et techniques à la hauteur
pour que le vent mauvais de
la fraude ne vienne ajouter à
la liste , dans l’ordre de la
monnaie scripturale, une
version numérique du
fameux Pont de Tacoma
https://www.youtube.com/wa
tch?v=TGaM8pdnr50
34. Présentation sous licence Creative Commons
Sera publiée sur www.cantonconsulting.eu en format opensource
Reproduction autorisée avec citation de la source
Partage dans les Mêmes Conditions 4.0 International
Crédits
CREDITS
• « ISO logo » par International Organization for Standardization — http://www.iso.org/iso/home/name_and_logo.htm. Sous licence Public
domain via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:ISO_logo.png#mediaviewer/File:ISO_logo.png
• "W3C® Icon" by This file was made by User:Sven http://www.w3.org/Consortium/Legal/logo-usage-20000308.html. Licensed under Public
domain via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:W3C%C2%AE_Icon.svg#mediaviewer/File:W3C%C2%AE_Icon.svg
• Pont de Tacoma : Par Barney Elliot (Stillman Fires Collection), via Wikimedia Commons
Hinweis der Redaktion
Au niveau européen, en application des Traités…
Première traduction concrète
Concerne cartes, virements, e-mandats, monnaie électronique
1- Le "paquet paiement" de Juillet 2014 s'intéresse aussi à la sécurité
3- Presidency compromise du 31/10/2014
EBA shall, in close cooperation with the ECB, develop draft regulatory technical standards addressed to payment service providers as set out in Article 1(1) of this Directive in accordance with Article 16 of Regulation (EU) No 1093/2010 to define specifying (...)"
Standards agréés a posteriori par la Commission
en application de l’article 16 du règlement 1093/2010/UE
Enfin, dernière étape de cette organisation intitutionnelle nouvelle
Un exploit parmi d’autres…
Mais d’autres experts sont plus pessimistes encore…