Jean-Yves ROSSIPrésident de CANTON-Consulting

Lundi 1er décembre 2014 14h15

KEYNOTE

L’évolution de l’environnement réglementaire

du paiement en 2015,

Les risques,

Et la fraude …

Une reprise de ces Rencontres sous le signe de ...

trois mauvaises nouvelles !?

Les réglementations structurent le schéma de maîtrise des risquesdes entreprises financières et de l'industrie des paiements…

Elles obligent les PSP à adopter

une organisation en

adaptation permanente en

fonction du niveau de risque

En France, c’est traditionnellement le

CRBF 97-02 qui organise le contrôle interne

Le risque de fraude est un élément

majeur au coeur de cet exerciceimposé de prévision et contrôle.

Les Autorités Européennes ont compétencedirecte en matière de risque et de fraude :

• Article 83 TFUE :

Le Parlement européen et le Conseil, statuant par voie de directives conformément à la procédure législative ordinaire, peuvent établir des règles minimales relatives à la définition des infractions pénales et des sanctions dans (les) domaines de criminalité(...) le blanchiment d'argent, la corruption, la contrefaçon de moyens de paiement, la criminalité informatique (...)

• Article 127.2 TFUE

Les missions fondamentales relevant du SEBC consistent à : (...) promouvoir le bon fonctionnement des systèmes de paiement.

SEBC a lancé le Forum SecuRePay

• 2011 : Un forum de coopération volontaire entre les superviseurs de l’EEE

• Thème : la sécurité des instrument électroniques de paiement de détail.

• Janvier 2013 : 14 recommandations sont publiées– Environnement général de sécurité et de contrôle– Mesures spécifiques pour les paiements en ligne– Communication et prise de conscience du consommateur

La Commission Européenne

DSP 2007/64/UE (11) : Il faut "veiller à ce que, pour tous les prestataires de services de paiement, les mêmes risques soient traités de la même manière“

La DSP2 va renforcer les obligations définies par la DSP sur l'authentification :

– (51a) "tous les moyens de paiement en ligne (mobile, internet) doivent garantirl'authentification sécurisée de l'utilisateur et réduire au maximum le risque de fraude"

– L'article 4 introduira une définition de l'authentification forte– L'article 87 précisera les fonctionnalités permettant l'authentification– L'article 66 alourdit les contraintes de responsabilité pesant sur les PSP– L'article 88 prévoit l'élaboration par l’ABE de standards techniques sur l'authentification et la

communication

Les premiers effets directs de ses travaux s’imposeront bientôt aux PSP

• Obligation pour tous les PSP de :– Procéder à une évaluation des risques liés au paiement

– Instaurer un système d'authentification forte (= au moins 2 facteurs) pour l'initiation des paiements ou l'accès à des données sensibles

– Concevoir des processus efficients d’autorisation et de détection des comportements anormaux et fraudes, par suivi des transactions

• 1er février 2015 : date de mise en oeuvre “recommandée”

• 1er août : force obligatoire, sous forme de ligne directrice ABE

L’ABE-EBA va recevoir mandat de la Commission en matière de sécurité

•Une Autorité créée par le Règlement 1093/2010 du 24 novembre 2010 dans le cadre de la réformedu Système Européen de Surveillance Financière• avec le pouvoir d’ élaborer des projets et normestechniques de règlementation et d’exécution.• Le 20/10/2014, BCE et ABE ont décidé d’entreren “coopération pour la sécurisation des systèmes de paiement ”

L’article 88 DSP2 futur en définit le domaine d’intervention :

Les exigences régissant le Dispositif de Sécurité Personnalisé : procédure, exceptions et mesures de protection de son intégrité

Et les modes de communication entre les différentsintervenants d'une transaction (PSP du payeur, éventuel payeur de

tierce partie, payeur, bénéficiaire...)

À partir de 2015 de nouvelles règles de sécurités'appliqueront donc progressivement en Europe

L’Europe peut-elle aller au-delà ?Depuis février 2013, la Commission travaille à un projet majeur de

plan de Cybersécurité de l’UE, en liaison avec la Haute représentante de l’Union Européenne pour les affaires étrangères

Et un projet de Directive concerne la Sécurité des Réseaux et de l’Information ou Network and Information Security (SRI -NIS)

Ce projet devrait s'appliquer aux entreprises clés de l'Internet, dont les services de paiement

Mais il soulève de multiples problèmes de coordination au sein de l’UE , entre ses divers programmes et projets, et entre les Etats

Son calendrier est très incertain

Alors, cette montée en puissance des instances européennes dans lutte contre la fraude, est-elle

une bonne ou une mauvaise nouvelle ?

• Bonne nouvelle puisque la normalisation permet aux acteursde se coordonner

• Et qu’elle favorise, par elle-même, l'initiative économique et facilite la cohérence d’action

• Et porte l’espoir de contribuer au renforcement indispensable de la sécurité d’ensemble de l’écosystème des paiements

• Mais sera-t-elle assez efficace ?

La supervision coordonnée européenne se met en place

Et les superviseurs conjuguent leurs efforts pour arrêter la fraude :

Ils vont avoir fort à faire …

EST-IL ENCORE SEULEMENT POSSIBLE DE GAGNER LA

BATAILLE DE LA SECURITE ?

La fraude est devenue une vraieindustrie technologique de pointe

• Il suffit de l’affichage d'une image JPEG sur votre navigateur pour queTSPY_ZBOT.TFZAH s'introduise dans votre système

• Les virus asiatiques SOGO-MOT et MIRYAGO sont des champions de furtivité, un sujet qui couvre même la transmission des informationscapturées

• KAP-TOXA a capturé les identifiants de paiement de la chaîne américainede produits de luxe Neiman Marcus pendant 4 mois avant d'être détecté

• Poison Ivy, Dark Comet, … sont des RAT ou Remote Access Trojans qui acquièrent un contrôle complet des machines infectées et en surveillenttoutes les actions

Cette industrie de la fraude est maintenant coordonnée entre les continents

Le système de l’International Revenue Share Fraud, apparu il y a 10 ans dans les télécoms, consiste à organiser des chaînes de fraude(eurs) sur de multiples pays pour exploiter les failles partout où elles sont.

Produit estimé dans le télécoms : 3,8 Bn $ (CFCA Global Fraud Loss survey 2011)

L’IRSF multiplie les possibilités d’attaques coordonnées et de « schtroumphage »

Il rend les poursuites techniquement difficiles et même souvent juridiquement irréalisables

Un exemple d’application dans les paiements

1- Découverte fin août2014 du vol chez Home Depot aux USA des identifiants de cartes de crédit

40 millions de cartes volées

2- Des hackers de Russie ou d’Ukraine sont suspectés

Les numéros volés sont revendus par

« paquets » appelés « European sanctions »

3- Fin Octobre 2014 : des trains de transactionsutilisant ces identifiants sont acceptés par les banques émettrices américaines

Le vol durait depuis avril

Ces flux d’opérations se présentent comme des transactions EMV

Alors que ces cartes n’avaient jamais eu de puces !

4- Les transactions provenaient de marchands Brésiliens

5- Elles exploitaient, semble-t-il, une faille d’implémentation du standard EMV sur un m-POS européen

Le paiement s’est construit selon un principe idéal de sécurité absolue

Nous sommes entrés dans un univers où l’insécurité gagne en technicité, en agilité et en puissance

Changement d’ère !

La fraude a pris une ampleur systémique

Chaque jour : 148 000 ordinateurs voient leur sécurité compromise Deutsche Telekom subit 1 million d'attaques informatiques

Les revers du succès du smartphoneChronique d’une tempête annoncée

Les smartphones savent tout de nousIls sont "Le rêve de Staline" (Richard Stallmann)

98,1 % de tous les logiciels malveillants mobiles détectés en 2013 ciblent les appareils Android

En volume financier

Au Brésil,

une seule fraude aux prélèvements bancaires, continue de 2012 à 2014, a permis de détourner 4 Bn$

0.00 €

0.50 €

1.00 €

1.50 €

2.00 €

2.50 €

3.00 €

3.50 €

1 2 3 4 5

Bill

ion

s

En volume financier2 - Symantec estime

le montant des pertes subieschaque année par les victimes des cybercriminelsdans le monde entier à290 Mds €

0.00 €

50.00 €

100.00 €

150.00 €

200.00 €

250.00 €

300.00 €

1 2

Bill

ion

s

En volume financier3 - Selon

TimotheusHöttges(CEO Deutsche Telekom AG) cemontant s’élèveen 2014 à 575 Bn$

0.00 €

50.00 €

100.00 €

150.00 €

200.00 €

250.00 €

300.00 €

350.00 €

400.00 €

450.00 €

500.00 €

1 2 3

Bill

ion

s

En volume financier4 - Selon

McAfeeles pertesannuellesmondialesgénérées par la fraudes’élèveraient à750 Bn$

0.00 €

100.00 €

200.00 €

300.00 €

400.00 €

500.00 €

600.00 €

700.00 €

1 2 3 4

Bill

ion

s

En volume financierQuel que soit le « bon »

chiffre, il est d’un ordre de grandeur nettement supérieur au budget des Etats !

En 2013, le budget de l’UE : 148,5 Mds €

0

100

200

300

400

500

600

700

800

1 2 3 4 5

Bill

ion

s

Nulle « citadelle » n’est à l’abri

Plus l’organisation est nombreuse plus les risques de complicité augmentent

Si les criminels ne trouvent pas une complicité interne, ils n’hésiteront pas à recourir aux pires menaces pour obliger un collaborateur à introduire un logiciel malveillant

Ensuite…SpyEye contourne les authentifications à deux facteursLes techniques « High rollers » multiplient les prélèvements

sur des comptes techniques (NDP 97)Des scripts (Java) savent multiplier des prélèvements ou

transferts sur des montants homogènes avec les opérations habituelles du compte attaqué

Le pire n'estjamais sûrmais...

Les consommateurs

le savent

Résultats du sondage sur la cybersécuritéEurobaromètre de 2012

38 % des internautes de l'UE ont modifié leurcomportement en raison d'inquiétudes sur la sécurité

15 % sont moins enclins à utiliser les services bancaires en ligne

12 % des interrogés avaient déjà été victimesde fraude en ligne

… Mieuxque les entreprises

Seulement 26 % des entreprises de l'UE ont une politique de sécurité informatique formalisée ! (Eurostat Janvier 2012 )

En un an, leur budget de sécurité informatique s'est réduit de 10 % ! (source PWC - The Global State of Information Security®)

Pourtant, tous sont prêts au changement

• Côté consommateurs : Les solutions de paiementmobile sont très largement essayées et adoptées

• Côté Professionnels : 280 000 TPE françaises seraientprêtes à utiliser un m-POS dans les 6 mois (Source Visa)

• Même la curiosité voire l'attrait pour le Bitcoindémontrent l'évolution des esprits sur le thème des paiements

La résultante, c’est l’accroissement du coût du risque • Les Etats-Unis passent tardivement à EMV• Le (vrai) taux de fraude sur les paiements cartes y approche

0,45% du volume total• Ce chiffre suffit à expliquer le succès d’Apple Pay, sur une

offre de sécurisation qui coûte 0,15% aux banques et leur en économise le double

• Ces évolutions promettent un risque fort de « migration » de la fraude d’une rive à l’autre de l’Atlantique

Rappelons qu’en Europe…• Taux de fraude sur la zone SEPA : 0,038 %

• Le plus fort taux, c’est en France 0,065 %

• Au total les 19 Pays de la zone Euro supportent un coût total de 1,5 Md€

• … qui pèse aux 2/3 sur la France et le UK (environ moitié-moitié)

(source BCE Février 2014)

L’industrie doit savoir réagir sans attendre les obligations réglementaires

• La fraude se perfectionne à une vitesse que les gains accumulés accélèrent

• Ces enjeux sont stratégiques et appellent une juste anticipation par les acteurs,

• En sachant s’impliquer dans toutes les évolutions normatives à venir

Le travail de veille doit aussi intégrer

• Les conséquences de l’évolutions des règles de répartition légales ou contractuelles des responsabilités (Liability shift)

• Les normes PCI-DSS

Et les autres chantiers de normalisation sur le thème des Paiements sur Internet, qui cheminent :

Toutes ces obligations nouvelles et ces perspectives normatives sont autant de contraintes à intégrer pour construire

une véritable stratégie, indispensable pour résister à la montée

des risques liés à la fraude!

L’Euro a choisit l’image des ponts comme symbole de sa construction

pour que le vent mauvais de la fraude ne vienne ajouter à la liste , dans l’ordre de la monnaie scripturale, une version numérique du fameux Pont de Tacoma

Aujourd’hui , la maîtrise de ce risque majeur que représente la fraude moderne pour l’industrie des services de paiement constitue un défi.Ce défi va donc bien au-delà des strictes obligations réglementaires !

Il appelle des investissements stratégiques et techniques à la hauteur

https://www.youtube.com/watch?v=TGaM8pdnr50

Crédits

CREDITS

• « ISO logo » par International Organization for Standardization — http://www.iso.org/iso/home/name_and_logo.htm. Sous licence Public domain via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:ISO_logo.png#mediaviewer/File:ISO_logo.png

• "W3C® Icon" by This file was made by User:Sven http://www.w3.org/Consortium/Legal/logo-usage-20000308.html. Licensed under Public domain via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:W3C%C2%AE_Icon.svg#mediaviewer/File:W3C%C2%AE_Icon.svg

• Pont de Tacoma : Par Barney Elliot (Stillman Fires Collection), via Wikimedia Commons

Présentation sous licence Creative CommonsSera publiée sur www.cantonconsulting.eu en format opensource

Reproduction autorisée avec citation de la source Partage dans les Mêmes Conditions 4.0 International