Télécharger la présentation de Marc Andries de la Banque

Les recommandations de la Banque de France
pour la sécurité des paiements en ligne
Marc ANDRIES
Chef du Service de Surveillance
des Moyens de Paiement Scripturaux
FEVAD
Le paiement en ligne
29 avril 2009
[email protected]
FEVAD – 29 avril 2009
Mission de la Banque de France
■
Promotion du bon fonctionnement et de la sécurité des systèmes de
paiement, y compris des moyens de paiement

En France - article L141-4 du Code Monétaire et Financier
“La Banque de France s'assure de la sécurité des moyens de paiement […],
et de la pertinence des normes applicables en la matière. ”

■
Au sein de l’Eurosystème: Article 105-2 du Traité de Maastricht
Moyens d’action

Définition d’exigences de sécurité à partir d’une analyse de risques

Evaluations sur pièces et sur place

Recommandations
) Principes d’action : transparence, neutralité concernant les technologies
FEVAD – 29 avril 2009
2
1
L’Observatoire de la sécurité
des cartes de paiement
■
Forum de dialogue : émetteurs, commerçants, consommateurs,
parlementaires, administrations
■
Présidé par le gouverneur de la Banque de France, secrétariat assuré
par la Banque de France
■
Une triple mission :
■

Suivre la mise en œuvre des mesures de sécurité adoptées par les
émetteurs et les commerçants

Établir des statistiques en matière de fraude

Assurer une veille technologique
Rapport annuel remis au ministre chargé de l'économie et transmis au
Parlement (disponible sur le site internet).
www.observatoire-cartes.fr
3
FEVAD – 29 avril 2009
Paiements en ligne: augmentation
de la fraude et des attaques
■
La fraude en paiement à distance
devient un problème majeur
FR = 50 M€ en 2007 (Fr/Fr)
(+51% contre +41% en 2006):
5% des transactions représentent
44% de la fraude totale
[En comparaison : UK = 290M£ en
2007 (+37%) - environ 365M€]
Part des différents type de paiement
(sur les transactions nationales en 2007)
100%
90%
24%
80%
70%
60%
3%
50%
40%
30%
20%
10%
Retraits
17%
Paiements à
distance sur
internet
23%
2%
70%
Paiements à
distance hors
internet
Paiements de
proximité et sur
automate
21%
40%
0%
■
Part des transactions
Part de la fraude
Elle est en nette augmentation en
2008 et pèse sur l’évolution globale
de la fraude. La Banque de France considère qu’il y a un risque de confiance des
utilisateurs
■
Les attaques sur les sites de banque en ligne s’intensifient et deviennent plus
sophistiquées. Les parades par fermeture des sites ne sont plus tenables
FEVAD – 29 avril 2009
4
2
Paiements en ligne :
quelle sécurité ?
■
■
Risques communs à la banque en ligne et au paiement à distance:

L’utilisation de réseaux ouverts facilite les attaques

Difficulté de protection du poste client
L’authentification du porteur de la carte et de l’utilisateur de banque en
ligne reste le problème principal

Les solutions de scoring et les différents standards sur la protection des
données peuvent toutefois participer en parallèle à la sécurisation des accès
et des données sensibles
■
Le développement de la banque en ligne et du commerce électronique
est souhaitable ; en accompagnement, la sécurité doit se développer
■
Il existe pour cela une offre variée de solutions désormais matures sur le
marché, déjà largement déployées dans les autres pays européens
5
FEVAD – 29 avril 2009
Solutions disponibles – Exemples
■
Cartes combinées
■
Grilles d’authentification
■
Authentification à
deux facteurs
(lecteurs de cartes
EMV, tokens…)
FEVAD – 29 avril 2009
■
Utilisation de deux
canaux de
communication
(Internet + SMS…)
6
3
Les recommandations
de la Banque de France
Lettres du gouverneur aux présidents des banques, 15 juillet 2008 :
■
Mise en œuvre de solutions d’authentification non rejouable

pour la banque en ligne

et pour les paiements en ligne par carte
■
Déploiement effectif auprès d’une partie de la clientèle avant fin juin
2009 (par exemple la clientèle plus active)
■
Généralisation auprès de l’ensemble de la clientèle de banque en ligne
ou réalisant des paiements par carte sur internet pour fin juin 2010
)Toutes les banques sont concernées
)Les recommandations sont exprimées en termes de niveau de sécurité
(authentification non rejouable), et non en termes de produits et de solutions
techniques
FEVAD – 29 avril 2009
7
Les recommandations
de la Banque de France
■
Pour la banque en ligne, l’authentification non rejouable est requise :
›
›
■
pour la réalisation des « opérations sensibles » : toutes les opérations
permettant d’effectuer directement ou indirectement un transfert de fonds
sortant, entraînant l’appauvrissement du compte du client (ex :
virements, commande de moyens de paiement, mise à jour des données
client permettant une prise de contrôle même partielle du compte,
adhésion à une offre de carte virtuelle, coffre-fort électronique…)
A défaut, dès la connexion au site, compte tenu de la multiplicité des
services concernés
Eviter également la saisie et l’affichage des identifiants de compte et de
carte, qui sont des données sensibles
FEVAD – 29 avril 2009
8
4
Les recommandations
de la Banque de France
■
Pour les paiements en ligne par carte

La mise en place de l’authentification non rejouable pour les paiements par
carte de type interbancaire passe par une architecture telle que 3D-Secure

L’équipement des porteurs doit être généralisé ; synergies souhaitables
avec les solutions choisies pour la banque en ligne

L’utilisation de mots de passe statiques (ex : date de naissance), qui a pu
être utile pour le lancement, est à proscrire

L’équipement des commerçants est encouragé : l’offre bancaire sur 3DSecure doit être claire et attractive (report de la fraude, ergonomie, coût,
etc.).

Points d’attention :
›
intérêt d’un traitement différencié pour les transactions de faible montant
›
les secteurs commerciaux les plus fraudés à équiper en priorité
FEVAD – 29 avril 2009
9
Les actions de l’Eurosystème
l’Eurosystème
■
Solutions de paiement nationales : compétence de la BC nationale
■
Solutions de paiement transfrontalières : organisation coopérative, sous la
conduite d’un lead overseer
■
Un cadre de surveillance pour les cartes, publié en janvier 2008

25 systèmes de paiement par carte (interbancaire ou privatif) en cours d’évaluation
http://www.ecb.int/press/pr/date/2008/html/pr080111.en.html
■
Deux cadres de surveillance en cours de préparation :

pour le virement (cf. banque en ligne)

pour le prélèvement
http://www.ecb.int/press/pr/date/2009/html/pr090220.en.html
FEVAD – 29 avril 2009
10
5
Merci de votre attention
Questions ?
[email protected]
FEVAD – 29 avril 2009
11
6