Télécharger la présentation de Marc Andries de la Banque
Transcription
Télécharger la présentation de Marc Andries de la Banque
Les recommandations de la Banque de France pour la sécurité des paiements en ligne Marc ANDRIES Chef du Service de Surveillance des Moyens de Paiement Scripturaux FEVAD Le paiement en ligne 29 avril 2009 [email protected] FEVAD – 29 avril 2009 Mission de la Banque de France ■ Promotion du bon fonctionnement et de la sécurité des systèmes de paiement, y compris des moyens de paiement En France - article L141-4 du Code Monétaire et Financier “La Banque de France s'assure de la sécurité des moyens de paiement […], et de la pertinence des normes applicables en la matière. ” ■ Au sein de l’Eurosystème: Article 105-2 du Traité de Maastricht Moyens d’action Définition d’exigences de sécurité à partir d’une analyse de risques Evaluations sur pièces et sur place Recommandations ) Principes d’action : transparence, neutralité concernant les technologies FEVAD – 29 avril 2009 2 1 L’Observatoire de la sécurité des cartes de paiement ■ Forum de dialogue : émetteurs, commerçants, consommateurs, parlementaires, administrations ■ Présidé par le gouverneur de la Banque de France, secrétariat assuré par la Banque de France ■ Une triple mission : ■ Suivre la mise en œuvre des mesures de sécurité adoptées par les émetteurs et les commerçants Établir des statistiques en matière de fraude Assurer une veille technologique Rapport annuel remis au ministre chargé de l'économie et transmis au Parlement (disponible sur le site internet). www.observatoire-cartes.fr 3 FEVAD – 29 avril 2009 Paiements en ligne: augmentation de la fraude et des attaques ■ La fraude en paiement à distance devient un problème majeur FR = 50 M€ en 2007 (Fr/Fr) (+51% contre +41% en 2006): 5% des transactions représentent 44% de la fraude totale [En comparaison : UK = 290M£ en 2007 (+37%) - environ 365M€] Part des différents type de paiement (sur les transactions nationales en 2007) 100% 90% 24% 80% 70% 60% 3% 50% 40% 30% 20% 10% Retraits 17% Paiements à distance sur internet 23% 2% 70% Paiements à distance hors internet Paiements de proximité et sur automate 21% 40% 0% ■ Part des transactions Part de la fraude Elle est en nette augmentation en 2008 et pèse sur l’évolution globale de la fraude. La Banque de France considère qu’il y a un risque de confiance des utilisateurs ■ Les attaques sur les sites de banque en ligne s’intensifient et deviennent plus sophistiquées. Les parades par fermeture des sites ne sont plus tenables FEVAD – 29 avril 2009 4 2 Paiements en ligne : quelle sécurité ? ■ ■ Risques communs à la banque en ligne et au paiement à distance: L’utilisation de réseaux ouverts facilite les attaques Difficulté de protection du poste client L’authentification du porteur de la carte et de l’utilisateur de banque en ligne reste le problème principal Les solutions de scoring et les différents standards sur la protection des données peuvent toutefois participer en parallèle à la sécurisation des accès et des données sensibles ■ Le développement de la banque en ligne et du commerce électronique est souhaitable ; en accompagnement, la sécurité doit se développer ■ Il existe pour cela une offre variée de solutions désormais matures sur le marché, déjà largement déployées dans les autres pays européens 5 FEVAD – 29 avril 2009 Solutions disponibles – Exemples ■ Cartes combinées ■ Grilles d’authentification ■ Authentification à deux facteurs (lecteurs de cartes EMV, tokens…) FEVAD – 29 avril 2009 ■ Utilisation de deux canaux de communication (Internet + SMS…) 6 3 Les recommandations de la Banque de France Lettres du gouverneur aux présidents des banques, 15 juillet 2008 : ■ Mise en œuvre de solutions d’authentification non rejouable pour la banque en ligne et pour les paiements en ligne par carte ■ Déploiement effectif auprès d’une partie de la clientèle avant fin juin 2009 (par exemple la clientèle plus active) ■ Généralisation auprès de l’ensemble de la clientèle de banque en ligne ou réalisant des paiements par carte sur internet pour fin juin 2010 )Toutes les banques sont concernées )Les recommandations sont exprimées en termes de niveau de sécurité (authentification non rejouable), et non en termes de produits et de solutions techniques FEVAD – 29 avril 2009 7 Les recommandations de la Banque de France ■ Pour la banque en ligne, l’authentification non rejouable est requise : › › ■ pour la réalisation des « opérations sensibles » : toutes les opérations permettant d’effectuer directement ou indirectement un transfert de fonds sortant, entraînant l’appauvrissement du compte du client (ex : virements, commande de moyens de paiement, mise à jour des données client permettant une prise de contrôle même partielle du compte, adhésion à une offre de carte virtuelle, coffre-fort électronique…) A défaut, dès la connexion au site, compte tenu de la multiplicité des services concernés Eviter également la saisie et l’affichage des identifiants de compte et de carte, qui sont des données sensibles FEVAD – 29 avril 2009 8 4 Les recommandations de la Banque de France ■ Pour les paiements en ligne par carte La mise en place de l’authentification non rejouable pour les paiements par carte de type interbancaire passe par une architecture telle que 3D-Secure L’équipement des porteurs doit être généralisé ; synergies souhaitables avec les solutions choisies pour la banque en ligne L’utilisation de mots de passe statiques (ex : date de naissance), qui a pu être utile pour le lancement, est à proscrire L’équipement des commerçants est encouragé : l’offre bancaire sur 3DSecure doit être claire et attractive (report de la fraude, ergonomie, coût, etc.). Points d’attention : › intérêt d’un traitement différencié pour les transactions de faible montant › les secteurs commerciaux les plus fraudés à équiper en priorité FEVAD – 29 avril 2009 9 Les actions de l’Eurosystème l’Eurosystème ■ Solutions de paiement nationales : compétence de la BC nationale ■ Solutions de paiement transfrontalières : organisation coopérative, sous la conduite d’un lead overseer ■ Un cadre de surveillance pour les cartes, publié en janvier 2008 25 systèmes de paiement par carte (interbancaire ou privatif) en cours d’évaluation http://www.ecb.int/press/pr/date/2008/html/pr080111.en.html ■ Deux cadres de surveillance en cours de préparation : pour le virement (cf. banque en ligne) pour le prélèvement http://www.ecb.int/press/pr/date/2009/html/pr090220.en.html FEVAD – 29 avril 2009 10 5 Merci de votre attention Questions ? [email protected] FEVAD – 29 avril 2009 11 6