Retour aux actualités
Article suivant Article précédent

Revue 173 - Evolutions du métier de banque de détail et impacts sur la sécurité

Articles Revue TELECOM

-

15/07/2014


Evolutions du métier 

de banque de détail et 

impacts sur la sécurité

 



Par Michel Jaubert dans la revue TELECOM n° 173
 

Depuis qu’il y a de la richesse, de la valeur et des moyens de paiement en circulation, se pose le problème de la sécurité des biens, des paiements et des personnes et, donc, des infrastructures, des technologies et des systèmes garantissant la sécurité du système bancaire, pour le particulier.

Jusqu’à l’avènement d’internet au début des années 2000, la banque de détail « classique » avait organisé la sécurité des stocks de richesse (les dépôts) et des flux (les paiements) autour de ses agences physiques et de ses réseaux interbancaires, notamment dans le cadre du GIE cartes bancaires qui assurait un niveau inégalé de sécurité aux porteurs de cartes. Dans ce monde « classique », le rapport de forces entre voleurs, fraudeurs, contrefacteurs et forces de l’ordre avait trouvé un équilibre rassurant, après notamment la mise en place d’agences bancaires privées de stocks d’argent liquides et fortement sécurisées (sas d’accès, vidéo-surveillance).

Le digital vient faire voler en éclat ce modèle et propulse la vie financière des clients dans un nouveau monde, celui de la banque digitale et du commerce en ligne, un monde de liberté du client, où tout est possible, de l’achat en 1 click au virement instantané entre amis. Le phénomène de la banque digitale est une lame de fond irréversible. Déjà 20% des clients des banques déclarent ne plus fréquenter leur agence bancaire. Les bandits de grand chemin du Far West numérique que constitue internet ne s’y sont pas trompés et la cyber-criminalité pourrait transformer cet Eldorado en zone de non-droit où la sécurité individuelle ne tiendrait qu’à la capacité du citoyen lambda de s’armer et de se protéger, en l’absence de shérif du Web.

Avec 450 millions d’euros de fraude à la carte bancaire en 2012, selon l’observatoire de la sécurité des cartes de paiement, la protection des paiements par carte sur les sites marchands d’e-commerce constitue un enjeu très important pour asseoir développementdurable d’internet et de la banque digitale, ce qui met l’ensemble des acteurs concernés, particuliers, banques, régulateurs, Etats, fournisseurs de technologies, e-commerçants, moteurs de recherche, réseaux sociaux, … devant un flot de questions et de responsabilités.
 

La banque de détail « classique », avec ses agences

Le système bancaire français assure formidablement bien sa mission d’opérateur de paiements, traitant chaque année plusieurs milliers de milliards d’Euros de paiements (28 000 milliards en 2012), opérant environ 85 millions de cartes de paiement et 2,8 milliards de chèques émis en France en 2012.

Il peut également s’enorgueillir de contribuer fortement à la modernisation du système bancaire, ayant par exemple promu la carte au détriment du chèque (les volumes de chèque décroissent chaque année de près de 5% ; le volume de paiement par carte a dépassécelui des chèques depuis 2003), dont il a par ailleurs dématérialisé le traitement avec l’image-chèque (EIC) mis en place en 2002 ; ou encore avec le lancement des banques en ligne et de la banque par internet au début des années 2000 : du digital avant l’heure.

Jusque récemment, l’essentiel des opérations bancaires s’effectuait au sein de l’une des 38 000 agences bancaires en France ou dans un des 58 000 distributeurs automatiques de billets. Les paiements dans les commerces se faisaient au travers du million et demi de points d’acceptation de cartes bancaires. Dans les deux cas, l’authentification des acteurs de la transaction (la reconnaissance de son banquier par le client ou du client par son commerçant (et réciproquement) posait relativement peu de problème, dans un cadre physique où les acteurs se faisant face, pouvaient se reconnaître et échanger des pièces justificatives tangibles (pièces d’identité).

Sécuriser tout cet ensemble, bien que complexe et onéreux, en terme de couverture du territoire national et de haute disponibilité (24X7 pour les DAB/GABs) notamment, restait un défi somme toute maîtrisé et peu évolutif.

Lors de certaines affaires bancaires délicates, l’activité de banque de détail a pu être décrite comme une activité « ennuyeuse », rapportant 3 à 5% de croissance annuelle, dans un cadre relativement sécurisé.























Du physique au numérique, le défi des grands espaces et des grands nombres

Avec l’avènement du digital, les murs de l’agence bancaire explosent : les transactions se font sur l’ordinateur personnel des 54 millions d’internautes Français ou sur le terminal des 66 millions d’abonnés au téléphone mobile en France. Selon VISA, à l’horizon 2020, 50% des paiements s’effectueront sur des terminaux mobiles (contre 2,5% en 2013). Le cabinet Gartner prédit une augmentation de 35% par an des transactions par mobile d’ici 2017.

Et l’innovation technologique se poursuit à un rythme effréné : avec le paiement sans contact : la France compte d’ores et déjà 21 millions de cartes sans contact en circulation, ainsi que 5 millions de téléphones compatibles NFC permettant le « contacless » ; avec les portefeuilles électroniques (la plupart des banques offrent leur solution de wallet (consiste à enregistrer les cartes bancaires détenues dans l’établissement teneur de compte ou dans d’autres établissements, puis à n’utiliser qu’un identifiant et mot de passe pour valider un paiement sur internet).

Côté infrastructures des systèmes d’information, la donne change aussi : les milliards de données que manipulent les banques, en matière de paiement, transactions, données clients, se retrouvent traitées au travers d’infrastructures plus fragmentées et plus complexes : c’est lié notamment depuis les années 2000 à l’externalisation des traitements back-office vers des centres de traitements industrialisés, parfois délocalisés et au recours à des prestataires tiers pour le traitement technique de certaines opérations (chèques, conservation de titres, backups informatiques…). C’est maintenant impulsé par les architectures dites Cloud, qui permettent de mutualiser et de virtualiser les équipements physiques (serveurs, matériels de stockage de données) et logiciels, qui font fonctionner l’ensemble des activités de la banque. La pression économique sur la rentabilité des banques est telle qu’il est aisé de prédire un déport massif des infrastructures bancaires vers ce type d’architecture dans un avenir très proche.

Quelles implications en matière de sécurité ? Il s’agit maintenant de sécuriser des millions de points de contacts d’une chaîne de paiements extrêmement fragmentée, dont la robustesse d’ensemble dépendra du maillon le plus faible : le client final.










Transaction security is complex and has multiple attack vectors


L’individu digital constitue à la fois l’enjeu commercial des banques (en terme de satisfaction de ses besoins de services bancaires numériques), mais c’est aussi la proie rêvée des nouveaux « pilleurs de banques » de la cyber-criminalité, forme de criminalité qui, selon Interpol, connaît actuellement la croissance la plus forte, de plus en plus de malfaiteurs exploitant la rapidité et la fonctionnalité des technologies modernes, ainsi que l’anonymat qu’elles permettent, pour commettre les infractions les plus diverses.

Au hit-parade des attaques sur internet, selon le récent congrès du FS-ISAC (Financial services – Information sharing and Analysis center), organisme International qui regroupe un grand nombre d’établissement bancaires, dans une logique d’échange d’information et de meilleures pratiques, pour lutter contre le cyber-crime, on trouve les DDOs (distributed Denial of Service), ces attaques de systèmes informatiques émanant d’un réseau d’ordinateurs disséminés dans plusieurs endroits géographiques, sous lecontrôle d’un cyber-pirate anonyme, les APTs (advanced Persistent threats) ou attaques intentionnelles et connues qui visent un établissement en particulier de manière intentionnelle, les Trojans, logiciels installés de manière invisible et malveillante pour exécuter des tâches sur l’ordinateur de l’utilisateur à son insu et bien entendu, toute une série de Malware, ces logiciels malveillants, qui visent à toutes sortes d’actions frauduleuses.

Renforcer la sécurité au niveau du client final, tel est l’enjeu des banques : selon B2B International, 28% des personnes interrogées ne vérifient pas l’authenticité des sites Web sur lesquels ils saisissent des informations confidentielles ; 34% d’entre elles ne prennent pas de précaution dans les lieux publics pour éviter l’interception de leurs données sur les réseaux wi-fi publics.

Les cybercriminels ont bien identifié cette faille et préfèrent s’attaquer aux ordinateurs des particuliers, plutôt qu’aux infrastructures sécurisées des banques. En 2012, la fraude sur les paiements sur internet représentait 0,29% des transactions.
 

La banque digitale sécurisée, un enjeu qui va bien au-delà des banques

Comment rester à l’état de l’art de la protection anti-fraude face à une R&D incessante du cyber-crime ? comment embarquer le client dans la démarche générale de sécurité de la banque, sans aller au-delà du niveau de contrainte acceptable par les clients ? comment valoriser les dépenses de sécurité auprès des clients ? comment faire face à des dépenses en sécurité toujours croissantes ? Voilà quelques-unes des questions auxquelles les banques doivent répondre au quotidien, et de plus en plus, à mesure que l’utilisation de la banque mobile et la dispersion des données personnelles au travers des sites marchands et autres réseaux sociaux se poursuit.

Trois grands sujets doivent être traités sous 2 à 3 ans pour rester dans la course :

Les banques « doivent y aller » : elles devront surmonter les barrières internes et externes pour réellement embrasser les technologies digitales, principalement le « tout mobile », l’exploitation intelligente des données clients à des fins de meilleurs expérience client etl’informatique dans le cloud, en mode SaaS, si elles souhaitent rester dans la course de la valeur perçue et de l’efficacité coûts.

Elles doivent adapter leur dispositif sécurité aux défis du digital : former les personnels Métier et SI aux nouveaux défis du digital et intégrer la sécurité digitale (des données, des transactions) dans l’ensemble des transactions, des nouveaux projets, des nouveaux produits. La France est bien placée, avec son tissu industriel technologique des secteurs télécom, militaire, technologies de l’information pour fournir des armes efficaces pour lutter contre la fraude digitale et le cyber-crime, en investissant par exemple dans les techniques de biométrie ou dans la cryptologie des mobiles.

Elles doivent enfin faire le nécessaire travail de lobbying auprès des différentes instances et Etats pour rendre internet « fréquentable », ce qui passe notamment par une coopération internationale renforcée contre les fraudeurs et le respect de la propriété intellectuelle et de la vie privée.

A ces conditions, les banques, notamment les grandes banques traditionnelles, qui ont les moyens d’investir, pourront garder leur rang de leader et devenir de véritables Institutions digitales, plus modernes et toujours bien sécurisées. 


 

L’auteur
 


Michel 
Jaubert est Partner d’A.T. Kearney à Paris au sein des Practices Institutions Financières et Digital. Après un début de carrière dans les systèmes d’information et infrastructures de back office sur les marchés actions en Asie au sein de laBanque Indosuez, Michel Jaubert a rejoint A.T. Kearney en 1999 où il a développé l’activité du bureau de Paris autour des problématiques de transformation des Opérations et des SI de grands établissements bancaires. Directeur des Opérations de State Street Banque entre 2005 et 2008, il est revenu au conseil et anime les activités d’excellence opérationnelle et de transformation digitale d’A .T. Kearney dans le secteur financier.

230 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Revue TELECOM 195 - 5G : une révolution numérique des télécoms ?

photo de profil d'un membre

Melina LAURICELLA

16 janvier

Articles Revue TELECOM

Revue TELECOM 195 - Dans la lumière Brune

photo de profil d'un membre

Rédaction Revue TELECOM

15 janvier

Articles Revue TELECOM

Revue TELECOM 195 - Onboarding, intégration, rétention... what for ?

photo de profil d'un membre

Rédaction Revue TELECOM

15 janvier