Cybersécurité des établissements de paiement et de monnaie électronique : quels défis pour 2018 ?


Post Image

Que la cible soit une PME, une banque ou un établissement de paiements et monnaie électronique, les cyber-attaques potentielles sont sensiblement les mêmes : attaque en déni de service (DDOS), attaque par intrusion, propagation de logiciel malveillant…
En terme de cybersécurité comme dans tout autre domaine, le risque zéro n’existe pas. Ainsi, le secteur fintech y investit une énergie conséquente, le premier pas vers la sécurité étant de ne pas nier le risque et d’accepter sa vulnérabilité.

Les établissements de paiement et de monnaie électronique : plus ou moins vulnérables que les grands acteurs financiers?

Fintechs ou grands acteurs financiers prennent tous très aux sérieux les risques de cybersécurité, leurs dirigeants ayant conscience de la valeur des données potentiellement stockées dans leur système. Chaque acteur étant une cible potentielle, outre la protection face aux attaques qui ne peut être de 100%, l’accent doit être mis sur les moyens de détection des attaques et le plan de continuité au plan d’urgence.

On peut toutefois noter quelques éléments de différences entre les établissements de paiement (EP) et de monnaie électronique (EME), et les grands acteurs financiers:

  1. Les EP et EME sont encore de petites structures. Traditionnellement, les attaques se concentrent sur des cibles plus importantes, à fort impact d’image ou de fraude
  2. Les EP et EME ont bâti leurs services sur des technologies récentes, moins sujettes aux failles de sécurité (à l’instar de la cyberattaque utilisant les failles des systèmes d’exploitation Microsoft). Elles n’ont en effet pas à gérer et maintenir un legacy obsolete, source d’une plus grande vulnérabilité.
  3. Elles font en général appel à des services d’hébergement externalisés et infogérés de grande dimension, lesquels ont bâti depuis des années de très fortes capacités de protection et de résilience. Les modèles « cloud » ont par ailleurs prouvé depuis des années leur suprématie sur les centres serveurs internes.
  4. En revanche, l’expérience moindre des ces jeunes entreprises ainsi que leurs ressources humaines limitées peuvent indéniablement les exposer à certaines attaques. Néanmoins, cette fragilité est compensée par leur grande agilité et capacité de réaction.

Ouverture des systèmes informatiques et paiement instantané en 2018 : vers de nouveaux risques ?

L’année 2018 sera riche en changements pour le secteur du paiement. L’ouverture des systèmes informatiques et le paiement instantané notamment apporteront leurs lots d’opportunités et d’ajustements pour tous les acteurs de l’écosystème.
Si les APIs ne constituent pas une innovation en soi pour le secteur Fintech déjà en grande partie bâti sur cette technologie : elles existent depuis des années et ont déjà prouvé leur intérêt. C’est en revanche l’industrie SaaS toute entière qui connaît une évolution via l’ouverture annoncée des systèmes informatiques.
Les protocoles et les techniques d’authentification existent et sont déjà utilisés par les banques pour leurs applications internes (une application de banque mobile opère ainsi pour se connecter au legacy par exemple). Les techniques d’authentification des acteurs tiers existent aussi et sont éprouvées (exemple : OAUTH2). Par conséquent, toutes les parties prenantes disposent des outils qui permettront la connexion entre banques et nouveaux acteurs de manière efficace et sécurisée. Reste à savoir si toutes auront les ressources et l’agilité pour tirer partie de cette évolution du secteur.

Tandis que toute l’économie vit au rythme d’Internet et de l’immédiateté, il apparaît incongru de devoir attendre 24h voire 48h pour qu’un paiement soit effectif alors que l’étape de checkout qu’elle ait lieu en caisse physique ou sur une page web ne prend que quelques secondes. Le débat autour du paiement instantané résulte donc d’une volonté d’accorder le secteur au rythme de la société. Il constitue une véritable évolution claire de notre société. Depuis novembre, certains acteurs comme la banque espagnole Caixabank sont déjà prêts à utiliser ce nouveau schéma de paiement lancé par l’EPC (European Payments Council). Peu à peu, tous les acteurs européens devraient être aussi en mesure d’opérer.
En termes de sécurité, l’instantanéité peut constituer pour certains un défi. En effet, la gestion des paiements “par lot” apporte le confort de pouvoir bloquer les transactions suspectes avant d’êtres exécutées. Mais se pose alors la question de la durée d’exécution de ces contrôles. Or, les technologies actuelles( machine learning et robots advisors temps réel notamment), permettent de répondre efficacement et rapidement à cette problématique. C’est d’ailleurs tout le principe des APIs et de l’Instant Payment : rendre possible l’instantanéité, à la fois de l’exécution et du contrôle des paiements.

La question de la sécurité est ainsi à traiter au même titre que n’importe quel défi d’une entreprise. Aucune industrie n’a jamais pu se développer au détriment de la sécurité et surtout cette dernière n’a jamais empêché l’innovation et l’accompagnement des changements de la société. Bien au contraire : une innovation non sécurisée ne sera pas utilisée et n’apportera donc aucune valeur ajoutée. Or c’est bien le taux d’usage et le niveau de bénéfice qui fait le succès d’une innovation.