Banque digitale : quels enjeux en matière de sécurisation des données ?

bertrand carlier wavestoneBertrand CARLIER
Senior Manager / IT Security Expert
WAVESTONE

Intervenant à la conférence « Banque digitale et connectée », le mardi 27 juin à Paris.

 


Avec plus de dix ans d’expérience dans la sécurité, Bertrand Carlier a eu l’occasion de se confronter aux enjeux et difficultés de projets d’Identity & Access Management et en retire des convictions profondes sur la démarche à adopter et la manière de mettre en œuvre les outils.

Il travaille aujourd’hui plus particulièrement sur les problématiques de contrôle d’accès aux APIs, la gestion des accès B2C ou encore la sécurité des objets connectés pour les grands comptes. Plus spécifiquement il a accompagné la redéfinition d’architecture applicative et sécurité dans le secteur bancaire pour plusieurs comptes tant sur les volets employés internes et les contraintes réglementaire de ségrégation des tâches et recertification des accès que clients (retail & banque d’investissement) avec la problématique d’ouverture du SI et des API requis par la Directive des Services de Paiement 2 (DSP-2).

En attendant de le retrouver à l’occasion de la conférence « Banque digitale et connectée », il nous livre sa vision.

La question « 140 caractères » – Quelle est votre mission sur terre ? Vous avez 140 caractères !

Comprendre comment les choses fonctionnent et innover. Tant sur les usages que sur les technologies aux services des usages.

La question « consultant » – Quelle est la perception des opportunités pour les établissements bancaires la Directive des Services de Paiement 2 (DSP-2) ? Quelles sont les menaces et/ou challenges pour les institutions financières ?

La principale menace, véritable épouvantail pour les banques traditionnelles, est la désintermédiation, c’est-à-dire la perte du lien direct avec le client et l’apparition d’intermédiaires dans la chaîne de paiement ou tout simplement dans l’accès aux données des comptes. La directive leur imposant l’ouverture des données bancaires à des tiers, les banques vont devoir s’y conformer et laisser ces nouveaux acteurs rentrer sur le marché et cela est très souvent perçu comme une contrainte subie.

Il faut renverser cette perception et voir le verre à moitié plein. Après tout, ces tiers (agrégateurs ou tiers de paiements) sont déjà présents sur le marché et cette directive ne fait que leur simplifier la tâche. La directive est une piqûre pour forcer les banques à innover et favoriser une saine concurrence autour des services proposés aux clients finaux.

Le challenge pour les institutions financières est donc de contrôler la part de marché qu’elles vont céder, s’adapter à ces nouveaux usages voire en étant à l’origine de nouveaux services et usages. Enfin, elles peuvent coopérer avec ces acteurs ou les racheter s’il s’agit de leur stratégie et ne pas être uniquement en compétition.

La question « actu » – Calendrier règlementaire : quelles sont les dispositions spécifiques relatives à la sécurisation des données ?

La Directive elle-même entre en application au début de l’année 2018. Dans les faits, les éléments techniques réglementaires (Regulatory Technical Standards, RTS), qui accompagnent la directive, seront publiés courant 2018 entreront probablement en effet dans la première partie de 2019.
Il faut rappeler que les dispositions énoncées par la directive découlent de plusieurs objectifs :

  • Améliorer et harmoniser la protection des client finaux,
  • Améliorer la sécurité des services de paiement à l’échelle européenne,
  • Réduire les coûts en introduisant une « saine compétition » avec des nouveaux acteurs sur le marché
  • Donner un cadre légal à des pratiques existantes comme le paiement mobile ou via internet

De ces objectifs découlent plusieurs conséquences sur le niveau d’authentification requis lors de la réalisation d’opérations par les clients finaux ou sur l’ouverture nécessaire des données à des acteurs tiers.

La question « concrète » – En matière de sécurisation des données, quels sont les principaux points à traiter ?

La priorité est d’avoir une vue claire des données et opérations qui seront ouvertes. C’est sur cette base qu’une analyse des risques pourra être menée et identifier les priorités.
Ensuite, sur le plan technologie, il faut comprendre les bonnes pratiques et les standards disponibles pour sécuriser données et APIs. OAuth est le maître mot quand on aborde les standards de sécurisation des APIs mais il convient d’en maîtriser les bases avant de se lancer dans les cas d’usages plus avancés : niveau d’authentification requis en fonction de la sensibilité de l’opération ou du contexte, protection contre le vol de jeton, etc.

Pour en savoir plus, retrouvez Bertrand CARLIER lors de la conférence « Banque digitale et connectée », le mardi 27 juin à Paris.

Laisser un commentaire