Fintechs

Cybersécurité des établissements de paiement et de monnaie électronique : quels défis pour 2018 ?

À l’heure de l’entrée en vigueur de la DSP2 et de l’arrivée du paiement instantané, le président de l’Association française des établissements de paiement et de monnaie électronique (Apefame) et CEO de la FinTech SlimPay interroge les enjeux de cybersécurité pour ces jeunes acteurs.

FinTech

L'auteur

Revue de l'article

Que la cible soit une PME, une banque ou un établissement de paiement et de monnaie électronique, les cyberattaques potentielles sont sensiblement les mêmes : attaque en déni de service (DDoS), attaque par intrusion, propagation de logiciel malveillant…

En cybersécurité comme dans tout autre domaine, le risque zéro n’existe pas. Ainsi, le secteur FinTech y investit une énergie conséquente, le premier pas vers la sécurité étant de ne pas nier le risque et d’accepter sa vulnérabilité.

Les établissements de paiement et de monnaie électronique : plus ou moins vulnérables que les grands acteurs financiers ?

Les FinTechs et les grands acteurs financiers prennent tous très au sérieux les risques de cybersécurité, leurs dirigeants ayant conscience de la valeur des données potentiellement stockées dans leur système. Chaque acteur étant une cible potentielle, outre la protection face aux attaques qui ne peut être de 100 %, l’accent doit être mis sur les moyens de détection des attaques et le plan de continuité ou plan d'urgence.

On peut toutefois noter quelques éléments de différence entre les établissements de paiement (EP) et de monnaie électronique (EME) et les grands acteurs financiers :

  • les EP et EME sont encore de petites structures ; or, traditionnellement, les attaques se concentrent sur des cibles plus importantes, à fort impact d'image ou de fraude ;
  • elles ont bâti leurs services sur des technologies récentes, moins sujettes aux failles de sécurité (à l'instar de la cyberattaque utilisant les failles des systèmes d’exploitation Microsoft) ; elles n’ont pas à gérer et maintenir un legacy obsolète, source d’une plus grande vulnérabilité ;
  • elles font en général appel à des services d'hébergement externalisés et infogérés de grande dimension, lesquels ont bâti depuis des années de très fortes capacités de protection et de résilience. Les modèles « cloud » ont par ailleurs prouvé depuis des années leur suprématie en la matière sur les centres serveurs internes ;
  • en revanche, l’expérience moindre de ces jeunes entreprises ainsi que leurs ressources humaines limitées peuvent indéniablement les exposer à certaines attaques ; cette fragilité est compensée par leur grande agilité et capacité de réaction.

Ouverture des systèmes informatiques et paiement instantané en 2018 : vers de nouveaux risques ?

L’année 2018 va être riche en changements pour le secteur du paiement. L’ouverture des systèmes informatiques (DSP2) et le paiement instantané apporteront leur lot d’opportunités et d’ajustements pour tous les acteurs de l’écosystème.

Les Application Programming Interface (API [1]) ne constituent pas une innovation en soi pour le secteur FinTech déjà en grande partie bâti sur cette technologie : elles existent depuis des années et ont déjà prouvé leur intérêt. Elles sont d’ailleurs préconisées par la Commission Européenne, qui dans les RTS publiés fin novembre 2017, confirme que les API sont une technologie à privilégier pour les échanges interbancaires. C’est en revanche l’industrie SaaS (Software as a Service, ou installation de logiciels sur serveurs distants accessibles par une page web et non sur une machine) tout entière qui connaît une évolution via l'ouverture annoncée des systèmes informatiques.

Les protocoles et les techniques d'authentification existent et sont déjà utilisés par les banques pour leurs applications internes (une application de banque mobile opère ainsi pour se connecter au legacy par exemple). Les techniques d'authentification des acteurs tiers existent aussi et sont éprouvées (exemple : OAUTH2, qui permet d’autoriser un site web ou une application à utiliser l’API d’un autre site web ou d’une autre application). Par conséquent, toutes les parties prenantes disposent des outils qui permettront la connexion entre banques et nouveaux acteurs de manière efficace et sécurisée. Reste à savoir si toutes auront les ressources et l’agilité pour tirer parti de cette évolution du secteur.

Tandis que toute l’économie vit au rythme d’Internet et de l'immédiateté, il apparaît aujourd’hui incongru de devoir attendre 24 voire 48 heures pour qu’un paiement soit effectif, alors que l’étape du paiement lui-même (checkout), qu’elle ait lieu en caisse physique ou sur une page web, ne prend que quelques secondes. Le débat autour du paiement instantané résulte donc d’une volonté d’accorder le secteur au rythme de la société. Il constitue une véritable évolution claire de celle-ci. Depuis novembre 2017, certains acteurs comme la banque espagnole Caixabank sont déjà prêts à utiliser ce nouveau schéma de paiement lancé par l’EPC (European Payments Council). Peu à peu, tous les acteurs européens devraient être aussi en mesure d’opérer.

En termes de sécurité, l'instantanéité peut constituer pour certains un défi. En effet, la gestion des paiements « par lot » apporte le confort de pouvoir bloquer les transactions suspectes avant d'être exécutées. Mais se pose alors la question de la durée d’exécution de ces contrôles. Or, les technologies actuelles (Machine Learning et robo-advisors temps réel notamment), permettent de répondre efficacement et rapidement à cette problématique. C’est d’ailleurs tout le principe des API et de l’instant payment : rendre possible l’instantanéité, à la fois de l’exécution et du contrôle des paiements.

La question de la sécurité est ainsi à traiter au même titre que n’importe quel défi d’une entreprise. Aucune industrie n’a jamais pu se développer au détriment de la sécurité et surtout cette dernière n’a jamais empêché l’innovation et l’accompagnement des changements de la société. Bien au contraire : une innovation non sécurisée ne sera pas utilisée et n’apportera donc aucune valeur ajoutée. Or c’est bien le taux d’usage et le niveau de bénéfice qui fait le succès d’une innovation.

 

[1] Applications Programming Interfaces : interfaces de programmation.

 

Sommaire du dossier

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

Articles du(des) même(s) auteur(s)

Sur le même sujet