Lundi 1er décembre 2014 
14h15 
KEYNOTE 
Jean-Yves ROSSI 
Président de CANTON-Consulting
L’évolution de l’environnement réglementaire 
du paiement en 2015, 
Les risques, 
Et la fraude … 
Une reprise de ces Renco...
Les réglementations structurent le schéma de maîtrise des risques 
des entreprises financières et de l'industrie des paiem...
Les Autorités Européennes ont compétence 
directe en matière de risque et de fraude : 
• Article 83 TFUE : 
Le Parlement e...
SEBC a lancé le Forum SecuRePay 
• 2011 : Un forum de coopération volontaire entre les 
superviseurs de l’EEE 
• Thème : l...
La Commission Européenne 
DSP 2007/64/UE (11) : Il faut "veiller à ce que, pour tous les prestataires de 
services de paie...
Les premiers effets directs de ses 
travaux s’imposeront bientôt aux PSP 
• Obligation pour tous les PSP de : 
– Procéder ...
L’ABE-EBA va recevoir mandat de la 
Commission en matière de sécurité 
•Une Autorité créée par le Règlement 1093/2010 
du ...
À partir de 2015 de nouvelles règles de sécurité 
s'appliqueront donc progressivement en Europe 
L’article 88 DSP2 futur e...
L’Europe peut-elle aller au-delà ? 
Depuis février 2013, la Commission travaille à un projet majeur de 
plan de Cybersécur...
Alors, cette montée en puissance des instances 
européennes dans lutte contre la fraude, est-elle 
une bonne ou une mauvai...
La supervision coordonnée 
européenne se met en place 
Et les 
superviseurs 
conjuguent 
leurs efforts 
pour arrêter la 
f...
La fraude est devenue une vraie 
industrie technologique de pointe 
• Il suffit de l’affichage d'une image JPEG sur votre ...
Cette industrie de la fraude est maintenant 
coordonnée entre les continents 
Le système de l’International Revenue Share ...
Un exemple 
d’application dans les paiements 
1- Découverte fin août 
2014 du vol chez 
Home Depot aux USA 
des identifian...
Changement d’ère ! 
Le paiement s’est 
construit selon un 
principe idéal de 
sécurité absolue 
Nous sommes entrés 
dans u...
La fraude a pris 
une ampleur systémique 
Chaque jour : 
 148 000 ordinateurs voient leur sécurité compromise 
 Deutsche...
En volume financier 
Au Brésil, 
une seule fraude 
aux prélèvements 
bancaires, 
continue de 2012 
à 2014, 
a permis de 
d...
En volume financier 
2 - Symantec estime 
le montant des 
pertes subies 
chaque année par 
les victimes des 
cybercriminel...
En volume financier 
3 - Selon 
Timotheus 
Höttges 
(CEO Deutsche 
Telekom AG) ce 
montant s’élève 
en 2014 à 
575 Bn$ 
50...
En volume financier 
4 - Selon 
McAfee 
les pertes 
annuelles 
mondiales 
générées par la 
fraude 
s’élèveraient à 
750 Bn...
En volume financier 
Quel que soit le « bon » 
chiffre, il est d’un 
ordre de grandeur 
nettement supérieur 
au budget des...
Nulle 
« citadelle » 
n’est à l’abri 
Plus l’organisation est nombreuse plus les risques de 
complicité augmentent 
Si les...
Les 
consommateurs 
le savent 
Résultats du sondage sur la cybersécurité 
Eurobaromètre de 2012 
 38 % des internautes de...
Pourtant, tous sont prêts au changement 
• Côté consommateurs : Les solutions de paiement 
mobile sont très largement essa...
La résultante, 
c’est l’accroissement du coût du risque 
• Les Etats-Unis passent tardivement à EMV 
• Le (vrai) taux de f...
Rappelons qu’en Europe… 
• Taux de fraude sur la zone SEPA : 0,038 % 
• Le plus fort taux, c’est en France 0,065 % 
• Au t...
L’industrie doit savoir réagir sans 
attendre les obligations réglementaires 
• La fraude se perfectionne à une vitesse qu...
Le travail de veille doit aussi intégrer 
• Les conséquences de l’évolutions des règles 
de répartition légales ou contrac...
Toutes ces obligations nouvelles et ces 
perspectives normatives sont autant de 
contraintes à intégrer pour construire 
u...
L’Euro a choisit l’image des ponts 
comme symbole de sa construction
Aujourd’hui , la maîtrise de ce risque majeur que représente la fraude 
moderne pour l’industrie des services de paiement ...
Présentation sous licence Creative Commons 
Sera publiée sur www.cantonconsulting.eu en format opensource 
Reproduction au...
RCN 2014 Moyens de paiement - Présentation CANTON-Consulting
Prochain SlideShare
Chargement dans…5
×

RCN 2014 Moyens de paiement - Présentation CANTON-Consulting

2 681 vues

Publié le

A l'occasion de la conférence sur les moyens de paiement des Rencontres de la compétitivité numérique qui s'est tenue à Bercy le 1er décembre 2014, Jean-Yves ROSSI, président de CANTON-Consulting a présentée la Keynote "Point sur l’environnement réglementaire du paiement en 2015, les risques et la fraude"

Publié dans : Business
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 681
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 039
Actions
Partages
0
Téléchargements
81
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Au niveau européen, en application des Traités…
  • Première traduction concrète
    Concerne cartes, virements, e-mandats, monnaie électronique
  • 1- Le "paquet paiement" de Juillet 2014 s'intéresse aussi à la sécurité
    3- Presidency compromise du 31/10/2014
    EBA shall, in close cooperation with the ECB, develop draft regulatory technical standards addressed to payment service providers as set out in Article 1(1) of this Directive in accordance with Article 16 of Regulation (EU) No 1093/2010 to define specifying (...)"

    Standards agréés a posteriori par la Commission
  • en application de l’article 16 du règlement 1093/2010/UE
  • Enfin, dernière étape de cette organisation intitutionnelle nouvelle
  • Un exploit parmi d’autres…
    Mais d’autres experts sont plus pessimistes encore…
  • Qui dit mieux ?
  • RCN 2014 Moyens de paiement - Présentation CANTON-Consulting

    1. 1. Lundi 1er décembre 2014 14h15 KEYNOTE Jean-Yves ROSSI Président de CANTON-Consulting
    2. 2. L’évolution de l’environnement réglementaire du paiement en 2015, Les risques, Et la fraude … Une reprise de ces Rencontres sous le signe de ... trois mauvaises nouvelles !?
    3. 3. Les réglementations structurent le schéma de maîtrise des risques des entreprises financières et de l'industrie des paiements… Elles obligent les PSP à adopter une organisation en adaptation permanente en fonction du niveau de risque Le risque de fraude est un élément majeur au coeur de cet exercice imposé de prévision et contrôle. En France, c’est traditionnellement le CRBF 97-02 qui organise le contrôle interne
    4. 4. Les Autorités Européennes ont compétence directe en matière de risque et de fraude : • Article 83 TFUE : Le Parlement européen et le Conseil, statuant par voie de directives conformément à la procédure législative ordinaire, peuvent établir des règles minimales relatives à la définition des infractions pénales et des sanctions dans (les) domaines de criminalité (...) le blanchiment d'argent, la corruption, la contrefaçon de moyens de paiement, la criminalité informatique (...) • Article 127.2 TFUE Les missions fondamentales relevant du SEBC consistent à : (...) promouvoir le bon fonctionnement des systèmes de paiement.
    5. 5. SEBC a lancé le Forum SecuRePay • 2011 : Un forum de coopération volontaire entre les superviseurs de l’EEE • Thème : la sécurité des instrument électroniques de paiement de détail. • Janvier 2013 : 14 recommandations sont publiées – Environnement général de sécurité et de contrôle – Mesures spécifiques pour les paiements en ligne – Communication et prise de conscience du consommateur
    6. 6. La Commission Européenne DSP 2007/64/UE (11) : Il faut "veiller à ce que, pour tous les prestataires de services de paiement, les mêmes risques soient traités de la même manière“ La DSP2 va renforcer les obligations définies par la DSP sur l'authentification : – (51a) "tous les moyens de paiement en ligne (mobile, internet) doivent garantir l'authentification sécurisée de l'utilisateur et réduire au maximum le risque de fraude" – L'article 4 introduira une définition de l'authentification forte – L'article 87 précisera les fonctionnalités permettant l'authentification – L'article 66 alourdit les contraintes de responsabilité pesant sur les PSP – L'article 88 prévoit l'élaboration par l’ABE de standards techniques sur l'authentification et la communication
    7. 7. Les premiers effets directs de ses travaux s’imposeront bientôt aux PSP • Obligation pour tous les PSP de : – Procéder à une évaluation des risques liés au paiement – Instaurer un système d'authentification forte (= au moins 2 facteurs) pour l'initiation des paiements ou l'accès à des données sensibles – Concevoir des processus efficients d’autorisation et de détection des comportements anormaux et fraudes, par suivi des transactions • 1er février 2015 : date de mise en oeuvre “recommandée” • 1er août : force obligatoire, sous forme de ligne directrice ABE
    8. 8. L’ABE-EBA va recevoir mandat de la Commission en matière de sécurité •Une Autorité créée par le Règlement 1093/2010 du 24 novembre 2010 dans le cadre de la réforme du Système Européen de Surveillance Financière • avec le pouvoir d’ élaborer des projets et normes techniques de règlementation et d’exécution. • Le 20/10/2014, BCE et ABE ont décidé d’entrer en “coopération pour la sécurisation des systèmes de paiement ”
    9. 9. À partir de 2015 de nouvelles règles de sécurité s'appliqueront donc progressivement en Europe L’article 88 DSP2 futur en définit le domaine d’intervention :  Les exigences régissant le Dispositif de Sécurité Personnalisé : procédure, exceptions et mesures de protection de son intégrité  Et les modes de communication entre les différents intervenants d'une transaction (PSP du payeur, éventuel payeur de tierce partie, payeur, bénéficiaire...)
    10. 10. L’Europe peut-elle aller au-delà ? Depuis février 2013, la Commission travaille à un projet majeur de plan de Cybersécurité de l’UE, en liaison avec la Haute représentante de l’Union Européenne pour les affaires étrangères Et un projet de Directive concerne la Sécurité des Réseaux et de l’Information ou Network and Information Security (SRI -NIS) Ce projet devrait s'appliquer aux entreprises clés de l'Internet, dont les services de paiement Mais il soulève de multiples problèmes de coordination au sein de l’UE , entre ses divers programmes et projets, et entre les Etats Son calendrier est très incertain
    11. 11. Alors, cette montée en puissance des instances européennes dans lutte contre la fraude, est-elle une bonne ou une mauvaise nouvelle ? • Bonne nouvelle puisque la normalisation permet aux acteurs de se coordonner • Et qu’elle favorise, par elle-même, l'initiative économique et facilite la cohérence d’action • Et porte l’espoir de contribuer au renforcement indispensable de la sécurité d’ensemble de l’écosystème des paiements • Mais sera-t-elle assez efficace ?
    12. 12. La supervision coordonnée européenne se met en place Et les superviseurs conjuguent leurs efforts pour arrêter la fraude : Ils vont avoir fort à faire … EST-IL ENCORE SEULEMENT POSSIBLE DE GAGNER LA BATAILLE DE LA SECURITE ?
    13. 13. La fraude est devenue une vraie industrie technologique de pointe • Il suffit de l’affichage d'une image JPEG sur votre navigateur pour que TSPY_ZBOT.TFZAH s'introduise dans votre système • Les virus asiatiques SOGO-MOT et MIRYAGO sont des champions de furtivité, un sujet qui couvre même la transmission des informations capturées • KAP-TOXA a capturé les identifiants de paiement de la chaîne américaine de produits de luxe Neiman Marcus pendant 4 mois avant d'être détecté • Poison Ivy, Dark Comet, … sont des RAT ou Remote Access Trojans qui acquièrent un contrôle complet des machines infectées et en surveillent toutes les actions
    14. 14. Cette industrie de la fraude est maintenant coordonnée entre les continents Le système de l’International Revenue Share Fraud, apparu il y a 10 ans dans les télécoms, consiste à organiser des chaînes de fraude(eurs) sur de multiples pays pour exploiter les failles partout où elles sont. Produit estimé dans le télécoms : 3,8 Bn $ (CFCA Global Fraud Loss survey 2011) L’IRSF multiplie les possibilités d’attaques coordonnées et de « schtroumphage » Il rend les poursuites techniquement difficiles et même souvent juridiquement irréalisables
    15. 15. Un exemple d’application dans les paiements 1- Découverte fin août 2014 du vol chez Home Depot aux USA des identifiants de cartes de crédit 40 millions de cartes volées 2- Des hackers de Russie ou d’Ukraine sont suspectés Les numéros volés sont revendus par « paquets » appelés « European sanctions » 3- Fin Octobre 2014 : des trains de transactions utilisant ces identifiants sont acceptés par les banques émettrices américaines Le vol durait depuis avril Ces flux d’opérations se présentent comme des transactions EMV Alors que ces cartes n’avaient jamais eu de puces ! 4- Les transactions provenaient de marchands Brésiliens 5- Elles exploitaient, semble-t-il, une faille d’implémentation du standard EMV sur un m-POS européen
    16. 16. Changement d’ère ! Le paiement s’est construit selon un principe idéal de sécurité absolue Nous sommes entrés dans un univers où l’insécurité gagne en technicité, en agilité et en puissance
    17. 17. La fraude a pris une ampleur systémique Chaque jour :  148 000 ordinateurs voient leur sécurité compromise  Deutsche Telekom subit 1 million d'attaques informatiques Les revers du succès du smartphone Chronique d’une tempête annoncée Les smartphones savent tout de nous Ils sont "Le rêve de Staline" (Richard Stallmann) 98,1 % de tous les logiciels malveillants mobiles détectés en 2013 ciblent les appareils Android
    18. 18. En volume financier Au Brésil, une seule fraude aux prélèvements bancaires, continue de 2012 à 2014, a permis de détourner 4 Bn$ 3.50 € 3.00 € 2.50 € 2.00 € 1.50 € 1.00 € 0.50 € 0.00 € 1 2 3 4 5 Billions
    19. 19. En volume financier 2 - Symantec estime le montant des pertes subies chaque année par les victimes des cybercriminels dans le monde entier à 290 Mds € 300.00 € 250.00 € 200.00 € 150.00 € 100.00 € 50.00 € 0.00 € 1 2 Billions
    20. 20. En volume financier 3 - Selon Timotheus Höttges (CEO Deutsche Telekom AG) ce montant s’élève en 2014 à 575 Bn$ 500.00 € 450.00 € 400.00 € 350.00 € 300.00 € 250.00 € 200.00 € 150.00 € 100.00 € 50.00 € 0.00 € 1 2 3 Billions
    21. 21. En volume financier 4 - Selon McAfee les pertes annuelles mondiales générées par la fraude s’élèveraient à 750 Bn$ 700.00 € 600.00 € 500.00 € 400.00 € 300.00 € 200.00 € 100.00 € 0.00 € 1 2 3 4 Billions
    22. 22. En volume financier Quel que soit le « bon » chiffre, il est d’un ordre de grandeur nettement supérieur au budget des Etats ! En 2013, le budget de l’UE : 148,5 Mds € 800 700 600 500 400 300 200 100 0 1 2 3 4 5 Billions
    23. 23. Nulle « citadelle » n’est à l’abri Plus l’organisation est nombreuse plus les risques de complicité augmentent Si les criminels ne trouvent pas une complicité interne, ils n’hésiteront pas à recourir aux pires menaces pour obliger un collaborateur à introduire un logiciel malveillant Ensuite… SpyEye contourne les authentifications à deux facteurs Les techniques « High rollers » multiplient les prélèvements sur des comptes techniques (NDP 97) Des scripts (Java) savent multiplier des prélèvements ou transferts sur des montants homogènes avec les opérations habituelles du compte attaqué Le pire n'est jamais sûr mais...
    24. 24. Les consommateurs le savent Résultats du sondage sur la cybersécurité Eurobaromètre de 2012  38 % des internautes de l'UE ont modifié leur comportement en raison d'inquiétudes sur la sécurité  15 % sont moins enclins à utiliser les services bancaires en ligne … Mieux  12 % des interrogés avaient déjà été victimes de fraude en ligne que les entreprises Seulement 26 % des entreprises de l'UE ont une politique de sécurité informatique formalisée ! (Eurostat Janvier 2012 ) En un an, leur budget de sécurité informatique s'est réduit de 10 % ! (source PWC - The Global State of Information Security®)
    25. 25. Pourtant, tous sont prêts au changement • Côté consommateurs : Les solutions de paiement mobile sont très largement essayées et adoptées • Côté Professionnels : 280 000 TPE françaises seraient prêtes à utiliser un m-POS dans les 6 mois (Source Visa) • Même la curiosité voire l'attrait pour le Bitcoin démontrent l'évolution des esprits sur le thème des paiements
    26. 26. La résultante, c’est l’accroissement du coût du risque • Les Etats-Unis passent tardivement à EMV • Le (vrai) taux de fraude sur les paiements cartes y approche 0,45% du volume total • Ce chiffre suffit à expliquer le succès d’Apple Pay, sur une offre de sécurisation qui coûte 0,15% aux banques et leur en économise le double • Ces évolutions promettent un risque fort de « migration » de la fraude d’une rive à l’autre de l’Atlantique
    27. 27. Rappelons qu’en Europe… • Taux de fraude sur la zone SEPA : 0,038 % • Le plus fort taux, c’est en France 0,065 % • Au total les 19 Pays de la zone Euro supportent un coût total de 1,5 Md€ • … qui pèse aux 2/3 sur la France et le UK (environ moitié-moitié) (source BCE Février 2014)
    28. 28. L’industrie doit savoir réagir sans attendre les obligations réglementaires • La fraude se perfectionne à une vitesse que les gains accumulés accélèrent • Ces enjeux sont stratégiques et appellent une juste anticipation par les acteurs, • En sachant s’impliquer dans toutes les évolutions normatives à venir
    29. 29. Le travail de veille doit aussi intégrer • Les conséquences de l’évolutions des règles de répartition légales ou contractuelles des responsabilités (Liability shift) • Les normes PCI-DSS Et les autres chantiers de normalisation sur le thème des Paiements sur Internet, qui cheminent :
    30. 30. Toutes ces obligations nouvelles et ces perspectives normatives sont autant de contraintes à intégrer pour construire une véritable stratégie, indispensable pour résister à la montée des risques liés à la fraude!
    31. 31. L’Euro a choisit l’image des ponts comme symbole de sa construction
    32. 32. Aujourd’hui , la maîtrise de ce risque majeur que représente la fraude moderne pour l’industrie des services de paiement constitue un défi. Ce défi va donc bien au-delà des strictes obligations réglementaires ! Il appelle des investissements stratégiques et techniques à la hauteur pour que le vent mauvais de la fraude ne vienne ajouter à la liste , dans l’ordre de la monnaie scripturale, une version numérique du fameux Pont de Tacoma https://www.youtube.com/wa tch?v=TGaM8pdnr50
    33. 33. Présentation sous licence Creative Commons Sera publiée sur www.cantonconsulting.eu en format opensource Reproduction autorisée avec citation de la source Partage dans les Mêmes Conditions 4.0 International Crédits CREDITS • « ISO logo » par International Organization for Standardization — http://www.iso.org/iso/home/name_and_logo.htm. Sous licence Public domain via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:ISO_logo.png#mediaviewer/File:ISO_logo.png • "W3C® Icon" by This file was made by User:Sven http://www.w3.org/Consortium/Legal/logo-usage-20000308.html. Licensed under Public domain via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:W3C%C2%AE_Icon.svg#mediaviewer/File:W3C%C2%AE_Icon.svg • Pont de Tacoma : Par Barney Elliot (Stillman Fires Collection), via Wikimedia Commons

    ×