SlideShare une entreprise Scribd logo
Directive Services de Paiement 2
Standards, sécurité, quels impacts?
Identity Tech Talk 6 juillet 2017
Michel GIRIER
michel.girier@wavestone.com
confidentiel | © WAVESTONE 2confidentiel | © WAVESTONE 2
API or DIE
Report from the Economist Intelligence Unit
”
”
By 2020 bankers expect more money will flow via fintech firms
than traditional retail banks
confidentiel | © WAVESTONE 3
La Payment Services Directive 2 (PSD2 ou DSP2,
2015/2366) a pour objectifs :
/ Un renforcement du niveau de sécurité des paiements
électroniques (cartes, mobiles et vente en ligne)
/ Une authentification renforcée des utilisateurs
/ Un partage des services à l’utilisateur plus marqué
entre les intermédiaires (agrégateurs, initiateurs de
paiement) et les banques
/ La standardisation des pratiques entre l’ensemble des
pays membres de l’UE.
Elle définit 4 acteurs :
Elle impose aux ASPSP (Account Servicing
Payment Service Provider) de mettre à
disposition :
/ Des interfaces standard pour l’accès aux
informations de comptes et aux services de
paiement
/ Des méthodes d’authentification renforcée pour
les clients qui doivent être obligatoire suivant
certains critères
/ L’adaptation de la méthode d’authentification au
contexte des requêtes des clients
Survol de la DSP2
/ ASPSP (Banques)
/ PIISP (Fournisseurs de moyens
de paiements
/ AISP (Agrégateurs
/ PISP (Initiateurs de Paiement)
confidentiel | © WAVESTONE 4
La DSP2 est une directive européenne et s’applique dans tous les états-membres.
/ Elle est transposée dans le droit national français et s’applique à partir de la date établie par la commission européenne (Janvier 2018)
/ Dans les faits, l’EBA a en charge la publication de 6 RTS (Regulatory Technical Standards) en cours de rédaction et de débat avec les acteurs du
marché et en particulier les banques et les agrégateurs.
› Le standard concernant l’authentification forte et la sécurisation des communications est planifiée pour une version finale en septembre 2017 et une application en
septembre 2018
Quand et Comment appliquer la DSP2 ?
En charge de la rédaction des Regulatory Technical Standards
En charge de la rédaction des Guidelines à destination des régulateurs nationaux
Autorité de contrôle de la bonne application des guidelines.
En France : le STET et la FBF (Fédération des Banques Françaises) travaillent à établir une réponse
aux drafts des RTS émis par l’EBA.
Le STET s’est positionné en leader des groupes de travail
En France : les grandes banques françaises travaillent toutes sur le sujet au sein du groupe de
travail
Les « fintechs » et en particulier les agrégateurs déjà existants sont une force de décision
importante sur les RTS
confidentiel | © WAVESTONE 5
Que requiert la DSP2?
La DSP2 (Directive sur les Services de Paiement) définit 3 services :
Informations de compte
 Cas d’usage : agrégateur multi-bancaire
 Acteurs : AISP (Account Information Service
Provider)
Initiation de paiement
 Cas d’usage : initiation d’un paiement par un tiers
 Acteurs : PISP (Payment Initiation Service Provider)
Demande de couverture
d’un paiement
 Cas d’usage : demande OK/NOK de couverture d’un
paiement
 Acteurs : PIISP (institutions bancaires)
Requiert une
authentification
multi-facteur du
client final
L’accès aux services DSP2 de la part d’un acteur requiert l’enregistrement auprès d’une Autorité
d’Enregistrement en plus d’un enregistrement auprès de l’AS PSP
confidentiel | © WAVESTONE 6
Quels standards d’échange ?
Quels outils ?
01
confidentiel | © WAVESTONE 7
/ Les standards techniques sont
connus et matures : HTTP,
REST, JSON, OAuth2, OpenID
Connect…
/ …mais il n’existe aucun
standard d’API bancaire qui
fasse référence
/ La DSP2 – et les guides
d’implémentation (RTS) publiés
par l’EBA – sont contraignants
mais ne constituent pas une
spécification
SE CONFORMER
Quels standards adopter ?
Standards Open Banking
confidentiel | © WAVESTONE 8
Adopter un standard simplifie le travail de
définition des APIs nécessaires
/ Une consolidation de standards dans de
futures versions n’est pas à exclure
Intégrer un groupe de travail de
standardisation est un moyen d’enrichir
sa réflexion et de ne pas simplement
subir
/ Les principaux acteurs bancaires français
s’intéressent aux travaux de STET
Définir seul son propre standard
d’interface est sans doute la seule option
à ne pas suivre!
Standards et solution sont intimement liés
SE CONFORMER
Le marché est encore jeune, constitué
d’acteurs de taille modeste
/ Majoritairement mono-standard
/ Vulnérables à des acquisitions externes
Par ailleurs, des questions de stratégie sont à
évaluer :
/ Couverture DSP2 tactique ou OpenAPI
stratégique
/ Build vs Buy
/ On-premises vs SaaS
confidentiel | © WAVESTONE 9
Un choix stratégique!
SE CONFORMER?
Activités des banques
Périmètredesservices
Placeholder
This text can be
replaced with your
own text
Conformité Compétition
Expansion Transformation
Limite les banques à un
rôle de prestataire de
services d’accès aux
comptes (AS-PSP)
+ Banque comme
prestataire tiers (TPP)
Limité pour
donner l’accès
au paiement et
aux services
liés à
l’information
(AS-PSP)
+ Paiements et
Services
d’information
innovants
(NEW)
confidentiel | © WAVESTONE 10
Quelle sécurité pour les APIs ?
Quels standards d’échange ?
Quels outils ?
01
02
confidentiel | © WAVESTONE 11
AS PSP
Client
Authorization
server
API
Tous types de consommateurs
- app mobile, serveur, objet connecté,
etc.
- maîtrisé ou tierce partie (AISP, PISP)
OAuth2.0
/ Un standard mature
/ Adapté aux principaux cas d’usage
Des compléments de spécifications à utiliser le
cas échéant
/ OpenID Connect : Contrôle fin sur
l’authentification
/ BCP : SSO entre applications mobiles
/ Token Exchange : Appels chaînés d’APIs &
impersonnation
/ Token Binding : Protection contre le vol de jeton
/ etc.
La sécurité des APIs – Les bases
S’ADAPTER
Access
token
confidentiel | © WAVESTONE 12
Des besoins spécifiques dans le cadre de la DSP2
S’ADAPTER
Authentification contextuelle Protection contre le vol de jeton
Ajustement du niveau
d’authentification en
fonction de la sensibilité
de l’API consommée
Rendre inopérant le vol
d’un jeton de sécurité et
ne pas dépendre de la
sécurité d’un terminal non
maîtrisé ou d’un tiers
Les exigences de la DSP2 en matière d’authentification &
d’ouverture des données entraînent un besoin plus pointu encore
confidentiel | © WAVESTONE 13
Des besoins spécifiques dans le cadre de la DSP2
S’ADAPTER
Authentification contextuelle Protection contre le vol de jeton
Ajustement du niveau
d’authentification en
fonction de la sensibilité
de l’API consommée
Rendre inopérant le vol
d’un jeton de sécurité et
ne pas dépendre de la
sécurité d’un terminal non
maîtrisé ou d’un tiers
confidentiel | © WAVESTONE 14
S’ADAPTER
Authentification contextuelle : le besoin
Opération très sensible
Authentification forte / transaction
Ajout de bénéficiaire
Opération sensible
Authentification simple / session
Virement interne
Données personnelles
Authentification simple / 1 semaineMétéo des
comptes
Notifications personnelles
Authentification simple / 1 mois
Notification
Le niveau
d’authentification dépend
/ De la nature de la
transaction
/ De ses caractéristiques
(montant, compte cible,
etc.)
/ Du contexte utilisateur
/ Des habitudes
utilisateurs
/ etc.
confidentiel | © WAVESTONE 15
Authentification contextuelle : la solution
S’ADAPTER
/ Les standards sont écrits dans cette logique initiée par le client
/ Les solutions du marché fonctionnent comme ça
/ Mais les besoins sur le terrain sont différents !
Ce que l’on voit fréquemment
Jeton pour le Service A
(LOA x)
Je souhaite accéder au
service A avec LOA x
Je veux accéder
au service A, il
me faut donc le
LOA x (Level of
Assurance)
Jeton pour le Service A
(LOA x)
Je souhaite accéder au
service A
Le service A
requiert le LOA x
Ce vers quoi il faut tendre
/ Le serveur d’autorisation doit prendre la décision en fonction de la
sensibilité de l’opération et du contexte
/ Ce fonctionnement de l’authorization server est permis mais pas décrit
/ Encore beaucoup de déploiements spécifiques
Client Authorization
server
Client Authorization
server
confidentiel | © WAVESTONE 16
Des besoins spécifiques dans le cadre de la DSP2
S’ADAPTER
Authentification contextuelle Protection contre le vol de jeton
Ajustement du niveau
d’authentification en
fonction de la sensibilité
de l’API consommée
Rendre inopérant le vol
d’un jeton de sécurité et
ne pas dépendre de la
sécurité d’un terminal non
maîtrisé ou d’un tiers
confidentiel | © WAVESTONE 17
Protection contre le vol de jeton : le besoin
S’ADAPTER
Authorization
server
API (Resource
server)
Authorization
server
API (Resource
server)
Aggrégateur
Le principe même de « bearer token » entraîne un risque
important lors du vol de ce dernier.
La détection du vol étant très difficile, seule l’expiration
du jeton est une mesure relativement efficace
Vol de jeton
Dans un contexte d’intermédiation (eg. DSP2), un tiers
peut se retrouver en possession de très nombreux jetons.
Le propriétaire de l’API est à la merci de ce tiers et de son
niveau de sécurité
Vol d’une base de jetons
confidentiel | © WAVESTONE 18
ClientAuthorization
server
API
Token Binding
/ La négociation à deux (ou trois) composants
permet de lier un jeton (ou un cookie) à une
clé publique et la clé privée associée
/ Le client doit prouver qu’il possède la clé privée
correspondante en établissant une connexion
TLS mutuelle
/ Le jeton contient (un hash de) la clé publique
du client, distincte pour chaque serveur
d’API
/ Si le jeton (ou cookie) est intercepté, il est
inutilisable
/ Requiert compatibilité du client et des serveurs
› Edge, IE & Chrome disponibles en channels dev
› Module Apache disponible
Protection contre le vol de jeton : la solution
S’ADAPTER
Ok, vois donc avec l’AS
et ce tokenBindingID
Génération d’un biclé
pour l’API cible
Je voudrais un jeton
avec ce tokenBindingID
Le voici
Je souhaite un accès,
voici ma clé publique
(TLS mutuel)
Voici mon jeton, lié à ma clé
publique et tokenBindingID
(TLS mutuel)
confidentiel | © WAVESTONE 19
Comment en tirer partie ?
Quels standards d’échange ?
Quels outils ?
Quelle sécurité pour les APIs ?
01
02
03
confidentiel | © WAVESTONE 20
Quelle organisation pour innover?
INNOVER
Collaboration avec
les fintechs
Partenariat?
Incubation?
Acquisition?
Identification des
nouveaux usages
Expérimentation
Viser au delà du périmètre
imposé par la DSP2 :
Épargne, crédit, IoT, etc.
Laboratoire interne
Outsourcing
Open Innovation
wavestone.com
@wavestone_
riskinsight-wavestone.com
@Risk_Insight
securityinsider-solucom.fr
@SecuInsider
Michel GIRIER
Manager
M +33 (0)6 34 99 52 03
michel.girier@wavestone.com
PARIS
LONDRES
NEW YORK
HONG KONG
SINGAPORE *
DUBAI *
SAO PAULO *
LUXEMBOURG
MADRID *
MILAN *
BRUXELLES
GENEVE
CASABLANCA
ISTAMBUL *
LYON
MARSEILLE
NANTES
* Partenariats

Contenu connexe

Similaire à 201707 dsp2 standards, sécurité, quels impacts - wavestone

Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Sage france
 
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Bertrand Carlier
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électronique
Sage france
 
Presentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptPresentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).ppt
Tijan Watt
 
OAuth2 stands overview
OAuth2 stands overviewOAuth2 stands overview
OAuth2 stands overview
Bertrand Carlier
 
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
Lara Piot
 
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
OCTO Technology
 
20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx
ulrichdjofang
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
Bertrand Carlier
 
Comment réussir sa migration SEPA?
Comment réussir sa migration SEPA?Comment réussir sa migration SEPA?
Comment réussir sa migration SEPA?
Sage france
 
Présentation WeLearn - Décembre 2016
Présentation WeLearn - Décembre 2016Présentation WeLearn - Décembre 2016
Présentation WeLearn - Décembre 2016
Jonathan Herscovici
 
Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers   09022011Présentation du club banques et etablissements financiers   09022011
Présentation du club banques et etablissements financiers 09022011SaaS Guru
 
Fintech et assurtech dans la chaîne de valeur Assurance Vie
Fintech et assurtech dans la chaîne de valeur Assurance VieFintech et assurtech dans la chaîne de valeur Assurance Vie
Fintech et assurtech dans la chaîne de valeur Assurance Vie
Genovefa APEDOH
 
Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2
Bertrand Carlier
 
Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?
DataStax
 
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges FonctionnelConduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
Mohamed Sabra
 
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
2014 04 24 must g darpa  transition vers le cloud pour les éditeurs logiciels...2014 04 24 must g darpa  transition vers le cloud pour les éditeurs logiciels...
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
Gilles d'Arpa
 
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...
2014 04 24 MUST GdArpa  transition vers le cloud pour les éditeurs logiciels ...2014 04 24 MUST GdArpa  transition vers le cloud pour les éditeurs logiciels ...
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...Gilles d'Arpa
 

Similaire à 201707 dsp2 standards, sécurité, quels impacts - wavestone (20)

Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
 
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électronique
 
Presentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptPresentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).ppt
 
OAuth2 stands overview
OAuth2 stands overviewOAuth2 stands overview
OAuth2 stands overview
 
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
 
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
 
20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
 
Comment réussir sa migration SEPA?
Comment réussir sa migration SEPA?Comment réussir sa migration SEPA?
Comment réussir sa migration SEPA?
 
Présentation WeLearn - Décembre 2016
Présentation WeLearn - Décembre 2016Présentation WeLearn - Décembre 2016
Présentation WeLearn - Décembre 2016
 
Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers   09022011Présentation du club banques et etablissements financiers   09022011
Présentation du club banques et etablissements financiers 09022011
 
Ni ipo 048_s2_m
Ni ipo 048_s2_mNi ipo 048_s2_m
Ni ipo 048_s2_m
 
Fintech et assurtech dans la chaîne de valeur Assurance Vie
Fintech et assurtech dans la chaîne de valeur Assurance VieFintech et assurtech dans la chaîne de valeur Assurance Vie
Fintech et assurtech dans la chaîne de valeur Assurance Vie
 
Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2
 
Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?
 
Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2
 
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges FonctionnelConduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
 
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
2014 04 24 must g darpa  transition vers le cloud pour les éditeurs logiciels...2014 04 24 must g darpa  transition vers le cloud pour les éditeurs logiciels...
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
 
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...
2014 04 24 MUST GdArpa  transition vers le cloud pour les éditeurs logiciels ...2014 04 24 MUST GdArpa  transition vers le cloud pour les éditeurs logiciels ...
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...
 

Plus de Leonard Moustacchis

Identity verification and AI
Identity verification and AIIdentity verification and AI
Identity verification and AI
Leonard Moustacchis
 
De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2 De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2
Leonard Moustacchis
 
WebAuthn & FIDO2
WebAuthn & FIDO2WebAuthn & FIDO2
WebAuthn & FIDO2
Leonard Moustacchis
 
Facebook data breach and OAuth2
   Facebook data breach and OAuth2   Facebook data breach and OAuth2
Facebook data breach and OAuth2
Leonard Moustacchis
 
Identity techtalk orange
Identity techtalk orangeIdentity techtalk orange
Identity techtalk orange
Leonard Moustacchis
 
Intelligent authentication Identity tech talks
Intelligent authentication Identity  tech talksIntelligent authentication Identity  tech talks
Intelligent authentication Identity tech talks
Leonard Moustacchis
 
Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10 Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10
Leonard Moustacchis
 
iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10
Leonard Moustacchis
 
Microservice et identité
Microservice et identitéMicroservice et identité
Microservice et identité
Leonard Moustacchis
 
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Leonard Moustacchis
 
Identité et Automobile
Identité et AutomobileIdentité et Automobile
Identité et Automobile
Leonard Moustacchis
 
Meetup devops
Meetup devopsMeetup devops
Meetup devops
Leonard Moustacchis
 
Quels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPRQuels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPR
Leonard Moustacchis
 
Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)
Leonard Moustacchis
 
Identity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authenticationIdentity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authentication
Leonard Moustacchis
 
Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité !  Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité !
Leonard Moustacchis
 
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Leonard Moustacchis
 
Pas d'IoT sans Identité!
Pas d'IoT sans Identité!Pas d'IoT sans Identité!
Pas d'IoT sans Identité!
Leonard Moustacchis
 
Valorisez votre écosystème d'identités
Valorisez votre écosystème d'identitésValorisez votre écosystème d'identités
Valorisez votre écosystème d'identités
Leonard Moustacchis
 
L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...
Leonard Moustacchis
 

Plus de Leonard Moustacchis (20)

Identity verification and AI
Identity verification and AIIdentity verification and AI
Identity verification and AI
 
De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2 De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2
 
WebAuthn & FIDO2
WebAuthn & FIDO2WebAuthn & FIDO2
WebAuthn & FIDO2
 
Facebook data breach and OAuth2
   Facebook data breach and OAuth2   Facebook data breach and OAuth2
Facebook data breach and OAuth2
 
Identity techtalk orange
Identity techtalk orangeIdentity techtalk orange
Identity techtalk orange
 
Intelligent authentication Identity tech talks
Intelligent authentication Identity  tech talksIntelligent authentication Identity  tech talks
Intelligent authentication Identity tech talks
 
Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10 Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10
 
iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10
 
Microservice et identité
Microservice et identitéMicroservice et identité
Microservice et identité
 
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
 
Identité et Automobile
Identité et AutomobileIdentité et Automobile
Identité et Automobile
 
Meetup devops
Meetup devopsMeetup devops
Meetup devops
 
Quels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPRQuels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPR
 
Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)
 
Identity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authenticationIdentity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authentication
 
Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité !  Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité !
 
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
 
Pas d'IoT sans Identité!
Pas d'IoT sans Identité!Pas d'IoT sans Identité!
Pas d'IoT sans Identité!
 
Valorisez votre écosystème d'identités
Valorisez votre écosystème d'identitésValorisez votre écosystème d'identités
Valorisez votre écosystème d'identités
 
L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...
 

201707 dsp2 standards, sécurité, quels impacts - wavestone

  • 1. Directive Services de Paiement 2 Standards, sécurité, quels impacts? Identity Tech Talk 6 juillet 2017 Michel GIRIER michel.girier@wavestone.com
  • 2. confidentiel | © WAVESTONE 2confidentiel | © WAVESTONE 2 API or DIE Report from the Economist Intelligence Unit ” ” By 2020 bankers expect more money will flow via fintech firms than traditional retail banks
  • 3. confidentiel | © WAVESTONE 3 La Payment Services Directive 2 (PSD2 ou DSP2, 2015/2366) a pour objectifs : / Un renforcement du niveau de sécurité des paiements électroniques (cartes, mobiles et vente en ligne) / Une authentification renforcée des utilisateurs / Un partage des services à l’utilisateur plus marqué entre les intermédiaires (agrégateurs, initiateurs de paiement) et les banques / La standardisation des pratiques entre l’ensemble des pays membres de l’UE. Elle définit 4 acteurs : Elle impose aux ASPSP (Account Servicing Payment Service Provider) de mettre à disposition : / Des interfaces standard pour l’accès aux informations de comptes et aux services de paiement / Des méthodes d’authentification renforcée pour les clients qui doivent être obligatoire suivant certains critères / L’adaptation de la méthode d’authentification au contexte des requêtes des clients Survol de la DSP2 / ASPSP (Banques) / PIISP (Fournisseurs de moyens de paiements / AISP (Agrégateurs / PISP (Initiateurs de Paiement)
  • 4. confidentiel | © WAVESTONE 4 La DSP2 est une directive européenne et s’applique dans tous les états-membres. / Elle est transposée dans le droit national français et s’applique à partir de la date établie par la commission européenne (Janvier 2018) / Dans les faits, l’EBA a en charge la publication de 6 RTS (Regulatory Technical Standards) en cours de rédaction et de débat avec les acteurs du marché et en particulier les banques et les agrégateurs. › Le standard concernant l’authentification forte et la sécurisation des communications est planifiée pour une version finale en septembre 2017 et une application en septembre 2018 Quand et Comment appliquer la DSP2 ? En charge de la rédaction des Regulatory Technical Standards En charge de la rédaction des Guidelines à destination des régulateurs nationaux Autorité de contrôle de la bonne application des guidelines. En France : le STET et la FBF (Fédération des Banques Françaises) travaillent à établir une réponse aux drafts des RTS émis par l’EBA. Le STET s’est positionné en leader des groupes de travail En France : les grandes banques françaises travaillent toutes sur le sujet au sein du groupe de travail Les « fintechs » et en particulier les agrégateurs déjà existants sont une force de décision importante sur les RTS
  • 5. confidentiel | © WAVESTONE 5 Que requiert la DSP2? La DSP2 (Directive sur les Services de Paiement) définit 3 services : Informations de compte  Cas d’usage : agrégateur multi-bancaire  Acteurs : AISP (Account Information Service Provider) Initiation de paiement  Cas d’usage : initiation d’un paiement par un tiers  Acteurs : PISP (Payment Initiation Service Provider) Demande de couverture d’un paiement  Cas d’usage : demande OK/NOK de couverture d’un paiement  Acteurs : PIISP (institutions bancaires) Requiert une authentification multi-facteur du client final L’accès aux services DSP2 de la part d’un acteur requiert l’enregistrement auprès d’une Autorité d’Enregistrement en plus d’un enregistrement auprès de l’AS PSP
  • 6. confidentiel | © WAVESTONE 6 Quels standards d’échange ? Quels outils ? 01
  • 7. confidentiel | © WAVESTONE 7 / Les standards techniques sont connus et matures : HTTP, REST, JSON, OAuth2, OpenID Connect… / …mais il n’existe aucun standard d’API bancaire qui fasse référence / La DSP2 – et les guides d’implémentation (RTS) publiés par l’EBA – sont contraignants mais ne constituent pas une spécification SE CONFORMER Quels standards adopter ? Standards Open Banking
  • 8. confidentiel | © WAVESTONE 8 Adopter un standard simplifie le travail de définition des APIs nécessaires / Une consolidation de standards dans de futures versions n’est pas à exclure Intégrer un groupe de travail de standardisation est un moyen d’enrichir sa réflexion et de ne pas simplement subir / Les principaux acteurs bancaires français s’intéressent aux travaux de STET Définir seul son propre standard d’interface est sans doute la seule option à ne pas suivre! Standards et solution sont intimement liés SE CONFORMER Le marché est encore jeune, constitué d’acteurs de taille modeste / Majoritairement mono-standard / Vulnérables à des acquisitions externes Par ailleurs, des questions de stratégie sont à évaluer : / Couverture DSP2 tactique ou OpenAPI stratégique / Build vs Buy / On-premises vs SaaS
  • 9. confidentiel | © WAVESTONE 9 Un choix stratégique! SE CONFORMER? Activités des banques Périmètredesservices Placeholder This text can be replaced with your own text Conformité Compétition Expansion Transformation Limite les banques à un rôle de prestataire de services d’accès aux comptes (AS-PSP) + Banque comme prestataire tiers (TPP) Limité pour donner l’accès au paiement et aux services liés à l’information (AS-PSP) + Paiements et Services d’information innovants (NEW)
  • 10. confidentiel | © WAVESTONE 10 Quelle sécurité pour les APIs ? Quels standards d’échange ? Quels outils ? 01 02
  • 11. confidentiel | © WAVESTONE 11 AS PSP Client Authorization server API Tous types de consommateurs - app mobile, serveur, objet connecté, etc. - maîtrisé ou tierce partie (AISP, PISP) OAuth2.0 / Un standard mature / Adapté aux principaux cas d’usage Des compléments de spécifications à utiliser le cas échéant / OpenID Connect : Contrôle fin sur l’authentification / BCP : SSO entre applications mobiles / Token Exchange : Appels chaînés d’APIs & impersonnation / Token Binding : Protection contre le vol de jeton / etc. La sécurité des APIs – Les bases S’ADAPTER Access token
  • 12. confidentiel | © WAVESTONE 12 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers Les exigences de la DSP2 en matière d’authentification & d’ouverture des données entraînent un besoin plus pointu encore
  • 13. confidentiel | © WAVESTONE 13 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
  • 14. confidentiel | © WAVESTONE 14 S’ADAPTER Authentification contextuelle : le besoin Opération très sensible Authentification forte / transaction Ajout de bénéficiaire Opération sensible Authentification simple / session Virement interne Données personnelles Authentification simple / 1 semaineMétéo des comptes Notifications personnelles Authentification simple / 1 mois Notification Le niveau d’authentification dépend / De la nature de la transaction / De ses caractéristiques (montant, compte cible, etc.) / Du contexte utilisateur / Des habitudes utilisateurs / etc.
  • 15. confidentiel | © WAVESTONE 15 Authentification contextuelle : la solution S’ADAPTER / Les standards sont écrits dans cette logique initiée par le client / Les solutions du marché fonctionnent comme ça / Mais les besoins sur le terrain sont différents ! Ce que l’on voit fréquemment Jeton pour le Service A (LOA x) Je souhaite accéder au service A avec LOA x Je veux accéder au service A, il me faut donc le LOA x (Level of Assurance) Jeton pour le Service A (LOA x) Je souhaite accéder au service A Le service A requiert le LOA x Ce vers quoi il faut tendre / Le serveur d’autorisation doit prendre la décision en fonction de la sensibilité de l’opération et du contexte / Ce fonctionnement de l’authorization server est permis mais pas décrit / Encore beaucoup de déploiements spécifiques Client Authorization server Client Authorization server
  • 16. confidentiel | © WAVESTONE 16 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
  • 17. confidentiel | © WAVESTONE 17 Protection contre le vol de jeton : le besoin S’ADAPTER Authorization server API (Resource server) Authorization server API (Resource server) Aggrégateur Le principe même de « bearer token » entraîne un risque important lors du vol de ce dernier. La détection du vol étant très difficile, seule l’expiration du jeton est une mesure relativement efficace Vol de jeton Dans un contexte d’intermédiation (eg. DSP2), un tiers peut se retrouver en possession de très nombreux jetons. Le propriétaire de l’API est à la merci de ce tiers et de son niveau de sécurité Vol d’une base de jetons
  • 18. confidentiel | © WAVESTONE 18 ClientAuthorization server API Token Binding / La négociation à deux (ou trois) composants permet de lier un jeton (ou un cookie) à une clé publique et la clé privée associée / Le client doit prouver qu’il possède la clé privée correspondante en établissant une connexion TLS mutuelle / Le jeton contient (un hash de) la clé publique du client, distincte pour chaque serveur d’API / Si le jeton (ou cookie) est intercepté, il est inutilisable / Requiert compatibilité du client et des serveurs › Edge, IE & Chrome disponibles en channels dev › Module Apache disponible Protection contre le vol de jeton : la solution S’ADAPTER Ok, vois donc avec l’AS et ce tokenBindingID Génération d’un biclé pour l’API cible Je voudrais un jeton avec ce tokenBindingID Le voici Je souhaite un accès, voici ma clé publique (TLS mutuel) Voici mon jeton, lié à ma clé publique et tokenBindingID (TLS mutuel)
  • 19. confidentiel | © WAVESTONE 19 Comment en tirer partie ? Quels standards d’échange ? Quels outils ? Quelle sécurité pour les APIs ? 01 02 03
  • 20. confidentiel | © WAVESTONE 20 Quelle organisation pour innover? INNOVER Collaboration avec les fintechs Partenariat? Incubation? Acquisition? Identification des nouveaux usages Expérimentation Viser au delà du périmètre imposé par la DSP2 : Épargne, crédit, IoT, etc. Laboratoire interne Outsourcing Open Innovation
  • 22. PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats