SlideShare une entreprise Scribd logo

201707 dsp2 standards, sécurité, quels impacts - wavestone

Leonard Moustacchis
Leonard Moustacchis

Identity Tech Talk #6 Présenté par Michel GIRIER @WaveStone

Technologie
1  sur  22
Télécharger pour lire hors ligne
Directive Services de Paiement 2 Standards, sécurité, quels impacts? Identity Tech Talk 6 juillet 2017 Michel GIRIER michel.girier@wavestone.com
confidentiel | © WAVESTONE 2confidentiel | © WAVESTONE 2 API or DIE Report from the Economist Intelligence Unit ” ” By 2020 bankers expect more money will flow via fintech firms than traditional retail banks
confidentiel | © WAVESTONE 3 La Payment Services Directive 2 (PSD2 ou DSP2, 2015/2366) a pour objectifs : / Un renforcement du niveau de sécurité des paiements électroniques (cartes, mobiles et vente en ligne) / Une authentification renforcée des utilisateurs / Un partage des services à l’utilisateur plus marqué entre les intermédiaires (agrégateurs, initiateurs de paiement) et les banques / La standardisation des pratiques entre l’ensemble des pays membres de l’UE. Elle définit 4 acteurs : Elle impose aux ASPSP (Account Servicing Payment Service Provider) de mettre à disposition : / Des interfaces standard pour l’accès aux informations de comptes et aux services de paiement / Des méthodes d’authentification renforcée pour les clients qui doivent être obligatoire suivant certains critères / L’adaptation de la méthode d’authentification au contexte des requêtes des clients Survol de la DSP2 / ASPSP (Banques) / PIISP (Fournisseurs de moyens de paiements / AISP (Agrégateurs / PISP (Initiateurs de Paiement)
confidentiel | © WAVESTONE 4 La DSP2 est une directive européenne et s’applique dans tous les états-membres. / Elle est transposée dans le droit national français et s’applique à partir de la date établie par la commission européenne (Janvier 2018) / Dans les faits, l’EBA a en charge la publication de 6 RTS (Regulatory Technical Standards) en cours de rédaction et de débat avec les acteurs du marché et en particulier les banques et les agrégateurs. › Le standard concernant l’authentification forte et la sécurisation des communications est planifiée pour une version finale en septembre 2017 et une application en septembre 2018 Quand et Comment appliquer la DSP2 ? En charge de la rédaction des Regulatory Technical Standards En charge de la rédaction des Guidelines à destination des régulateurs nationaux Autorité de contrôle de la bonne application des guidelines. En France : le STET et la FBF (Fédération des Banques Françaises) travaillent à établir une réponse aux drafts des RTS émis par l’EBA. Le STET s’est positionné en leader des groupes de travail En France : les grandes banques françaises travaillent toutes sur le sujet au sein du groupe de travail Les « fintechs » et en particulier les agrégateurs déjà existants sont une force de décision importante sur les RTS
confidentiel | © WAVESTONE 5 Que requiert la DSP2? La DSP2 (Directive sur les Services de Paiement) définit 3 services : Informations de compte  Cas d’usage : agrégateur multi-bancaire  Acteurs : AISP (Account Information Service Provider) Initiation de paiement  Cas d’usage : initiation d’un paiement par un tiers  Acteurs : PISP (Payment Initiation Service Provider) Demande de couverture d’un paiement  Cas d’usage : demande OK/NOK de couverture d’un paiement  Acteurs : PIISP (institutions bancaires) Requiert une authentification multi-facteur du client final L’accès aux services DSP2 de la part d’un acteur requiert l’enregistrement auprès d’une Autorité d’Enregistrement en plus d’un enregistrement auprès de l’AS PSP
confidentiel | © WAVESTONE 6 Quels standards d’échange ? Quels outils ? 01
confidentiel | © WAVESTONE 7 / Les standards techniques sont connus et matures : HTTP, REST, JSON, OAuth2, OpenID Connect… / …mais il n’existe aucun standard d’API bancaire qui fasse référence / La DSP2 – et les guides d’implémentation (RTS) publiés par l’EBA – sont contraignants mais ne constituent pas une spécification SE CONFORMER Quels standards adopter ? Standards Open Banking
confidentiel | © WAVESTONE 8 Adopter un standard simplifie le travail de définition des APIs nécessaires / Une consolidation de standards dans de futures versions n’est pas à exclure Intégrer un groupe de travail de standardisation est un moyen d’enrichir sa réflexion et de ne pas simplement subir / Les principaux acteurs bancaires français s’intéressent aux travaux de STET Définir seul son propre standard d’interface est sans doute la seule option à ne pas suivre! Standards et solution sont intimement liés SE CONFORMER Le marché est encore jeune, constitué d’acteurs de taille modeste / Majoritairement mono-standard / Vulnérables à des acquisitions externes Par ailleurs, des questions de stratégie sont à évaluer : / Couverture DSP2 tactique ou OpenAPI stratégique / Build vs Buy / On-premises vs SaaS
confidentiel | © WAVESTONE 9 Un choix stratégique! SE CONFORMER? Activités des banques Périmètredesservices Placeholder This text can be replaced with your own text Conformité Compétition Expansion Transformation Limite les banques à un rôle de prestataire de services d’accès aux comptes (AS-PSP) + Banque comme prestataire tiers (TPP) Limité pour donner l’accès au paiement et aux services liés à l’information (AS-PSP) + Paiements et Services d’information innovants (NEW)
confidentiel | © WAVESTONE 10 Quelle sécurité pour les APIs ? Quels standards d’échange ? Quels outils ? 01 02
confidentiel | © WAVESTONE 11 AS PSP Client Authorization server API Tous types de consommateurs - app mobile, serveur, objet connecté, etc. - maîtrisé ou tierce partie (AISP, PISP) OAuth2.0 / Un standard mature / Adapté aux principaux cas d’usage Des compléments de spécifications à utiliser le cas échéant / OpenID Connect : Contrôle fin sur l’authentification / BCP : SSO entre applications mobiles / Token Exchange : Appels chaînés d’APIs & impersonnation / Token Binding : Protection contre le vol de jeton / etc. La sécurité des APIs – Les bases S’ADAPTER Access token
confidentiel | © WAVESTONE 12 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers Les exigences de la DSP2 en matière d’authentification & d’ouverture des données entraînent un besoin plus pointu encore
confidentiel | © WAVESTONE 13 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
confidentiel | © WAVESTONE 14 S’ADAPTER Authentification contextuelle : le besoin Opération très sensible Authentification forte / transaction Ajout de bénéficiaire Opération sensible Authentification simple / session Virement interne Données personnelles Authentification simple / 1 semaineMétéo des comptes Notifications personnelles Authentification simple / 1 mois Notification Le niveau d’authentification dépend / De la nature de la transaction / De ses caractéristiques (montant, compte cible, etc.) / Du contexte utilisateur / Des habitudes utilisateurs / etc.
confidentiel | © WAVESTONE 15 Authentification contextuelle : la solution S’ADAPTER / Les standards sont écrits dans cette logique initiée par le client / Les solutions du marché fonctionnent comme ça / Mais les besoins sur le terrain sont différents ! Ce que l’on voit fréquemment Jeton pour le Service A (LOA x) Je souhaite accéder au service A avec LOA x Je veux accéder au service A, il me faut donc le LOA x (Level of Assurance) Jeton pour le Service A (LOA x) Je souhaite accéder au service A Le service A requiert le LOA x Ce vers quoi il faut tendre / Le serveur d’autorisation doit prendre la décision en fonction de la sensibilité de l’opération et du contexte / Ce fonctionnement de l’authorization server est permis mais pas décrit / Encore beaucoup de déploiements spécifiques Client Authorization server Client Authorization server
confidentiel | © WAVESTONE 16 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
confidentiel | © WAVESTONE 17 Protection contre le vol de jeton : le besoin S’ADAPTER Authorization server API (Resource server) Authorization server API (Resource server) Aggrégateur Le principe même de « bearer token » entraîne un risque important lors du vol de ce dernier. La détection du vol étant très difficile, seule l’expiration du jeton est une mesure relativement efficace Vol de jeton Dans un contexte d’intermédiation (eg. DSP2), un tiers peut se retrouver en possession de très nombreux jetons. Le propriétaire de l’API est à la merci de ce tiers et de son niveau de sécurité Vol d’une base de jetons
confidentiel | © WAVESTONE 18 ClientAuthorization server API Token Binding / La négociation à deux (ou trois) composants permet de lier un jeton (ou un cookie) à une clé publique et la clé privée associée / Le client doit prouver qu’il possède la clé privée correspondante en établissant une connexion TLS mutuelle / Le jeton contient (un hash de) la clé publique du client, distincte pour chaque serveur d’API / Si le jeton (ou cookie) est intercepté, il est inutilisable / Requiert compatibilité du client et des serveurs › Edge, IE & Chrome disponibles en channels dev › Module Apache disponible Protection contre le vol de jeton : la solution S’ADAPTER Ok, vois donc avec l’AS et ce tokenBindingID Génération d’un biclé pour l’API cible Je voudrais un jeton avec ce tokenBindingID Le voici Je souhaite un accès, voici ma clé publique (TLS mutuel) Voici mon jeton, lié à ma clé publique et tokenBindingID (TLS mutuel)
confidentiel | © WAVESTONE 19 Comment en tirer partie ? Quels standards d’échange ? Quels outils ? Quelle sécurité pour les APIs ? 01 02 03
confidentiel | © WAVESTONE 20 Quelle organisation pour innover? INNOVER Collaboration avec les fintechs Partenariat? Incubation? Acquisition? Identification des nouveaux usages Expérimentation Viser au delà du périmètre imposé par la DSP2 : Épargne, crédit, IoT, etc. Laboratoire interne Outsourcing Open Innovation
wavestone.com @wavestone_ riskinsight-wavestone.com @Risk_Insight securityinsider-solucom.fr @SecuInsider Michel GIRIER Manager M +33 (0)6 34 99 52 03 michel.girier@wavestone.com
PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats

Recommandé

Les garanties financières : Enjeux et risques
Les garanties financières : Enjeux et risques Les garanties financières : Enjeux et risques
Les garanties financières : Enjeux et risques Sage france
 
Pilotage des Cautions Bancaires
Pilotage des Cautions BancairesPilotage des Cautions Bancaires
Pilotage des Cautions BancairesSage france
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?Djallal BOUABDALLAH
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1Sylvain Maret
 
Distribution d'assurances: Le devoir de conseil et de diligence (Apports de l...
Distribution d'assurances: Le devoir de conseil et de diligence (Apports de l...Distribution d'assurances: Le devoir de conseil et de diligence (Apports de l...
Distribution d'assurances: Le devoir de conseil et de diligence (Apports de l...Marc Gouden
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
DSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestoneDSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestoneBertrand Carlier
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 

Recommandé

Les garanties financières : Enjeux et risques
Les garanties financières : Enjeux et risques Les garanties financières : Enjeux et risques
Les garanties financières : Enjeux et risques Sage france
 
Pilotage des Cautions Bancaires
Pilotage des Cautions BancairesPilotage des Cautions Bancaires
Pilotage des Cautions BancairesSage france
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?Djallal BOUABDALLAH
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1Sylvain Maret
 
Distribution d'assurances: Le devoir de conseil et de diligence (Apports de l...
Distribution d'assurances: Le devoir de conseil et de diligence (Apports de l...Distribution d'assurances: Le devoir de conseil et de diligence (Apports de l...
Distribution d'assurances: Le devoir de conseil et de diligence (Apports de l...Marc Gouden
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
DSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestoneDSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestoneBertrand Carlier
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Sage france
 
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiBertrand Carlier
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électroniqueSage france
 
Presentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptPresentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptTijan Watt
 
OAuth2 stands overview
OAuth2 stands overviewOAuth2 stands overview
OAuth2 stands overviewBertrand Carlier
 
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...Lara Piot
 
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...OCTO Technology
 
20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptxulrichdjofang
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsBertrand Carlier
 
Comment réussir sa migration SEPA?
Comment réussir sa migration SEPA?Comment réussir sa migration SEPA?
Comment réussir sa migration SEPA?Sage france
 
Présentation WeLearn - Décembre 2016
Présentation WeLearn - Décembre 2016Présentation WeLearn - Décembre 2016
Présentation WeLearn - Décembre 2016Jonathan Herscovici
 
Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers 09022011Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers 09022011SaaS Guru
 
Ni ipo 048_s2_m
Ni ipo 048_s2_mNi ipo 048_s2_m
Ni ipo 048_s2_mSynergie-contact
 
Fintech et assurtech dans la chaîne de valeur Assurance Vie
Fintech et assurtech dans la chaîne de valeur Assurance VieFintech et assurtech dans la chaîne de valeur Assurance Vie
Fintech et assurtech dans la chaîne de valeur Assurance VieGenovefa APEDOH
 
Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Bertrand Carlier
 
Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?DataStax
 
Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2Raouf Jaziri
 
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges FonctionnelConduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges FonctionnelMohamed Sabra
 
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...Gilles d'Arpa
 
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...Gilles d'Arpa
 
Identity verification and AI
Identity verification and AIIdentity verification and AI
Identity verification and AILeonard Moustacchis
 
De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2 De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2 Leonard Moustacchis
 

Contenu connexe

Similaire à 201707 dsp2 standards, sécurité, quels impacts - wavestone

Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Sage france
 
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiBertrand Carlier
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électroniqueSage france
 
Presentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptPresentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptTijan Watt
 
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...Lara Piot
 
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...OCTO Technology
 
20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptxulrichdjofang
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsBertrand Carlier
 
Comment réussir sa migration SEPA?
Comment réussir sa migration SEPA?Comment réussir sa migration SEPA?
Comment réussir sa migration SEPA?Sage france
 
Présentation WeLearn - Décembre 2016
Présentation WeLearn - Décembre 2016Présentation WeLearn - Décembre 2016
Présentation WeLearn - Décembre 2016Jonathan Herscovici
 
Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers 09022011Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers 09022011SaaS Guru
 
Fintech et assurtech dans la chaîne de valeur Assurance Vie
Fintech et assurtech dans la chaîne de valeur Assurance VieFintech et assurtech dans la chaîne de valeur Assurance Vie
Fintech et assurtech dans la chaîne de valeur Assurance VieGenovefa APEDOH
 
Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Bertrand Carlier
 
Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?DataStax
 
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges FonctionnelConduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges FonctionnelMohamed Sabra
 
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...Gilles d'Arpa
 
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...Gilles d'Arpa
 

Similaire à 201707 dsp2 standards, sécurité, quels impacts - wavestone (20)

Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
 
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électronique
 
Presentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptPresentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).ppt
 
OAuth2 stands overview
OAuth2 stands overviewOAuth2 stands overview
OAuth2 stands overview
 
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
 
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
La Banque de demain, chapitre 3. L'open-banking : l'enjeu clé pour l'innovati...
 
20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
 
Comment réussir sa migration SEPA?
Comment réussir sa migration SEPA?Comment réussir sa migration SEPA?
Comment réussir sa migration SEPA?
 
Présentation WeLearn - Décembre 2016
Présentation WeLearn - Décembre 2016Présentation WeLearn - Décembre 2016
Présentation WeLearn - Décembre 2016
 
Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers 09022011Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers 09022011
 
Ni ipo 048_s2_m
Ni ipo 048_s2_mNi ipo 048_s2_m
Ni ipo 048_s2_m
 
Fintech et assurtech dans la chaîne de valeur Assurance Vie
Fintech et assurtech dans la chaîne de valeur Assurance VieFintech et assurtech dans la chaîne de valeur Assurance Vie
Fintech et assurtech dans la chaîne de valeur Assurance Vie
 
Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2
 
Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?
 
Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2
 
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges FonctionnelConduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
 
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
2014 04 24 must g darpa transition vers le cloud pour les éditeurs logiciels...
 
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...
2014 04 24 MUST GdArpa transition vers le cloud pour les éditeurs logiciels ...
 

Plus de Leonard Moustacchis

De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2 De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2 Leonard Moustacchis
 
Facebook data breach and OAuth2
Facebook data breach and OAuth2 Facebook data breach and OAuth2
Facebook data breach and OAuth2Leonard Moustacchis
 
Intelligent authentication Identity tech talks
Intelligent authentication Identity tech talksIntelligent authentication Identity tech talks
Intelligent authentication Identity tech talksLeonard Moustacchis
 
Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10 Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10 Leonard Moustacchis
 
iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10Leonard Moustacchis
 
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Leonard Moustacchis
 
Quels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPRQuels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPRLeonard Moustacchis
 
Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)Leonard Moustacchis
 
Identity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authenticationIdentity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authenticationLeonard Moustacchis
 
Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité ! Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité ! Leonard Moustacchis
 
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Leonard Moustacchis
 
Valorisez votre écosystème d'identités
Valorisez votre écosystème d'identitésValorisez votre écosystème d'identités
Valorisez votre écosystème d'identitésLeonard Moustacchis
 
L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...Leonard Moustacchis
 

Plus de Leonard Moustacchis (20)

Identity verification and AI
Identity verification and AIIdentity verification and AI
Identity verification and AI
 
De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2 De la bonne utilisation de OAuth2
De la bonne utilisation de OAuth2
 
WebAuthn & FIDO2
WebAuthn & FIDO2WebAuthn & FIDO2
WebAuthn & FIDO2
 
Facebook data breach and OAuth2
Facebook data breach and OAuth2 Facebook data breach and OAuth2
Facebook data breach and OAuth2
 
Identity techtalk orange
Identity techtalk orangeIdentity techtalk orange
Identity techtalk orange
 
Intelligent authentication Identity tech talks
Intelligent authentication Identity tech talksIntelligent authentication Identity tech talks
Intelligent authentication Identity tech talks
 
Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10 Blockchain et ses cas d'usages - Identity Tech Talk#10
Blockchain et ses cas d'usages - Identity Tech Talk#10
 
iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10iProov et Biométrie Identity Tech Talk #10
iProov et Biométrie Identity Tech Talk #10
 
Microservice et identité
Microservice et identitéMicroservice et identité
Microservice et identité
 
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
 
Identité et Automobile
Identité et AutomobileIdentité et Automobile
Identité et Automobile
 
Meetup devops
Meetup devopsMeetup devops
Meetup devops
 
Quels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPRQuels sont les enjeux de la réglementation GDPR
Quels sont les enjeux de la réglementation GDPR
 
Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)Présentation de UMA (User Managed Access)
Présentation de UMA (User Managed Access)
 
Identity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authenticationIdentity Tech Talks #3 FIDO futur of authentication
Identity Tech Talks #3 FIDO futur of authentication
 
Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité ! Mon Raspberry PI a une identité !
Mon Raspberry PI a une identité !
 
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...
 
Pas d'IoT sans Identité!
Pas d'IoT sans Identité!Pas d'IoT sans Identité!
Pas d'IoT sans Identité!
 
Valorisez votre écosystème d'identités
Valorisez votre écosystème d'identitésValorisez votre écosystème d'identités
Valorisez votre écosystème d'identités
 
L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...L’identité numérique : un atout incontournable pour construire une relation c...
L’identité numérique : un atout incontournable pour construire une relation c...
 

201707 dsp2 standards, sécurité, quels impacts - wavestone

  • 1. Directive Services de Paiement 2 Standards, sécurité, quels impacts? Identity Tech Talk 6 juillet 2017 Michel GIRIER michel.girier@wavestone.com
  • 2. confidentiel | © WAVESTONE 2confidentiel | © WAVESTONE 2 API or DIE Report from the Economist Intelligence Unit ” ” By 2020 bankers expect more money will flow via fintech firms than traditional retail banks
  • 3. confidentiel | © WAVESTONE 3 La Payment Services Directive 2 (PSD2 ou DSP2, 2015/2366) a pour objectifs : / Un renforcement du niveau de sécurité des paiements électroniques (cartes, mobiles et vente en ligne) / Une authentification renforcée des utilisateurs / Un partage des services à l’utilisateur plus marqué entre les intermédiaires (agrégateurs, initiateurs de paiement) et les banques / La standardisation des pratiques entre l’ensemble des pays membres de l’UE. Elle définit 4 acteurs : Elle impose aux ASPSP (Account Servicing Payment Service Provider) de mettre à disposition : / Des interfaces standard pour l’accès aux informations de comptes et aux services de paiement / Des méthodes d’authentification renforcée pour les clients qui doivent être obligatoire suivant certains critères / L’adaptation de la méthode d’authentification au contexte des requêtes des clients Survol de la DSP2 / ASPSP (Banques) / PIISP (Fournisseurs de moyens de paiements / AISP (Agrégateurs / PISP (Initiateurs de Paiement)
  • 4. confidentiel | © WAVESTONE 4 La DSP2 est une directive européenne et s’applique dans tous les états-membres. / Elle est transposée dans le droit national français et s’applique à partir de la date établie par la commission européenne (Janvier 2018) / Dans les faits, l’EBA a en charge la publication de 6 RTS (Regulatory Technical Standards) en cours de rédaction et de débat avec les acteurs du marché et en particulier les banques et les agrégateurs. › Le standard concernant l’authentification forte et la sécurisation des communications est planifiée pour une version finale en septembre 2017 et une application en septembre 2018 Quand et Comment appliquer la DSP2 ? En charge de la rédaction des Regulatory Technical Standards En charge de la rédaction des Guidelines à destination des régulateurs nationaux Autorité de contrôle de la bonne application des guidelines. En France : le STET et la FBF (Fédération des Banques Françaises) travaillent à établir une réponse aux drafts des RTS émis par l’EBA. Le STET s’est positionné en leader des groupes de travail En France : les grandes banques françaises travaillent toutes sur le sujet au sein du groupe de travail Les « fintechs » et en particulier les agrégateurs déjà existants sont une force de décision importante sur les RTS
  • 5. confidentiel | © WAVESTONE 5 Que requiert la DSP2? La DSP2 (Directive sur les Services de Paiement) définit 3 services : Informations de compte  Cas d’usage : agrégateur multi-bancaire  Acteurs : AISP (Account Information Service Provider) Initiation de paiement  Cas d’usage : initiation d’un paiement par un tiers  Acteurs : PISP (Payment Initiation Service Provider) Demande de couverture d’un paiement  Cas d’usage : demande OK/NOK de couverture d’un paiement  Acteurs : PIISP (institutions bancaires) Requiert une authentification multi-facteur du client final L’accès aux services DSP2 de la part d’un acteur requiert l’enregistrement auprès d’une Autorité d’Enregistrement en plus d’un enregistrement auprès de l’AS PSP
  • 6. confidentiel | © WAVESTONE 6 Quels standards d’échange ? Quels outils ? 01
  • 7. confidentiel | © WAVESTONE 7 / Les standards techniques sont connus et matures : HTTP, REST, JSON, OAuth2, OpenID Connect… / …mais il n’existe aucun standard d’API bancaire qui fasse référence / La DSP2 – et les guides d’implémentation (RTS) publiés par l’EBA – sont contraignants mais ne constituent pas une spécification SE CONFORMER Quels standards adopter ? Standards Open Banking
  • 8. confidentiel | © WAVESTONE 8 Adopter un standard simplifie le travail de définition des APIs nécessaires / Une consolidation de standards dans de futures versions n’est pas à exclure Intégrer un groupe de travail de standardisation est un moyen d’enrichir sa réflexion et de ne pas simplement subir / Les principaux acteurs bancaires français s’intéressent aux travaux de STET Définir seul son propre standard d’interface est sans doute la seule option à ne pas suivre! Standards et solution sont intimement liés SE CONFORMER Le marché est encore jeune, constitué d’acteurs de taille modeste / Majoritairement mono-standard / Vulnérables à des acquisitions externes Par ailleurs, des questions de stratégie sont à évaluer : / Couverture DSP2 tactique ou OpenAPI stratégique / Build vs Buy / On-premises vs SaaS
  • 9. confidentiel | © WAVESTONE 9 Un choix stratégique! SE CONFORMER? Activités des banques Périmètredesservices Placeholder This text can be replaced with your own text Conformité Compétition Expansion Transformation Limite les banques à un rôle de prestataire de services d’accès aux comptes (AS-PSP) + Banque comme prestataire tiers (TPP) Limité pour donner l’accès au paiement et aux services liés à l’information (AS-PSP) + Paiements et Services d’information innovants (NEW)
  • 10. confidentiel | © WAVESTONE 10 Quelle sécurité pour les APIs ? Quels standards d’échange ? Quels outils ? 01 02
  • 11. confidentiel | © WAVESTONE 11 AS PSP Client Authorization server API Tous types de consommateurs - app mobile, serveur, objet connecté, etc. - maîtrisé ou tierce partie (AISP, PISP) OAuth2.0 / Un standard mature / Adapté aux principaux cas d’usage Des compléments de spécifications à utiliser le cas échéant / OpenID Connect : Contrôle fin sur l’authentification / BCP : SSO entre applications mobiles / Token Exchange : Appels chaînés d’APIs & impersonnation / Token Binding : Protection contre le vol de jeton / etc. La sécurité des APIs – Les bases S’ADAPTER Access token
  • 12. confidentiel | © WAVESTONE 12 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers Les exigences de la DSP2 en matière d’authentification & d’ouverture des données entraînent un besoin plus pointu encore
  • 13. confidentiel | © WAVESTONE 13 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
  • 14. confidentiel | © WAVESTONE 14 S’ADAPTER Authentification contextuelle : le besoin Opération très sensible Authentification forte / transaction Ajout de bénéficiaire Opération sensible Authentification simple / session Virement interne Données personnelles Authentification simple / 1 semaineMétéo des comptes Notifications personnelles Authentification simple / 1 mois Notification Le niveau d’authentification dépend / De la nature de la transaction / De ses caractéristiques (montant, compte cible, etc.) / Du contexte utilisateur / Des habitudes utilisateurs / etc.
  • 15. confidentiel | © WAVESTONE 15 Authentification contextuelle : la solution S’ADAPTER / Les standards sont écrits dans cette logique initiée par le client / Les solutions du marché fonctionnent comme ça / Mais les besoins sur le terrain sont différents ! Ce que l’on voit fréquemment Jeton pour le Service A (LOA x) Je souhaite accéder au service A avec LOA x Je veux accéder au service A, il me faut donc le LOA x (Level of Assurance) Jeton pour le Service A (LOA x) Je souhaite accéder au service A Le service A requiert le LOA x Ce vers quoi il faut tendre / Le serveur d’autorisation doit prendre la décision en fonction de la sensibilité de l’opération et du contexte / Ce fonctionnement de l’authorization server est permis mais pas décrit / Encore beaucoup de déploiements spécifiques Client Authorization server Client Authorization server
  • 16. confidentiel | © WAVESTONE 16 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
  • 17. confidentiel | © WAVESTONE 17 Protection contre le vol de jeton : le besoin S’ADAPTER Authorization server API (Resource server) Authorization server API (Resource server) Aggrégateur Le principe même de « bearer token » entraîne un risque important lors du vol de ce dernier. La détection du vol étant très difficile, seule l’expiration du jeton est une mesure relativement efficace Vol de jeton Dans un contexte d’intermédiation (eg. DSP2), un tiers peut se retrouver en possession de très nombreux jetons. Le propriétaire de l’API est à la merci de ce tiers et de son niveau de sécurité Vol d’une base de jetons
  • 18. confidentiel | © WAVESTONE 18 ClientAuthorization server API Token Binding / La négociation à deux (ou trois) composants permet de lier un jeton (ou un cookie) à une clé publique et la clé privée associée / Le client doit prouver qu’il possède la clé privée correspondante en établissant une connexion TLS mutuelle / Le jeton contient (un hash de) la clé publique du client, distincte pour chaque serveur d’API / Si le jeton (ou cookie) est intercepté, il est inutilisable / Requiert compatibilité du client et des serveurs › Edge, IE & Chrome disponibles en channels dev › Module Apache disponible Protection contre le vol de jeton : la solution S’ADAPTER Ok, vois donc avec l’AS et ce tokenBindingID Génération d’un biclé pour l’API cible Je voudrais un jeton avec ce tokenBindingID Le voici Je souhaite un accès, voici ma clé publique (TLS mutuel) Voici mon jeton, lié à ma clé publique et tokenBindingID (TLS mutuel)
  • 19. confidentiel | © WAVESTONE 19 Comment en tirer partie ? Quels standards d’échange ? Quels outils ? Quelle sécurité pour les APIs ? 01 02 03
  • 20. confidentiel | © WAVESTONE 20 Quelle organisation pour innover? INNOVER Collaboration avec les fintechs Partenariat? Incubation? Acquisition? Identification des nouveaux usages Expérimentation Viser au delà du périmètre imposé par la DSP2 : Épargne, crédit, IoT, etc. Laboratoire interne Outsourcing Open Innovation
  • 22. PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats