SlideShare une entreprise Scribd logo

Conférence SFM Technologies ACSS 2018

A
African Cyber Security Summit

Sécurité des Applications d'internet et du Mobile Banking: E-banking & M-banking Nizar BEN NEJI Expert en Cyber sécurité

Présentations et discours publics
1  sur  26
Sécurité des applications d’Internet et du mobile banking: E-Banking et M-Banking Nizar Ben Neji Expert en Cybersécurité SFM Technologies - Tunisie SOMMET DE LA CYBERSECURITE Mercredi, 04 Avril 2018 Oran, Algérie Techniques de certification, signature, horodatage électronique et mécanismes de chiffrement
Nizar Ben Neji 1SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Cybercriminalité dans le monde et en Afrique • 556 millions de victimes par an • 1.5 million de victimes par jour • 18 victimes chaque seconde • 31% des victimes des cyberattaques sont des mobinautes puisque 2/3 des internautes utilisent des appareils mobiles • 40% des attaques ciblent les réseaux sociaux • Top 3 des comptes sur Internet cible des cyberattaques: ― Comptes emails (27%) ― Comptes des réseaux sociaux (19%) ― Comptes bancaires (15%) COMMISSION DE L’UNION AFRICAINE (2016) Afrique est en tête du classement mondial concernant le transfert d'argent par téléphone mobile Plusieurs projets d’ IoT en Afrique (Afrique du Sud, Rwanda, …)
Nizar Ben Neji 2SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Cadre juridique de la cybersécurité et de la cybercriminalité 21% 23% 56% Cadre juridique complet (11 pays) Cadre juridique partiel (12 pays) Pas de cadre juridique (30 pays) COMMISSION DE L’UNION AFRICAINE (2016)
Nizar Ben Neji 3SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Cadre juridique est complet ? E-Documents : E-ID, E-Contracts, E-Invoices, E-Transactions, … E-Proofs: E-Signature, Time Stamping, Electronic Postmark, … Homologation of Software and Hardware Solutions Electronic Services: E-Commerce, E-Procurement, E-Education, … Periodic Security Audit and Control and Emergency Response Incrimination Cyber Attacks, Legal Digital Investigation, Sanctions and Legal interception Protection the Personal Data of the consumers of the electronic services (rights to access, rectify, …)
Nizar Ben Neji 4SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Banques face au défi de la cybercriminalité KASPERSKY LAB (2017) • 7 banques sur 10 ont été déjà touchées par la cyber fraude • En moyenne, un incident touchant un client de la banque coûte: ― 1300 Euro pour les particuliers ― 9500 Euro pour les entreprises • Et quand la banque elle-même est touchée le montant des pertes peut avoisiner 1 Million d’Euros • 25,4 % des attaques par hameçonnage et par ingénierie sociale ciblent les services bancaires • En 2016, 1 088 900 utilisateurs ont été attaqués par malware bancaire client de la banque est le maillon faible dans toute la chaine
Nizar Ben Neji 5SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING • Services informationnels et transactionnels • Attaques informatiques sophistiquées sur les services bancaires ne cessent de se multiplier et visent essentiellement: ― Cartes bancaires ― Services bancaires en ligne ― Marchés boursiers ― Réseaux de paiement interbancaire nationaux et internationaux (Système SWIFT, …) Cyberattaques sur les banques Principales cibles
Nizar Ben Neji 6 • Risques de sécurité sont devenus élevés vu: ― Digitalisation des canaux de contact avec les clients (mail, sms, …) qui a rendu la banque très vulnérable au vol des données personnelles ― Variété des intervenants et des interfaces d’échange ― Mise en conformité juridique se fait souvent au détriment de la sécurité ― Dématérialisation des services (consultation, virement, …) expose le système d’information de la banque aux menaces ― Sécurité des services dématérialisés n’est pas vraiment fidèle à la sécurité des services au niveau du guichet (en ligne pas de signature, pas de reçu tamponné, pas de document d’identité à présenter, pas de procuration …) Cyberattaques sur les banques Principales causes absence de preuves électroniques SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
Nizar Ben Neji 7 Sommes nous fidèle au modèle classique Preuves électroniques SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING 1 2 3 4 PREUVE D’INTEGRITE PREUVE D’IDENTITE PREUVE DE TEMPS
Nizar Ben Neji 8SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING • Pour les services bancaires en ligne: ― Pas de preuve d’identité ― Pas de preuve d’intégrité ― Pas de preuve de non-répudiation ― Pas de preuve de temps ― Pas de preuve en cas de passation ou délégation Niveau de sécurité est abaissé Absence de preuves électroniques
Nizar Ben Neji 9SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Authentification Multi-facteurs 1. Ce que l’utilisateur connaît (Mot de passe, code PIN, Phrase secrète, …); 2. Ce que l’utilisateur détient (Carte magnétique, Carte à puce, SIM, Smartphone, …): élément physique appelé authentifieur ou Token; 3. Ce que l'utilisateur est (Empreinte digitale, empreinte rétinienne ou tout autre élément biométrique); 4. Ce que l'utilisateur sait faire ou fait (Biométrie comportementale tel que signature manuscrite, reconnaissance de la voix, un type de calcul connu de lui seul, un comportement, ...); 5. Où l'utilisateur est situé lors de l’opération d’authentification (Emplacement géographique ou virtuelle)
Nizar Ben Neji 10SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Authentification Forte • Authentification forte nécessite au moins 2 facteurs différents • Faire intervenir plusieurs facteurs dans les cas suivants: ― Restauration des paramètres d’accès au compte ― Changement du mot de passe ― Connexion d’un nouveau emplacement ― Usage d’un nouveau appareil ― Activité suspecte ― Différenciation entre opération basique (consultation du solde) et avancée (virement d’argent) ― …
Nizar Ben Neji 11SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Cartes à puce • Cartes à puce contenant des certificats électronique • Délivré par une PKI nationale ou par une PKI bancaire • Opérations cryptographiques se font sur la carte • Clés d’authentification protégées par des codes PIN/PUK • Unicité des clés d’authentification est garantie puisque ni l’exportation des clés ni le clonage des cartes est possible
Nizar Ben Neji 12SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Certificat électronique
Nizar Ben Neji 13SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Systèmes PKI INFRASTRUCTURE A CLES PUBLIQUES (PKI) AUTORITES D’ENREGISTREMENT AUTORITE DE VALIDATIONAUTORITE DE PUBLICATION AUTORITE DE CERTIFICATION AC AC SUB AC SUB AC SUB AE AE AE ORGANISATION ORGANISATION
• OTP ou OTC sont des mécanismes qui permettent une authentification avec un mot de passe ou un certificat à usage unique • Calcul du OTP en se basant sur le secret partagé entre le support authentificateur et le serveur Nizar Ben Neji 14SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification One Time Password (OTP) Temps de la transaction Secret partagé Calcul de l’OTP par l’authentificateur
Nizar Ben Neji 15SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Eléments à signer • Transactions électroniques • Contrat client et engagements • Opérations de validation faites par la banque • Courriers envoyés par la banque à ses clients • Logiciels ou outils de la banque que le client doit installer sur sa machine (signature de code) • Eléments à signer (Texte, XML, PDF, MIME, EXE, APK, …)
Nizar Ben Neji 16SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Preuve d’intégrité et de non-répudiation • What You See Is What You Sign (WYSIWYS) • Court terme, moyen terme et long terme • Signature électronique attachée et détachée • Co-signature et contre signature
Nizar Ben Neji 17SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Types • Signature électronique basique et avancée: – CMS/PKCS#7 format (Cryptographic Message Syntax) – XMLDSig (XML Digital Signature) – PDF [ISO 32000-1] – S/MIME signature – CAdES (CMS Advanced Electronic Signature) – XAdES (XML Advanced Electronic Signature) – PAdES (PDF Advanced Electronic Signature) • Mobile Signature Service (ETSI MSS)
Nizar Ben Neji 18SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Exemple Panneau de signature
Nizar Ben Neji 19SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Exemple Panneau de signature
Nizar Ben Neji 20SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Horodatage électronique Preuve de temps • La plupart des outils de signature électronique considère le temps de la machine de l’utilisateur qui n’est pas un temps fiable. • Contremarques de temps ou jetons d’horodatage non-falsifiables prouvant la date et l’horaire des transactions délivrés par un tiers de confiance
Nizar Ben Neji 21SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Horodatage électronique Architecture Serveur d’horodatage Client d’horodatage TST Time Stamping Token TSR Time Stamping Request Serveur NTP Utilisateur Récepteur GPS – NTP HSM Adresse: ts.entreprise.org Port: 4318
Nizar Ben Neji 22SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Besoin du chiffrement Confidentialité des échanges • Sécurisation des canaux de communication par le chiffrement (Exemple du TLS) • Chiffrement des informations stockées sur le device du client • Webservices (signature et/ou chiffrement des requêtes et des réponses)
Nizar Ben Neji 23SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Archivage électronique documents électroniques • Contrats électroniques et les engagements • Actes de virement et opérations de paiement • Dossiers des clients et n’importe quel document électronique qui devra être archivé
Il y aura toujours une difficulté de trouver un équilibre entre confort des clients et prévention des fraudes Nizar Ben Neji 24SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
MERCI POUR VOTRE ATTENTION Nizar Ben Neji Expert en Cybersécurité SFM Technologies nizar.benneji@sfmtechnologies.com / (+216) 99 207 377

Recommandé

Front office back office caisse
Front office back office caisseFront office back office caisse
Front office back office caisseBen Sassi Mohamed Ridha
 
Étude et Mise en Place de Monitoring
Étude et Mise en Place de Monitoring Étude et Mise en Place de Monitoring
Étude et Mise en Place de Monitoring ImnaTech
 
Rapport de Projet de Fin de Parcours
Rapport de Projet de Fin de ParcoursRapport de Projet de Fin de Parcours
Rapport de Projet de Fin de ParcoursNadine hrira
 
Audit
AuditAudit
Auditzan
 
PFE::Conception et développement du Back Office d'une application mobile de g...
PFE::Conception et développement du Back Office d'une application mobile de g...PFE::Conception et développement du Back Office d'une application mobile de g...
PFE::Conception et développement du Back Office d'une application mobile de g...Rami Raddaoui
 
rapport fin d'etude
rapport fin d'etuderapport fin d'etude
rapport fin d'etudesihem-med
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
Rapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileRapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileNader Somrani
 

Recommandé

Front office back office caisse
Front office back office caisseFront office back office caisse
Front office back office caisseBen Sassi Mohamed Ridha
 
Étude et Mise en Place de Monitoring
Étude et Mise en Place de Monitoring Étude et Mise en Place de Monitoring
Étude et Mise en Place de Monitoring ImnaTech
 
Rapport de Projet de Fin de Parcours
Rapport de Projet de Fin de ParcoursRapport de Projet de Fin de Parcours
Rapport de Projet de Fin de ParcoursNadine hrira
 
Audit
AuditAudit
Auditzan
 
PFE::Conception et développement du Back Office d'une application mobile de g...
PFE::Conception et développement du Back Office d'une application mobile de g...PFE::Conception et développement du Back Office d'une application mobile de g...
PFE::Conception et développement du Back Office d'une application mobile de g...Rami Raddaoui
 
rapport fin d'etude
rapport fin d'etuderapport fin d'etude
rapport fin d'etudesihem-med
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
Rapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileRapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileNader Somrani
 
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...Hajer Dahech
 
RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESTombariAhmed
 
PKI
PKIPKI
PKIhossam-10
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeOlivierMawourkagosse
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
rapport de stage
rapport de stagerapport de stage
rapport de stageMarouane Gh
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LINAGORA
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Nagios
NagiosNagios
Nagioslinkinx
 
Application mobile bancaire sous la plateforme Android
Application mobile bancaire sous la plateforme AndroidApplication mobile bancaire sous la plateforme Android
Application mobile bancaire sous la plateforme AndroidKhaled Fayala
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...ImnaTech
 
Conception et développement d'une application Android pour TUNISAIR
Conception et développement d'une application Android pour TUNISAIRConception et développement d'une application Android pour TUNISAIR
Conception et développement d'une application Android pour TUNISAIRSkander Driss
 
Rapport_PFE_Securite (1).pdf
Rapport_PFE_Securite (1).pdfRapport_PFE_Securite (1).pdf
Rapport_PFE_Securite (1).pdfAhmedDhib6
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFEIbtissemSlimeni
 
Rapport PFE Ahmed BEN JEMIA
Rapport PFE Ahmed BEN JEMIARapport PFE Ahmed BEN JEMIA
Rapport PFE Ahmed BEN JEMIAAhmed BEN JEMIA
 
Rapport PFE : Cloud Insights
Rapport PFE : Cloud InsightsRapport PFE : Cloud Insights
Rapport PFE : Cloud Insightsahmed oumezzine
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Gestion de soutenance
Gestion de soutenanceGestion de soutenance
Gestion de soutenanceVatosoaRazafindrazak
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsDarkmira
 
e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécuriéBrahim Belghmi
 

Contenu connexe

Tendances

Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...Hajer Dahech
 
RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESTombariAhmed
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeOlivierMawourkagosse
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
rapport de stage
rapport de stagerapport de stage
rapport de stageMarouane Gh
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LINAGORA
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Application mobile bancaire sous la plateforme Android
Application mobile bancaire sous la plateforme AndroidApplication mobile bancaire sous la plateforme Android
Application mobile bancaire sous la plateforme AndroidKhaled Fayala
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...ImnaTech
 
Conception et développement d'une application Android pour TUNISAIR
Conception et développement d'une application Android pour TUNISAIRConception et développement d'une application Android pour TUNISAIR
Conception et développement d'une application Android pour TUNISAIRSkander Driss
 
Rapport_PFE_Securite (1).pdf
Rapport_PFE_Securite (1).pdfRapport_PFE_Securite (1).pdf
Rapport_PFE_Securite (1).pdfAhmedDhib6
 
Rapport PFE Ahmed BEN JEMIA
Rapport PFE Ahmed BEN JEMIARapport PFE Ahmed BEN JEMIA
Rapport PFE Ahmed BEN JEMIAAhmed BEN JEMIA
 
Rapport PFE : Cloud Insights
Rapport PFE : Cloud InsightsRapport PFE : Cloud Insights
Rapport PFE : Cloud Insightsahmed oumezzine
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 

Tendances (20)

Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
 
RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDES
 
PKI
PKIPKI
PKI
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
rapport de stage
rapport de stagerapport de stage
rapport de stage
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Nagios
NagiosNagios
Nagios
 
Application mobile bancaire sous la plateforme Android
Application mobile bancaire sous la plateforme AndroidApplication mobile bancaire sous la plateforme Android
Application mobile bancaire sous la plateforme Android
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
Etude de la mise en place d’un système de communication VoIP sécurisé sur une...
 
Conception et développement d'une application Android pour TUNISAIR
Conception et développement d'une application Android pour TUNISAIRConception et développement d'une application Android pour TUNISAIR
Conception et développement d'une application Android pour TUNISAIR
 
Rapport_PFE_Securite (1).pdf
Rapport_PFE_Securite (1).pdfRapport_PFE_Securite (1).pdf
Rapport_PFE_Securite (1).pdf
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFE
 
Rapport PFE Ahmed BEN JEMIA
Rapport PFE Ahmed BEN JEMIARapport PFE Ahmed BEN JEMIA
Rapport PFE Ahmed BEN JEMIA
 
Rapport PFE : Cloud Insights
Rapport PFE : Cloud InsightsRapport PFE : Cloud Insights
Rapport PFE : Cloud Insights
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Gestion de soutenance
Gestion de soutenanceGestion de soutenance
Gestion de soutenance
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 

Similaire à Conférence SFM Technologies ACSS 2018

Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsDarkmira
 
e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécuriéBrahim Belghmi
 
Guide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueGuide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueIdaraty.tn
 
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...Trägerverein SuisseID
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?GOTIC CI
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Crypto camer
Crypto camerCrypto camer
Crypto camerdilan23
 
Eric HANSEN - La carte bancaire sans contact pas securisée
Eric HANSEN - La carte bancaire sans contact pas securiséeEric HANSEN - La carte bancaire sans contact pas securisée
Eric HANSEN - La carte bancaire sans contact pas securiséeEric HANSEN
 
Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018corsica.io
 
Présentation Semlex Europe
Présentation Semlex Europe Présentation Semlex Europe
Présentation Semlex Europe Albert Karaziwan
 
Crédit card Fraud Detection
Crédit card Fraud Detection Crédit card Fraud Detection
Crédit card Fraud Detection OussamaBelarbi2
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSylvain Maret
 
Sécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceSécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceWoomeet
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
E paiement (2)
E paiement (2)E paiement (2)
E paiement (2)Maeyy
 

Similaire à Conférence SFM Technologies ACSS 2018 (20)

Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de Paiements
 
e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécurié
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09
 
Guide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueGuide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électronique
 
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...
SuisseID Forum 2014 | Avantages et exigences de la signature électronique pou...
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
Crypto camer
Crypto camerCrypto camer
Crypto camer
 
Eric HANSEN - La carte bancaire sans contact pas securisée
Eric HANSEN - La carte bancaire sans contact pas securiséeEric HANSEN - La carte bancaire sans contact pas securisée
Eric HANSEN - La carte bancaire sans contact pas securisée
 
Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018
 
Présentation Semlex
Présentation SemlexPrésentation Semlex
Présentation Semlex
 
Présentation Semlex Europe
Présentation Semlex Europe Présentation Semlex Europe
Présentation Semlex Europe
 
Guide e commerce
Guide e commerceGuide e commerce
Guide e commerce
 
Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2
 
Crédit card Fraud Detection
Crédit card Fraud Detection Crédit card Fraud Detection
Crédit card Fraud Detection
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’IT
 
Sécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceSécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerce
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
E paiement (2)
E paiement (2)E paiement (2)
E paiement (2)
 

Plus de African Cyber Security Summit

Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...African Cyber Security Summit
 
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...African Cyber Security Summit
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...African Cyber Security Summit
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...African Cyber Security Summit
 
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...African Cyber Security Summit
 
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019African Cyber Security Summit
 
Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019African Cyber Security Summit
 

Plus de African Cyber Security Summit (20)

Bilan & Perspectives #ACSS2019
Bilan & Perspectives #ACSS2019Bilan & Perspectives #ACSS2019
Bilan & Perspectives #ACSS2019
 
Rapport de Visibilité #ACSS2019
Rapport de Visibilité #ACSS2019Rapport de Visibilité #ACSS2019
Rapport de Visibilité #ACSS2019
 
Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5 - #ACSS2019Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5 - #ACSS2019
 
Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5 - #ACSS2019Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5 - #ACSS2019
 
Atelier Technique - Symantec - #ACSS2019
Atelier Technique - Symantec - #ACSS2019Atelier Technique - Symantec - #ACSS2019
Atelier Technique - Symantec - #ACSS2019
 
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
 
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
 
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
 
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
 
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
 
Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019
 
Bilan & Perspectives - ACSS 2018
Bilan & Perspectives - ACSS 2018Bilan & Perspectives - ACSS 2018
Bilan & Perspectives - ACSS 2018
 
Rapport de Visibilité ACCS 2018
Rapport de Visibilité ACCS 2018Rapport de Visibilité ACCS 2018
Rapport de Visibilité ACCS 2018
 
Atelier Technique CISCO ACSS 2018
Atelier Technique CISCO ACSS 2018Atelier Technique CISCO ACSS 2018
Atelier Technique CISCO ACSS 2018
 
Atelier Technique SYMANTEC ACSS 2018
Atelier Technique SYMANTEC ACSS 2018Atelier Technique SYMANTEC ACSS 2018
Atelier Technique SYMANTEC ACSS 2018
 
Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018
 
Atelier Technique EXTREME NETWORKS ACSS 2018
Atelier Technique EXTREME NETWORKS ACSS 2018Atelier Technique EXTREME NETWORKS ACSS 2018
Atelier Technique EXTREME NETWORKS ACSS 2018
 
Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018
 

Conférence SFM Technologies ACSS 2018

  • 1. Sécurité des applications d’Internet et du mobile banking: E-Banking et M-Banking Nizar Ben Neji Expert en Cybersécurité SFM Technologies - Tunisie SOMMET DE LA CYBERSECURITE Mercredi, 04 Avril 2018 Oran, Algérie Techniques de certification, signature, horodatage électronique et mécanismes de chiffrement
  • 2. Nizar Ben Neji 1SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Cybercriminalité dans le monde et en Afrique • 556 millions de victimes par an • 1.5 million de victimes par jour • 18 victimes chaque seconde • 31% des victimes des cyberattaques sont des mobinautes puisque 2/3 des internautes utilisent des appareils mobiles • 40% des attaques ciblent les réseaux sociaux • Top 3 des comptes sur Internet cible des cyberattaques: ― Comptes emails (27%) ― Comptes des réseaux sociaux (19%) ― Comptes bancaires (15%) COMMISSION DE L’UNION AFRICAINE (2016) Afrique est en tête du classement mondial concernant le transfert d'argent par téléphone mobile Plusieurs projets d’ IoT en Afrique (Afrique du Sud, Rwanda, …)
  • 3. Nizar Ben Neji 2SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Cadre juridique de la cybersécurité et de la cybercriminalité 21% 23% 56% Cadre juridique complet (11 pays) Cadre juridique partiel (12 pays) Pas de cadre juridique (30 pays) COMMISSION DE L’UNION AFRICAINE (2016)
  • 4. Nizar Ben Neji 3SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Cadre juridique est complet ? E-Documents : E-ID, E-Contracts, E-Invoices, E-Transactions, … E-Proofs: E-Signature, Time Stamping, Electronic Postmark, … Homologation of Software and Hardware Solutions Electronic Services: E-Commerce, E-Procurement, E-Education, … Periodic Security Audit and Control and Emergency Response Incrimination Cyber Attacks, Legal Digital Investigation, Sanctions and Legal interception Protection the Personal Data of the consumers of the electronic services (rights to access, rectify, …)
  • 5. Nizar Ben Neji 4SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Statistiques Banques face au défi de la cybercriminalité KASPERSKY LAB (2017) • 7 banques sur 10 ont été déjà touchées par la cyber fraude • En moyenne, un incident touchant un client de la banque coûte: ― 1300 Euro pour les particuliers ― 9500 Euro pour les entreprises • Et quand la banque elle-même est touchée le montant des pertes peut avoisiner 1 Million d’Euros • 25,4 % des attaques par hameçonnage et par ingénierie sociale ciblent les services bancaires • En 2016, 1 088 900 utilisateurs ont été attaqués par malware bancaire client de la banque est le maillon faible dans toute la chaine
  • 6. Nizar Ben Neji 5SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING • Services informationnels et transactionnels • Attaques informatiques sophistiquées sur les services bancaires ne cessent de se multiplier et visent essentiellement: ― Cartes bancaires ― Services bancaires en ligne ― Marchés boursiers ― Réseaux de paiement interbancaire nationaux et internationaux (Système SWIFT, …) Cyberattaques sur les banques Principales cibles
  • 7. Nizar Ben Neji 6 • Risques de sécurité sont devenus élevés vu: ― Digitalisation des canaux de contact avec les clients (mail, sms, …) qui a rendu la banque très vulnérable au vol des données personnelles ― Variété des intervenants et des interfaces d’échange ― Mise en conformité juridique se fait souvent au détriment de la sécurité ― Dématérialisation des services (consultation, virement, …) expose le système d’information de la banque aux menaces ― Sécurité des services dématérialisés n’est pas vraiment fidèle à la sécurité des services au niveau du guichet (en ligne pas de signature, pas de reçu tamponné, pas de document d’identité à présenter, pas de procuration …) Cyberattaques sur les banques Principales causes absence de preuves électroniques SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
  • 8. Nizar Ben Neji 7 Sommes nous fidèle au modèle classique Preuves électroniques SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING 1 2 3 4 PREUVE D’INTEGRITE PREUVE D’IDENTITE PREUVE DE TEMPS
  • 9. Nizar Ben Neji 8SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING • Pour les services bancaires en ligne: ― Pas de preuve d’identité ― Pas de preuve d’intégrité ― Pas de preuve de non-répudiation ― Pas de preuve de temps ― Pas de preuve en cas de passation ou délégation Niveau de sécurité est abaissé Absence de preuves électroniques
  • 10. Nizar Ben Neji 9SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Authentification Multi-facteurs 1. Ce que l’utilisateur connaît (Mot de passe, code PIN, Phrase secrète, …); 2. Ce que l’utilisateur détient (Carte magnétique, Carte à puce, SIM, Smartphone, …): élément physique appelé authentifieur ou Token; 3. Ce que l'utilisateur est (Empreinte digitale, empreinte rétinienne ou tout autre élément biométrique); 4. Ce que l'utilisateur sait faire ou fait (Biométrie comportementale tel que signature manuscrite, reconnaissance de la voix, un type de calcul connu de lui seul, un comportement, ...); 5. Où l'utilisateur est situé lors de l’opération d’authentification (Emplacement géographique ou virtuelle)
  • 11. Nizar Ben Neji 10SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Authentification Forte • Authentification forte nécessite au moins 2 facteurs différents • Faire intervenir plusieurs facteurs dans les cas suivants: ― Restauration des paramètres d’accès au compte ― Changement du mot de passe ― Connexion d’un nouveau emplacement ― Usage d’un nouveau appareil ― Activité suspecte ― Différenciation entre opération basique (consultation du solde) et avancée (virement d’argent) ― …
  • 12. Nizar Ben Neji 11SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Cartes à puce • Cartes à puce contenant des certificats électronique • Délivré par une PKI nationale ou par une PKI bancaire • Opérations cryptographiques se font sur la carte • Clés d’authentification protégées par des codes PIN/PUK • Unicité des clés d’authentification est garantie puisque ni l’exportation des clés ni le clonage des cartes est possible
  • 13. Nizar Ben Neji 12SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Certificat électronique
  • 14. Nizar Ben Neji 13SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification Systèmes PKI INFRASTRUCTURE A CLES PUBLIQUES (PKI) AUTORITES D’ENREGISTREMENT AUTORITE DE VALIDATIONAUTORITE DE PUBLICATION AUTORITE DE CERTIFICATION AC AC SUB AC SUB AC SUB AE AE AE ORGANISATION ORGANISATION
  • 15. • OTP ou OTC sont des mécanismes qui permettent une authentification avec un mot de passe ou un certificat à usage unique • Calcul du OTP en se basant sur le secret partagé entre le support authentificateur et le serveur Nizar Ben Neji 14SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Techniques d’authentification One Time Password (OTP) Temps de la transaction Secret partagé Calcul de l’OTP par l’authentificateur
  • 16. Nizar Ben Neji 15SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Eléments à signer • Transactions électroniques • Contrat client et engagements • Opérations de validation faites par la banque • Courriers envoyés par la banque à ses clients • Logiciels ou outils de la banque que le client doit installer sur sa machine (signature de code) • Eléments à signer (Texte, XML, PDF, MIME, EXE, APK, …)
  • 17. Nizar Ben Neji 16SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Preuve d’intégrité et de non-répudiation • What You See Is What You Sign (WYSIWYS) • Court terme, moyen terme et long terme • Signature électronique attachée et détachée • Co-signature et contre signature
  • 18. Nizar Ben Neji 17SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Types • Signature électronique basique et avancée: – CMS/PKCS#7 format (Cryptographic Message Syntax) – XMLDSig (XML Digital Signature) – PDF [ISO 32000-1] – S/MIME signature – CAdES (CMS Advanced Electronic Signature) – XAdES (XML Advanced Electronic Signature) – PAdES (PDF Advanced Electronic Signature) • Mobile Signature Service (ETSI MSS)
  • 19. Nizar Ben Neji 18SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Exemple Panneau de signature
  • 20. Nizar Ben Neji 19SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Signature électronique Exemple Panneau de signature
  • 21. Nizar Ben Neji 20SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Horodatage électronique Preuve de temps • La plupart des outils de signature électronique considère le temps de la machine de l’utilisateur qui n’est pas un temps fiable. • Contremarques de temps ou jetons d’horodatage non-falsifiables prouvant la date et l’horaire des transactions délivrés par un tiers de confiance
  • 22. Nizar Ben Neji 21SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Horodatage électronique Architecture Serveur d’horodatage Client d’horodatage TST Time Stamping Token TSR Time Stamping Request Serveur NTP Utilisateur Récepteur GPS – NTP HSM Adresse: ts.entreprise.org Port: 4318
  • 23. Nizar Ben Neji 22SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Besoin du chiffrement Confidentialité des échanges • Sécurisation des canaux de communication par le chiffrement (Exemple du TLS) • Chiffrement des informations stockées sur le device du client • Webservices (signature et/ou chiffrement des requêtes et des réponses)
  • 24. Nizar Ben Neji 23SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING Archivage électronique documents électroniques • Contrats électroniques et les engagements • Actes de virement et opérations de paiement • Dossiers des clients et n’importe quel document électronique qui devra être archivé
  • 25. Il y aura toujours une difficulté de trouver un équilibre entre confort des clients et prévention des fraudes Nizar Ben Neji 24SECURITE DES APPLICATIONS D’INTERNET ET DU MOBILE BANKING
  • 26. MERCI POUR VOTRE ATTENTION Nizar Ben Neji Expert en Cybersécurité SFM Technologies nizar.benneji@sfmtechnologies.com / (+216) 99 207 377