SlideShare une entreprise Scribd logo

DSP2 standards, sécurité, quels impacts wavestone

Bertrand Carlier
Bertrand Carlier

DSP2 Quels standards, quelle sécurité, quels impacts?

1  sur  20
Télécharger pour lire hors ligne
Directive Services de Paiement 2 Standards, sécurité, quels impacts? Matinée du 25 avril 2017 Bertrand CARLIER bertrand.carlier@wavestone.com @bertrandcarlier
confidentiel | © WAVESTONE 2confidentiel | © WAVESTONE 2 API or DIE Report from the Economist Intelligence Unit ” ” By 2020 bankers expect more money will flow via fintech firms than traditional retail banks
confidentiel | © WAVESTONE 3 Que requiert la DSP2? La DSP2 (Directive sur les Services de Paiement) définit 3 services : Informations de compte ▪ Cas d’usage : agrégateur multi-bancaire ▪ Acteurs : AISP (Account Information Service Provider) Initiation de paiement ▪ Cas d’usage : initiation d’un paiement par un tiers ▪ Acteurs : PISP (Payment Initiation Service Provider) Demande de couverture d’un paiement ▪ Cas d’usage : demande OK/NOK de couverture d’un paiement ▪ Acteurs : PIISP (institutions bancaires) Requiert une authentification multi-facteur du client final L’accès aux services DSP2 de la part d’un acteur requiert l’enregistrement auprès d’une Autorité d’Enregistrement en plus d’un enregistrement auprès de l’AS PSP
confidentiel | © WAVESTONE 4 Quels standards d’échange ? Quels outils ? 01
confidentiel | © WAVESTONE 5 / Les standards techniques sont connus et matures : HTTP, REST, JSON, OAuth2, OpenID Connect… / …mais il n’existe aucun standard d’API bancaire qui fasse référence / La DSP2 – et les guides d’implémentation (RTS) publiés par l’EBA – sont contraignants mais ne constituent pas une spécification SE CONFORMER Quels standards adopter ? Standards Open Banking
confidentiel | © WAVESTONE 6 Adopter un standard simplifie le travail de définition des APIs nécessaires / Une consolidation de standards dans de futures versions n’est pas à exclure Intégrer un groupe de travail de standardisation est un moyen d’enrichir sa réflexion et de ne pas simplement subir / Les principaux acteurs bancaires français s’intéressent aux travaux de STET Définir seul son propre standard d’interface est sans doute la seule option à ne pas suivre! Standards et solution sont intimement liés SE CONFORMER Le marché est encore jeune, constitué d’acteurs de taille modeste / Majoritairement mono-standard / Vulnérables à des acquisitions externes Par ailleurs, des questions de stratégie sont à évaluer : / Build vs Buy / On-premises vs SaaS / Couverture DSP2 tactique ou OpenAPI stratégique
confidentiel | © WAVESTONE 7 Quelle sécurité pour les APIs ? Quels standards d’échange ? Quels outils ? 01 02
confidentiel | © WAVESTONE 8 AS PSP Client Authorization server API Tous types de consommateurs - app mobile, serveur, objet connecté, etc. - maîtrisé ou tierce partie (AISP, PISP) OAuth2.0 / Un standard mature / Adapté aux principaux cas d’usage Des compléments de spécifications à utiliser le cas échéant / Contrôle fin sur l’authentification / SSO entre applications mobiles / Appels chaînés d’APIs & impersonnation / Protection contre le vol de jeton / etc. La sécurité des APIs – Les bases S’ADAPTER Access token
confidentiel | © WAVESTONE 9 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers Les exigences de la DSP2 en matière d’authentification & d’ouverture des données entraînent un besoin plus pointu encore
confidentiel | © WAVESTONE 10 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
confidentiel | © WAVESTONE 11 S’ADAPTER Authentification contextuelle : le besoin Opération très sensible Authentification forte / transaction Ajout de bénéficiaire Opération sensible Authentification simple / session Virement interne Données personnelles Authentification simple / 1 semaineMétéo des comptes Notifications personnelles Authentification simple / 1 mois Notification Le niveau d’authentification dépend / De la nature de la transaction / De ses caractéristiques (montant, compte cible, etc.) / Du contexte utilisateur / Des habitudes utilisateurs / etc.
confidentiel | © WAVESTONE 12 Authentification contextuelle : la solution S’ADAPTER / Les standards sont écrits dans cette logique initiée par le client / Les solutions du marché fonctionnent comme ça / Mais les besoins sur le terrain sont différents ! Ce que l’on voit fréquemment Jeton pour le Service A (LOA x) Je souhaite accéder au service A avec LOA x Je veux accéder au service A, il me faut donc le LOA x (Level of Assurance) Jeton pour le Service A (LOA x) Je souhaite accéder au service A Le service A requiert le LOA x Ce vers quoi il faut tendre / Le serveur d’autorisation doit prendre la décision en fonction de la sensibilité de l’opération et du contexte / Ce fonctionnement de l’authorization server est permis mais pas décrit / Encore beaucoup de déploiements spécifiques Client Authorization server Client Authorization server
confidentiel | © WAVESTONE 13 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
confidentiel | © WAVESTONE 14 Protection contre le vol de jeton : le besoin S’ADAPTER Authorization server API (Resource server) Authorization server API (Resource server) Aggrégateur Le principe même de « bearer token » entraîne un risque important lors du vol de ce dernier. La détection du vol étant très difficile, seule l’expiration du jeton est une mesure relativement efficace Vol de jeton Dans un contexte d’intermédiation (eg. DSP2), un tiers peut se retrouver en possession de très nombreux jetons. Le propriétaire de l’API est à la merci de ce tiers et de son niveau de sécurité Vol d’une base de jetons
confidentiel | © WAVESTONE 15 ClientAuthorization server API Token Binding / La négociation à deux (ou trois) composants permet de lier un jeton (ou un cookie) à une clé publique et la clé privée associée / Le client doit prouver qu’il possède la clé privée correspondante en établissant une connexion TLS mutuelle / Le jeton contient (un hash de) la clé publique du client, distincte pour chaque serveur d’API / Si le jeton (ou cookie) est intercepté, il est inutilisable / Requiert compatibilité du client et des serveurs › Edge, IE & Chrome disponibles en channels dev › Module Apache disponible Protection contre le vol de jeton : la solution S’ADAPTER Ok, vois donc avec l’AS et ce tokenBindingID Génération d’un biclé pour l’API cible Je voudrais un jeton avec ce tokenBindingID Le voici Je souhaite un accès, voici ma clé publique (TLS mutuel) Voici mon jeton, lié à ma clé publique et tokenBindingID (TLS mutuel)
confidentiel | © WAVESTONE 16 Comment en tirer partie ? Quels standards d’échange ? Quels outils ? Quelle sécurité pour les APIs ? 01 02 03
confidentiel | © WAVESTONE 17 Quelle organisation pour innover? INNOVER Collaboration avec les fintechs Partenariat? Incubation? Acquisition? Identification des nouveaux usages Expérimentation Viser au delà du périmètre imposé par la DSP2 : Épargne, crédit, IoT, etc. Laboratoire interne Outsourcing Open Innovation
wavestone.com @wavestone_ riskinsight-wavestone.com @Risk_Insight securityinsider-solucom.fr @SecuInsider Bertrand CARLIER Senior Manager M +33 (0)6 18 64 42 52 bertrand.carlier@wavestone.com
PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats
Directive Services de Paiement 2 Standards, sécurité, quels impacts? Matinée du 25 avril 2017 Bertrand CARLIER Senior Manager Wavestone Léonard MOUSTACCHIS Senior Customer Engineer Forgerock Jean DIEDERICH Partner Wavestone Clément CŒURDEUIL Président Budget Insight

Recommandé

Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Bertrand Carlier
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
Bertrand Carlier
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
Bertrand Carlier
 
Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2
Bertrand Carlier
 
OAuth2 stands overview
OAuth2 stands overviewOAuth2 stands overview
OAuth2 stands overview
Bertrand Carlier
 
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs donnéesROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
Gabrielle Pavia
 
Infographie Les API par #EnjoyDigitAll
Infographie Les API par #EnjoyDigitAllInfographie Les API par #EnjoyDigitAll
Infographie Les API par #EnjoyDigitAll
EnjoyDigitAll by BNP Paribas
 
Etude de cas concrets sur la Blockchain - Une infographie BNP Paribas et BlockSY
Etude de cas concrets sur la Blockchain - Une infographie BNP Paribas et BlockSYEtude de cas concrets sur la Blockchain - Une infographie BNP Paribas et BlockSY
Etude de cas concrets sur la Blockchain - Une infographie BNP Paribas et BlockSY
EnjoyDigitAll by BNP Paribas
 

Recommandé

Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'apiWavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Wavestone - Séminaire à Paris sur la psd 2 et l'éconmie de l'api
Bertrand Carlier
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
Bertrand Carlier
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
Bertrand Carlier
 
Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2Présentation budget insight impacts de la dsp2
Présentation budget insight impacts de la dsp2
Bertrand Carlier
 
OAuth2 stands overview
OAuth2 stands overviewOAuth2 stands overview
OAuth2 stands overview
Bertrand Carlier
 
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs donnéesROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
Gabrielle Pavia
 
Infographie Les API par #EnjoyDigitAll
Infographie Les API par #EnjoyDigitAllInfographie Les API par #EnjoyDigitAll
Infographie Les API par #EnjoyDigitAll
EnjoyDigitAll by BNP Paribas
 
Etude de cas concrets sur la Blockchain - Une infographie BNP Paribas et BlockSY
Etude de cas concrets sur la Blockchain - Une infographie BNP Paribas et BlockSYEtude de cas concrets sur la Blockchain - Une infographie BNP Paribas et BlockSY
Etude de cas concrets sur la Blockchain - Une infographie BNP Paribas et BlockSY
EnjoyDigitAll by BNP Paribas
 
Devoxx 2019 authentification
Devoxx 2019 authentificationDevoxx 2019 authentification
Devoxx 2019 authentification
Pascal Abaziou
 
Présentation d'Octopus Micro Finance
Présentation d'Octopus Micro FinancePrésentation d'Octopus Micro Finance
Présentation d'Octopus Micro Finance
Pierre Pezziardi
 
Sécurité du paiement mobile
Sécurité du paiement mobileSécurité du paiement mobile
Sécurité du paiement mobile
Michel-Ange Camhi
 
M2 T Paiement Via Mobile
M2 T Paiement Via MobileM2 T Paiement Via Mobile
M2 T Paiement Via Mobile
mmmaroc
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
ISACA Chapitre de Québec
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
Sylvain Maret
 
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNETBusiness case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
Matthieu DEMOOR
 
Bpifrance Le Lab - Infographie - Les Fintech
Bpifrance Le Lab - Infographie - Les FintechBpifrance Le Lab - Infographie - Les Fintech
Bpifrance Le Lab - Infographie - Les Fintech
Bpifrance
 
Dictao Présentation Institutionnelle
Dictao Présentation InstitutionnelleDictao Présentation Institutionnelle
Dictao Présentation Institutionnelle
Dictao
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
 
GlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures NumériquesGlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures Numériques
Pascal CARRERE
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
ISACA Chapitre de Québec
 
201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone
Leonard Moustacchis
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électronique
Sage france
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
Cyber Security Alliance
 
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Sage france
 
Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2Raouf Jaziri
 
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesCAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
Clément OUDOT
 
20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx
ulrichdjofang
 
Presentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptPresentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).ppt
Tijan Watt
 
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
Amaury de L'ESTOILE
 

Contenu connexe

Tendances

Devoxx 2019 authentification
Devoxx 2019 authentificationDevoxx 2019 authentification
Devoxx 2019 authentification
Pascal Abaziou
 
Présentation d'Octopus Micro Finance
Présentation d'Octopus Micro FinancePrésentation d'Octopus Micro Finance
Présentation d'Octopus Micro Finance
Pierre Pezziardi
 
Sécurité du paiement mobile
Sécurité du paiement mobileSécurité du paiement mobile
Sécurité du paiement mobile
Michel-Ange Camhi
 
M2 T Paiement Via Mobile
M2 T Paiement Via MobileM2 T Paiement Via Mobile
M2 T Paiement Via Mobile
mmmaroc
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
ISACA Chapitre de Québec
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
Sylvain Maret
 
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNETBusiness case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
Matthieu DEMOOR
 
Bpifrance Le Lab - Infographie - Les Fintech
Bpifrance Le Lab - Infographie - Les FintechBpifrance Le Lab - Infographie - Les Fintech
Bpifrance Le Lab - Infographie - Les Fintech
Bpifrance
 
Dictao Présentation Institutionnelle
Dictao Présentation InstitutionnelleDictao Présentation Institutionnelle
Dictao Présentation Institutionnelle
Dictao
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
 
GlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures NumériquesGlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures Numériques
Pascal CARRERE
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
ISACA Chapitre de Québec
 

Tendances (13)

Devoxx 2019 authentification
Devoxx 2019 authentificationDevoxx 2019 authentification
Devoxx 2019 authentification
 
Présentation d'Octopus Micro Finance
Présentation d'Octopus Micro FinancePrésentation d'Octopus Micro Finance
Présentation d'Octopus Micro Finance
 
Sécurité du paiement mobile
Sécurité du paiement mobileSécurité du paiement mobile
Sécurité du paiement mobile
 
M2 T Paiement Via Mobile
M2 T Paiement Via MobileM2 T Paiement Via Mobile
M2 T Paiement Via Mobile
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
 
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNETBusiness case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
 
Bpifrance Le Lab - Infographie - Les Fintech
Bpifrance Le Lab - Infographie - Les FintechBpifrance Le Lab - Infographie - Les Fintech
Bpifrance Le Lab - Infographie - Les Fintech
 
Dictao Présentation Institutionnelle
Dictao Présentation InstitutionnelleDictao Présentation Institutionnelle
Dictao Présentation Institutionnelle
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
GlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures NumériquesGlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures Numériques
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 

Similaire à DSP2 standards, sécurité, quels impacts wavestone

201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone
Leonard Moustacchis
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électronique
Sage france
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
Cyber Security Alliance
 
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Sage france
 
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesCAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
Clément OUDOT
 
20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx
ulrichdjofang
 
Presentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptPresentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).ppt
Tijan Watt
 
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
Amaury de L'ESTOILE
 
OIDC jusque dans les applications mobiles
OIDC jusque dans les applications mobilesOIDC jusque dans les applications mobiles
OIDC jusque dans les applications mobiles
xavierguimard
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
Microsoft Technet France
 
CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesClément OUDOT
 
Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...
Luxembourg Institute of Science and Technology
 
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Damien Boissin
 
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges FonctionnelConduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
Mohamed Sabra
 
Le e-paiement par Payzen
Le e-paiement par PayzenLe e-paiement par Payzen
Le e-paiement par Payzen
echangeurba
 
3 certificats et csa - claire lenain
3 certificats et csa - claire lenain3 certificats et csa - claire lenain
3 certificats et csa - claire lenainASIP Santé
 
Octopus logiciel de microfinance open source
Octopus logiciel de microfinance open sourceOctopus logiciel de microfinance open source
Octopus logiciel de microfinance open sourcevincent.biot
 
Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers 09022011Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers 09022011SaaS Guru
 

Similaire à DSP2 standards, sécurité, quels impacts wavestone (20)

201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électronique
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
 
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?Mise en conformité de votre Trésorerie : comment réussir votre projet ?
Mise en conformité de votre Trésorerie : comment réussir votre projet ?
 
Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2
 
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesCAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
 
20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx20170318_club_banque_ia_bloackchain_0.pptx
20170318_club_banque_ia_bloackchain_0.pptx
 
Presentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).pptPresentation_Portable_Paie(v2_2).ppt
Presentation_Portable_Paie(v2_2).ppt
 
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
Roomn2017harmonietechnologiequandmesclientsgrentlaccsleursdonnes 170308141540
 
OIDC jusque dans les applications mobiles
OIDC jusque dans les applications mobilesOIDC jusque dans les applications mobiles
OIDC jusque dans les applications mobiles
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemples
 
Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...Solution standard de compensation appliquée à une architecture e business séc...
Solution standard de compensation appliquée à une architecture e business séc...
 
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
 
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges FonctionnelConduite d'un projet informatique - Cahier des Charges Fonctionnel
Conduite d'un projet informatique - Cahier des Charges Fonctionnel
 
Le e-paiement par Payzen
Le e-paiement par PayzenLe e-paiement par Payzen
Le e-paiement par Payzen
 
3 certificats et csa - claire lenain
3 certificats et csa - claire lenain3 certificats et csa - claire lenain
3 certificats et csa - claire lenain
 
Octopus logiciel de microfinance open source
Octopus logiciel de microfinance open sourceOctopus logiciel de microfinance open source
Octopus logiciel de microfinance open source
 
Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers 09022011Présentation du club banques et etablissements financiers 09022011
Présentation du club banques et etablissements financiers 09022011
 

Plus de Bertrand Carlier

2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project
Bertrand Carlier
 
Identiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundationsIdentiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundations
Bertrand Carlier
 
Identiverse - Microservices Security
Identiverse - Microservices SecurityIdentiverse - Microservices Security
Identiverse - Microservices Security
Bertrand Carlier
 
CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?
Bertrand Carlier
 
Wavestone forgerock banking demo
Wavestone forgerock banking demoWavestone forgerock banking demo
Wavestone forgerock banking demo
Bertrand Carlier
 
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoTParis Identity Tech Talk IoT
Paris Identity Tech Talk IoT
Bertrand Carlier
 

Plus de Bertrand Carlier (6)

2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project
 
Identiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundationsIdentiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundations
 
Identiverse - Microservices Security
Identiverse - Microservices SecurityIdentiverse - Microservices Security
Identiverse - Microservices Security
 
CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?
 
Wavestone forgerock banking demo
Wavestone forgerock banking demoWavestone forgerock banking demo
Wavestone forgerock banking demo
 
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoTParis Identity Tech Talk IoT
Paris Identity Tech Talk IoT
 

Dernier

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 

Dernier (6)

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 

DSP2 standards, sécurité, quels impacts wavestone

  • 1. Directive Services de Paiement 2 Standards, sécurité, quels impacts? Matinée du 25 avril 2017 Bertrand CARLIER bertrand.carlier@wavestone.com @bertrandcarlier
  • 2. confidentiel | © WAVESTONE 2confidentiel | © WAVESTONE 2 API or DIE Report from the Economist Intelligence Unit ” ” By 2020 bankers expect more money will flow via fintech firms than traditional retail banks
  • 3. confidentiel | © WAVESTONE 3 Que requiert la DSP2? La DSP2 (Directive sur les Services de Paiement) définit 3 services : Informations de compte ▪ Cas d’usage : agrégateur multi-bancaire ▪ Acteurs : AISP (Account Information Service Provider) Initiation de paiement ▪ Cas d’usage : initiation d’un paiement par un tiers ▪ Acteurs : PISP (Payment Initiation Service Provider) Demande de couverture d’un paiement ▪ Cas d’usage : demande OK/NOK de couverture d’un paiement ▪ Acteurs : PIISP (institutions bancaires) Requiert une authentification multi-facteur du client final L’accès aux services DSP2 de la part d’un acteur requiert l’enregistrement auprès d’une Autorité d’Enregistrement en plus d’un enregistrement auprès de l’AS PSP
  • 4. confidentiel | © WAVESTONE 4 Quels standards d’échange ? Quels outils ? 01
  • 5. confidentiel | © WAVESTONE 5 / Les standards techniques sont connus et matures : HTTP, REST, JSON, OAuth2, OpenID Connect… / …mais il n’existe aucun standard d’API bancaire qui fasse référence / La DSP2 – et les guides d’implémentation (RTS) publiés par l’EBA – sont contraignants mais ne constituent pas une spécification SE CONFORMER Quels standards adopter ? Standards Open Banking
  • 6. confidentiel | © WAVESTONE 6 Adopter un standard simplifie le travail de définition des APIs nécessaires / Une consolidation de standards dans de futures versions n’est pas à exclure Intégrer un groupe de travail de standardisation est un moyen d’enrichir sa réflexion et de ne pas simplement subir / Les principaux acteurs bancaires français s’intéressent aux travaux de STET Définir seul son propre standard d’interface est sans doute la seule option à ne pas suivre! Standards et solution sont intimement liés SE CONFORMER Le marché est encore jeune, constitué d’acteurs de taille modeste / Majoritairement mono-standard / Vulnérables à des acquisitions externes Par ailleurs, des questions de stratégie sont à évaluer : / Build vs Buy / On-premises vs SaaS / Couverture DSP2 tactique ou OpenAPI stratégique
  • 7. confidentiel | © WAVESTONE 7 Quelle sécurité pour les APIs ? Quels standards d’échange ? Quels outils ? 01 02
  • 8. confidentiel | © WAVESTONE 8 AS PSP Client Authorization server API Tous types de consommateurs - app mobile, serveur, objet connecté, etc. - maîtrisé ou tierce partie (AISP, PISP) OAuth2.0 / Un standard mature / Adapté aux principaux cas d’usage Des compléments de spécifications à utiliser le cas échéant / Contrôle fin sur l’authentification / SSO entre applications mobiles / Appels chaînés d’APIs & impersonnation / Protection contre le vol de jeton / etc. La sécurité des APIs – Les bases S’ADAPTER Access token
  • 9. confidentiel | © WAVESTONE 9 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers Les exigences de la DSP2 en matière d’authentification & d’ouverture des données entraînent un besoin plus pointu encore
  • 10. confidentiel | © WAVESTONE 10 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
  • 11. confidentiel | © WAVESTONE 11 S’ADAPTER Authentification contextuelle : le besoin Opération très sensible Authentification forte / transaction Ajout de bénéficiaire Opération sensible Authentification simple / session Virement interne Données personnelles Authentification simple / 1 semaineMétéo des comptes Notifications personnelles Authentification simple / 1 mois Notification Le niveau d’authentification dépend / De la nature de la transaction / De ses caractéristiques (montant, compte cible, etc.) / Du contexte utilisateur / Des habitudes utilisateurs / etc.
  • 12. confidentiel | © WAVESTONE 12 Authentification contextuelle : la solution S’ADAPTER / Les standards sont écrits dans cette logique initiée par le client / Les solutions du marché fonctionnent comme ça / Mais les besoins sur le terrain sont différents ! Ce que l’on voit fréquemment Jeton pour le Service A (LOA x) Je souhaite accéder au service A avec LOA x Je veux accéder au service A, il me faut donc le LOA x (Level of Assurance) Jeton pour le Service A (LOA x) Je souhaite accéder au service A Le service A requiert le LOA x Ce vers quoi il faut tendre / Le serveur d’autorisation doit prendre la décision en fonction de la sensibilité de l’opération et du contexte / Ce fonctionnement de l’authorization server est permis mais pas décrit / Encore beaucoup de déploiements spécifiques Client Authorization server Client Authorization server
  • 13. confidentiel | © WAVESTONE 13 Des besoins spécifiques dans le cadre de la DSP2 S’ADAPTER Authentification contextuelle Protection contre le vol de jeton Ajustement du niveau d’authentification en fonction de la sensibilité de l’API consommée Rendre inopérant le vol d’un jeton de sécurité et ne pas dépendre de la sécurité d’un terminal non maîtrisé ou d’un tiers
  • 14. confidentiel | © WAVESTONE 14 Protection contre le vol de jeton : le besoin S’ADAPTER Authorization server API (Resource server) Authorization server API (Resource server) Aggrégateur Le principe même de « bearer token » entraîne un risque important lors du vol de ce dernier. La détection du vol étant très difficile, seule l’expiration du jeton est une mesure relativement efficace Vol de jeton Dans un contexte d’intermédiation (eg. DSP2), un tiers peut se retrouver en possession de très nombreux jetons. Le propriétaire de l’API est à la merci de ce tiers et de son niveau de sécurité Vol d’une base de jetons
  • 15. confidentiel | © WAVESTONE 15 ClientAuthorization server API Token Binding / La négociation à deux (ou trois) composants permet de lier un jeton (ou un cookie) à une clé publique et la clé privée associée / Le client doit prouver qu’il possède la clé privée correspondante en établissant une connexion TLS mutuelle / Le jeton contient (un hash de) la clé publique du client, distincte pour chaque serveur d’API / Si le jeton (ou cookie) est intercepté, il est inutilisable / Requiert compatibilité du client et des serveurs › Edge, IE & Chrome disponibles en channels dev › Module Apache disponible Protection contre le vol de jeton : la solution S’ADAPTER Ok, vois donc avec l’AS et ce tokenBindingID Génération d’un biclé pour l’API cible Je voudrais un jeton avec ce tokenBindingID Le voici Je souhaite un accès, voici ma clé publique (TLS mutuel) Voici mon jeton, lié à ma clé publique et tokenBindingID (TLS mutuel)
  • 16. confidentiel | © WAVESTONE 16 Comment en tirer partie ? Quels standards d’échange ? Quels outils ? Quelle sécurité pour les APIs ? 01 02 03
  • 17. confidentiel | © WAVESTONE 17 Quelle organisation pour innover? INNOVER Collaboration avec les fintechs Partenariat? Incubation? Acquisition? Identification des nouveaux usages Expérimentation Viser au delà du périmètre imposé par la DSP2 : Épargne, crédit, IoT, etc. Laboratoire interne Outsourcing Open Innovation
  • 19. PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats
  • 20. Directive Services de Paiement 2 Standards, sécurité, quels impacts? Matinée du 25 avril 2017 Bertrand CARLIER Senior Manager Wavestone Léonard MOUSTACCHIS Senior Customer Engineer Forgerock Jean DIEDERICH Partner Wavestone Clément CŒURDEUIL Président Budget Insight