REVUE BANQUE CLUB BANQUE DU 16 FEVRIER … · François BEAUVOIS, Commissaire de Police à la sous-direction de lutte contre la cybercriminalité, Police nationale . Gestion, sécurité

REVUE BANQUE

CLUB BANQUE DU 16 FEVRIER 2016

Cybersécurité vs digital Nouveaux risques, nouvelles réponses

Président de séance : Olivier PERRIN, Responsable de l’activité conseil paiements, Sopra Banking Software Tour d’horizon de la cybersécurité : - Quels sont les enjeux de sécurité liés au numérique ? - Comment détecter et lutter contre les nouvelles attaques ? François BEAUVOIS, Commissaire de Police à la sous-direction de lutte contre la cybercriminalité, Police nationale Gestion, sécurité des données, interaction entre les banques et tiers de paiement Pascale-Marie BRIEN, Senior Policy Adviser European Banking Federation Face à un business model du digital en construction (évolutions technologiques, aux nouvelles menaces et aux nouveaux usages) - Quel dispositif de sécurité ? - Quelle maitrise des risques informatiques ? Thierry OLIVIER, Responsable de la Sécurité des Systèmes d'Information et IT Risk Manager, Société Générale

La société Téléscribe a rédigé ce compte rendu. Pour faire appel à ses services: www.telescribe.fr

Revue Banque –Club banque du 16 février 2016 2

Table des matières

TOUR D’HORIZON DE LA CYBERSECURITE : QUELS SONT LES ENJEUX DE SECURITE LIES AU NUMERIQUE ? .............................................................................................. 5

COMMENT DETECTER ET LUTTER CONTRE LES NOUVELLES ATTAQUES ? .............. 7

GESTION, SECURITE DES DONNEES, INTERACTION ENTRE LES BANQUES ET TIERS DE PAIEMENT ................................................................................................................................... 11

FACE A UN BUSINESS MODEL DU DIGITAL EN CONSTRUCTION (EVOLUTIONS TECHNOLOGIQUES, NOUVELLES MENACES ET NOUVEAUX USAGES) ........................ 15

QUESTIONS ........................................................................................................................................ 24

Auditorium FBF 18 rue La Fayette 75009 Paris http://www.revue-banque.fr

http://www.revue-banque.fr/


M Olivier PERRIN Je me présente, je suis Olivier PERRIN, en charge du conseil monétique et moyens de paiement au sein de Sopra Banking Software. J’ai la lourde tâche de présider ce Club Banque sur la Cybersécurité vs digital. L’objectif de ce soir est de pouvoir délivrer trois points de vue sur l’adéquation entre cybersécurité et les enjeux du digital. Quels sont les nouveaux risques et les nouvelles réponses à ces enjeux ? Ce soir, dans un premier temps, je vous délivrerai un peu le décor qui sous-tend ces enjeux et je laisserai nos invités du Club Banque délivrer trois points de vue. Ce soir, nous accueillons :

- François BEAUVOIS, Commissaire de police en charge de la lutte contre la cybercriminalité à la sous-direction contre la cybercriminalité de la Police nationale, ancien analyste financier. Il fera un tour d’horizon de la cybercriminalité et de la cybersécurité ;

- Pascale-Marie BRIEN qui est responsable du développement, de la stratégie et des objectifs dans le domaine des paiements à la Fédération des banques européennes. Elle présentera, dans le cadre de l’ouverture des marchés bancaires, tout le volet réglementaire lié à la cybersécurité et en particulier dans le contexte de la DSP2 ;

- Thierry OLIVIER, RSSI du Groupe Société Générale. Il clôturera ces trois interventions sur la vision du Groupe Société Générale, quant à l’équilibre à donner entre les contraintes de la cybersécurité et l’ergonomie exigée par le digital pour pouvoir adresser une réponse client et un business model profitable pour le monde bancaire.

Je vous propose, pour pouvoir tenir le timing, de poser vos questions en fin de séance. Tout d’abord, en termes d’introduction, l’idée était de vous expliquer en quoi Sopra Banking Software intervenait dans le cadre du Club Banque. On intervient en tant que S2I, quatrième S2I européenne avec 38 000 salariés et 3,5 milliards d’euros de chiffre d’affaires. On est très axé, en fait, sur la transformation digitale et en particulier dans le marché bancaire, qui est un de nos premiers marchés. À ce titre, on intervient à la fois en amont et en aval du déploiement de projet sur tout ce qui est cybersécurité. Aujourd’hui, l’enjeu, pour nous, est lié à la transformation digitale. On remarque, depuis 2015, une représentation du monde du digital et de la donnée de plus en plus prégnant. Pour vous donner un exemple, la capitalisation des GAFA et des NATU dépasse 1 500 milliards d’euros. Ces sociétés sont dédiées aux données et dans ce contexte-là, elles entraînent l’économie globale autour de cette donnée. Cela veut dire que cette donnée est en train de devenir un enjeu stratégique et un asset aussi pour le monde de l’entreprise. Cette capitalisation en est un des exemples. On se retrouve aussi sur un principe d’enjeu stratégique. Ces données, utilisées pour valoriser un certain nombre de services, ont besoin d’être protégées, puisqu’à partir du moment où cela devient un enjeu, à la fois en termes de business models mais aussi en termes d’assets, elles subissent un certain nombre d’attaques et avec une




croissance en termes de cyberattaques. Je laisserai François BEAUVOIS vous délivrer un peu plus dans le détail ces éléments. On a des références, par exemple, au niveau d’une étude Juniper, citée par le FMI : pour 2019, le coût des cyberattaques est évalué aux alentours de 2 100 milliards de dollars. Cela veut dire que l’on est sur des enjeux financiers pour l’économie extrêmement disproportionnés par rapport à la puissance de ces attaques. Cela nécessite donc un investissement de plus en plus important autour de cette protection de donnée et, entre autres, de trouver des méthodes qui vont permettre d’adapter le monde du digital à cette protection de donnée. Le deuxième élément important est que, dans le cadre de la DSP2 et de la libéralisation des marchés, notamment européens, on a une autorité réglementaire qui délivre un règlement visant à ouvrir le monde de la donnée dans le monde financier et dans le monde des paiements. Cela est réalisé avec des éléments et des obligations afin de permettre à de nouveaux acteurs du paiement ou des services bancaires de type initiation de paiement, accès à une information de compte ou agrégateur de compte, d’accéder à ces données bancaires au niveau de la communauté bancaire et des DSP. On est en train de basculer sur la problématique de l’open banking, avec obligation d’ouvrir son système d’information. Dans ce contexte-là, la DSP2 délivre un volet sécurité extrêmement important pour pouvoir garantir un accès sécurisé à la donnée et éviter de laisser des brèches dans le cadre de cyberattaques. Il y a donc une nécessité d’investir dans ces problématiques d’échanges de données entre banques et entre payment services provider, opérateurs de paiement. J’aborde le dernier volet. Aujourd’hui, dans ce contexte du digital et de la sécurité, Thierry OLIVIER nous délivrera son point de vue sur la question : comment arrive-t-on à associer et à avoir un équilibre entre la sécurité et l’authentification forte réclamée dans le cadre de la DSP2 ? Cela peut tuer le business par des systèmes de sécurité, entre autres, au niveau du digital, de type château fort qui fermeraient l’accès au service et limiteraient cette fluidité demandée au niveau digital. On le sait aujourd’hui, un certain nombre d’applications digitales et d’API mobiles ne rencontrent pas le succès escompté du fait d’un enrôlement des clients et d’un parc pour clients trop complexe. L’objectif est donc bien de pouvoir trouver les moyens d’équilibrer le côté sécurisation avec la fluidité et l’ergonomie du digital. Je laisse François BEAUVOIS débuter son intervention sur la partie Tour d’horizon de la cybersécurité.



1

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

©

Cop

yrig

ht S

opra

Ban

king

Sof

twar

e 20

15

Cyber sécurité versus Digital :

Nouveaux Risques

Nouvelles réponses

Olivier PERRIN 16/02/2016

2

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

Intervenants Responsable du Conseil Monétique et Moyen de Paiement Sopra Banking Software. Plus de 20 ans d’expérience dans le déploiement de solution de paiement notamment Digital auprès des Directions Monétique et Moyen de Paiement des banques européennes et Direction de Trésorerie de Corporate au sein de MasterCard, Visa puis de SSII.

Olivier PERRIN Responsable Conseil Monétique et Moyen de Paiement SOPRA Banking Software [email protected] +33 6 31 79 47 94

Ancien analyste financier, et après plusieurs postes de commissaires dans des circonscription comme Quimper ou Paris, Commissaire de Police en charge de la lutte contre la cybercriminalité à la sous-direction de lutte contre la cybercriminalité.

François BEAUVOIS Commissaire de Police Police Nationale Sous-Direction de lutte contre la cybercriminalités François?beauvois@ +33 6 31 79 47 94

Responsable du développement de la stratégie et des objectifs de la Fédération des Banques Européenne dans le domaine des paiements afin de soutenir les initiatives des Banques Européennes en particulier sur les nouveaux moyens de paiement. Ancienne Lobbyist de la Fédération des Banques Françaises auprès de la Commission Européenne. Membre du groupe de travail de la Commission Européenne pour la prévention de la fraude aux moyens de paiement. Ancienne Responsable Juridique d’Europay International.

Pascale Marie BRIEN Senior Policy Adviser European Banking Federation [email protected] +33

Depuis 2015 RSSI du Groupe Société Générale après avoir assuré la responsabilité de la gestion des risques IT et opérationnel du Groupe. Ancien RSSI de SFR de 2006 à 2010

Thierry OLIVIER Responsable Sécurité des Systèmes d’Information Groupe Société Générale [email protected] +33

mailto:[email protected]











http://www.revue-banque.fr/medias/content/Revue/images/11/1123734/rba-image-1123734.jpeg

3

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

Effectif 35,000

Europe 27,000

ROW 8,000

Chiffre d’affaires 2014 (pro forma) 3 370,1 M€

Plus +600 clients dans 70 pays

L’expertise réunie de 6 grands éditeurs Sopra (Evolan), Delta Informatique, Callataÿ & Wouters, Tieto Financial Services UK, COR&FJA Banking Solutions GmbH, Steria Advanced Payments Effectif en mars 2014 : près de 2000 Chiffre d'affaires 2014 pro forma : 270 millions € Une offre complète pour les paiements et la monétique : processing, nouveaux services (digital wallets, « overlay » services), core system pour établissements de paiement

Sopra-Steria Un nouveau leader européen de la transformation digital

27%

30% 10%

3%

30%

Services Financiers

Energie, Telecom &TransportIndustrie

Autre

Secteur Public &Défense

Sopra Banking Software

4

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

• GAFA / NATU : La plus grande capitalisation boursière de l'histoire!

• Technologies : le taux d'adoption augmente !

• SNCF : Mon nouveau concurrent ce n’est pas DB ni l’avion : c’est Google!

• Digital Officer : au sein du comité exécutif!

• Le client au centre : le client veut tout faire !

• « Uberisation » : Un nouveau venu bouleverse le marché !

La transformation Digitale touche a banque en son cœur…

2016

4

5

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

5

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

…et fait de la donnée un asset stratégique qu’il faut protéger Les données bancaires de

transaction ou d’authentification permettent d’authentifier les consommateurs digitaux pour déboucler les transactions et analyser leur comportement

Le vol de ces données bancaires auprès des opérateurs qui les stockent remet en question la transaction et le business model digital tout entier

« L’information sur l’argent est devenu plus important que l’argent lui-même » Walter

WRISTON, CEO Citibank 1967 – 1984 « La Banque c’est juste des bits et des bytes »

John REED CEO Citibank 1984 - 1998

6

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

6

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

L’Open Banking facilite les cyberattaques

L’accès aux données bancaires incite à repenser la politique de sécurité : L’Open Banking un enjeu majeur pour les Payments Services Provider et

les banques Plutôt que de subir, de nombreux opérateurs ouvre ou pousse à ouvrir

l’accès aux données bancaires pour les services de paiement et les services bancaires

Garantir la protection des données partout dans le monde un nouveau challenge Le cloud pose la problématique de protection des données quelque soit le lieu où est stocké la donnée. Les OIV ont obligation de garantir un niveau de sécurité maximum pour la protection des données. Les banques en font partie

7

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

7

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

Mais trop de sécurité tue le Digital

Protéger sans tomber dans le syndrome du « château fort » qui va à l’encontre de l’usage du Digital Maintenir la confiance tout en laissant un accès simple au service Digital Une interface non intuitive peut remettre en question le succès d’un

service

S’assurer de l’identité des donneurs d’ordre sans créer un parcours client qui créé des abandons de commande de service

8

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

8

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

Sécuriser l’Open Banking

Controlled Access to Payment Service (CAPS) • Plus sécurisé et contrôlé qu’un accès libre aux comptes bancaires • Les TPP doivent être certifiés • Il doit y avoir des contrats entre les banques et les commerçants qui

clarifient la répartition des responsabilités • Contrôle d’accès accordés aux clients

Ce nouveau paradigme nécessite un processus collaboratif entre tous les PSP et entre le privé et le public

Open Standard Interface au service de l’Open Payment et l’Open Banking

9

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

9

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

Et déployer des solutions user friendly

Le machine learning pour identifier les cas de fraude et d’attaque

Contre l’usurpation d’identité : lD numérique

Déployer le Privacy by Design

Adapter l’authentification forte aux risques : enrôlement adapté, récurrent inadapté

10

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015

10

© C

opyr

ight

Sop

ra B

anki

ng S

oftw

are

2015


Tour d’horizon de la cybersécurité : Quels sont les enjeux de sécurité liés au numérique ? M. François BEAUVOIS Bonjour, je vais faire une présentation parfaitement anxiogène, histoire de vous mettre bien dans le bain. Je ne vais pas faire du pur bancaire, le but est de vous présenter la cybercriminalité dans son ensemble parce qu’habituellement, j’ai plutôt affaire à des RSSI, qui n’ont pas le risque, etc. Concrètement, qu’est-ce que cela recouvre ? Déjà, juste pour nous présenter un peu, nous sommes la Police judiciaire. Sous le régime Clemenceau, en 1907, les routes ne sont pas sûres, on crée donc les premières Brigades du Tigre, qui ont alimenté l’imaginaire depuis. Pour que vous voyiez un peu où nous sommes, j’ai l’habitude de nous présenter par rapport à nos petits camarades, surtout quand vous avez déjà eu affaire à nos collègues. En banque, vous êtes plutôt en relation avec les services financiers. Globalement, vous avez la DGSI qui vous connaissez, de l’autre côté, la Préfecture de police, pour les Parisiens, avec le Château des rentiers, le service financier. Pour tout ce qui n’est pas Paris petite couronne, on a la Police nationale qui contient les fameuses Brigades du Tigre avec Clemenceau qui traient donc de tout. Au sein de la Police judiciaire de la DCPJ, on a les offices. Quand vous entendez parler de tonnes de drogues, etc., c’est la Police judiciaire. En son sein, vous avez la sous-direction antiterroriste, la police technique et scientifique et la sous-direction de lutte contre la cybercriminalité, dans laquelle on s’inscrit. C’est relativement récent, en termes de service public, on se dit que ce n’est pas fou. On essaie un peu de voir pourquoi on en est là et ce que cela veut dire. J’ai un peu regardé au niveau des enjeux. Je suis allé chercher les infographies. Au niveau des enjeux, qu’avons-nous ? On a des enjeux de données. On a demandé aux gens de quantifier la valeur de leurs données personnelles, la valeur dépend des pays. En tant que personnes faisant partie d’institutions financières, pour la plupart, vous détenez des données financières, mais aussi des données personnelles, plus généralement. Les données personnelles sont de plus en plus encadrées juridiquement et, en tant que dépositaires, les pouvoirs publics attendent de vous un rôle. Nous vous interrogerons là-dessus, je pense notamment à la problématique Safe Harbor qui concerne Facebook, mais pas uniquement. Identifiant, mot de passe sont quantifiés à 70 euros. S’agissant des informations de santé, on a des décalages selon les pays. Comme vous le voyez, c’est beaucoup plus important pour les États-Unis. Vous avez le système de santé, la Sécurité sociale, les informations bancaires qui sont moins valorisées que ce que l’on pourrait penser alors que l’on fait quand même beaucoup de choses avec des informations bancaires. Concernant l’historique d’achat, la géolocalisation, vous noterez qu’il y a une disproportion terrible de perception avec nos collègues américains. Ils estiment cela à 35 euros et nous à 4 euros. État orwellien, syndrome de la surveillance, Snowden, etc. Il en est de même avec l’adresse postale. Après, cela dépend de ce que l’on peut faire avec ces données. La partie état civil, c’est plus pour la curiosité. Les Japonais y accordent une importance particulière.




Pour continuer sur les enjeux, économiquement, quel est l’impact du vol de données, quelle est la gravité ? Cela génère une mauvaise réputation, une perte de confiance. Je pense à l’affaire Domino’s Pizza, par exemple. Cela vous fait quand même une détestable publicité, avec des départs de collaborateurs, des pertes financières, des pénalités financières, sachant que tout est à la fois lié et cumulatif. Ensuite, pour illustrer le début 2015, nous avons 2 millions d’abonnés dont les données personnelles ont été piratées. Tout cela posera des questions : est-ce qu’il n’y aura pas, un jour, une obligation au moins de moyens, si ce n’est de résultat, sur la protection des données personnelles ? Plus classiquement, Ryanair s’est fait voler 5 millions de dollars qui devaient servir à payer le kérosène, par exemple. Au niveau des contenus illicites, c’est un aparté. On travaille sur les contenus illicites au-delà de ce que j’ai mis ensuite, à savoir les contenus pédopornos et apologies diverses. Cela comprend aussi le phishing, un vecteur d’escroquerie assez fort dans ce que l’on surveille. Je vais vous illustrer quelques affaires que le service a eu à connaître pour que vous ayez en tête ce que c’est concrètement. On a une image assez variable, selon le secteur d’activité, mais encore une fois, cela peut vous toucher, cela vous a touché ou cela vous touchera. On part sur une histoire. En 2010, un pirate obtient les mots de passe d’un spécialiste en informatique. En 2014, cette personne est administrateur système d’une société. Le problème est qu’il n’a pas changé ses mots de passe. Il a réutilisé ses mots de passe pour la société, ce qui est une erreur. En conséquence, le pirate se retrouve dans le système de la société, ce qui est beaucoup plus gênant. En conclusion, il fait chanter, non pas la société, mais directement l’administrateur système. J’attire votre attention sur ce point : voilà comment vous pouvez avoir une personne compromise, alors qu’en plus, elle est de bonne foi. Cela est gênant, car elle a toutes les clés. Le gardien des clés est compromis, mais en plus, il est de bonne foi donc vous aurez du mal à le détecter. Ce n’est pas quelqu’un qui joue, qui boit, il a un comportement tout à fait normal, mais il a fait une erreur quatre ans plus tôt. Cette personne est venue nous voir. Elle a eu le bon réflexe parce que dès que l’on met le doigt dans le chantage, comme vous le savez, cela finit toujours mal. Concernant l’enquête, nous avons eu de la chance, ils ont fait des erreurs. On a analysé les flux et on s’est rendu compte que cela bornait en Roumanie et en Allemagne. Après, la coopération est variable, sur les pays. Je n’en dirais pas plus, mais, tout de même, il n’y a pas que l’utilisateur final qui fait des erreurs, le pirate aussi. Étant donné que c’est un maître chanteur, il est en contact avec la victime. Il était un peu naïf et a accepté un rendez-vous sur Paris, ce qui nous a permis de l’interpeler. On est allé chez lui pour être sûr, notamment en Allemagne. On avait deux adresses que l’on a fournies à la police allemande. Cela nous a permis de découvrir la base de données de la victime. Il a fallu qu’il s’explique, en audition sur ce point, comment il avait, dans son système la base de données de quelqu’un d’autre, ce qui donne toujours lieu à des scènes intéressantes. En plus, on a trouvé 1 700 000 numéros de cartes bleues. Ce sont autant de fraudes en moins.




Autant il y a des métiers de police dans lesquels vous vous sentez plus ou moins utiles, selon les jours, car cela ne se passe pas toujours comme vous le voulez, mais là, nous étions contents et nous avons eu un article dans le journal. Une autre chose peut paraître un peu critique. On a un peu l’impression d’être dans une niche, mais sous ce barbarisme immonde qui s’appelle l’IPBX se trouve le téléphone par IP, qui équipe beaucoup de sociétés actuellement. Globalement, cela permet de se faire pirater comme les grands. Le principe technique est que vous reliez votre système téléphonique à des serveurs informatiques. Le problème est qu’avec le one IP, vu que c’est quelque chose qui, pendant longtemps, n’a pas été négligé, mais sous-estimé, on se retrouve avec les IPBX qui ont été installés et paramétrés par un stagiaire qui est parti depuis longtemps. Les règles de sécurité n’ont pas été respectées, c’est fou ce que l’on fait avec « admin-admin » comme mot de passe par défaut. Il n’y a même pas besoin d’être un pirate de haut vol. Comment cela fonctionne ? C’est un peu méconnu, mais cela fonctionne très bien, même si je ne vous le recommande pas. Le Premium Raid telephone service est ce que l’on appelle grossièrement un numéro surtaxé, très surtaxé. Cela peut monter à 15 euros la minute. Quel est le principe ? Le pirate loue, auprès des pays qui ont en général une fiscalité souple, qui pratiquent l’off-shore, le Premium Raid service, un serveur de ce type. Ensuite, ils piratent l’IPBX, donc le serveur de téléphone et, de préférence, entre le vendredi 19 heures et le lundi 8 heures, le téléphone va appeler tout le week-end. Quand vous êtes à 15 euros la minute, il y a moyen de faire un certain nombre de choses. Nous avons eu 11 personnes, en quatre mois, qui ont fait 3 millions d’euros. S’il y en a qui veulent se reconvertir, je le déconseille, mais c’est vrai que cela surprend un peu. Je vous parle de l’IPBX, parce que, justement, c’est quelque chose d’assez méconnu et que cela touche tout le monde. C’est la téléphonie IP, cela fait partie des choses à surveiller. En plus, au niveau camouflage, on est remonté à Londres, pour remonter à Paris, ensuite à Dublin, pour finir à Amsterdam. Autant vous dire que l’on avait affaire à des gens assez performants. C’est en cours de jugement, je ne peux donc pas vous raconter la suite.

Comment détecter et lutter contre les nouvelles attaques ? On va attaquer mon sujet, les logiciels malveillants, dits malware (malicious software). Qu’est-ce que c’est ? C’est ce que l’on a appelé, pendant longtemps, des virus. Un virus est un logiciel qui s’installait dans votre ordinateur et qui saccageait tout. Maintenant, c’est très intelligent. Au lieu de rentrer dans votre maison et de tout casser à la barre de fer, il vole les bijoux, les papiers d’identité pour ouvrir des comptes à votre place, etc. On a beaucoup de fonctionnalités, certains font même de la publicité dans votre dos. Ils vous utilisent pour ouvrir un navigateur que vous ne voyez pas. Ils vont cliquer et se faire de la publicité façon Criteo, ad clic, etc., tout ce qui est publicité en ligne où vous êtes rémunérés au clic sur la bannière présente sur un site tout à fait légitime. Par exemple sur lemonde.fr, il y a une bannière sur laquelle vous cliquez, l’intermédiaire récolte de l’argent puisque sa publicité a été performante.




Voilà, on a un niveau de technicité et de fonctionnalités qui est sans limites. Il y a une petite mention particulière pour les financiers. Il y a les keyloggers qui enregistrent les touches, mais aussi les clics catchers, qui enregistrent les clics. C’est-à-dire que quand vous cliquez, vous faites une capture d’écran. C’est pour court-circuiter tout ce qui est clavier virtuel. Pour ceux dont les banques de détail utilisent ce système, pour la banque en ligne, le clavier virtuel n’arrête pas les pirates. Cela sert à tout, cela fait tout, c’est un super couteau suisse. Dans ceux-ci, je vais vous parler des gros qui nous concernent. Les cryptolockers sont des malwares qui peuvent vous tuer une petite société, ou cela peut être dramatique pour une banque, mais en général, vous avez des infrastructures ou des systèmes de sauvegarde qui permettent de limiter la casse. C’est quelque chose qui existe déjà depuis 1989. On est sur des coûts d’installation qui sont quand même peu élevés, de 200 à 500 dollars. Il y a différentes versions qui ont évolué avec le temps. Cela commence par un mail. Comme vous le voyez, c’est propre. Nous n’avons pas le roi du Nigéria qui vous demande de blanchir 2 millions de dollars avec une faute d’orthographe dans un mauvais anglais. Non, c’est terminé, c’est très 2005. C’est un mauvais exemple de ma part, c’est un mail en anglais, mais vous avez la même chose en français, nous ne sommes pas négligés. Vous avez un mail professionnel, propre. Peut-être qu’une faute d’orthographe s’est glissée, mais on a quand même quelque chose de très propre. Et bien sûr, on a le fameux lien. Dans toutes les sociétés, il y en a un qui va cliquer. Une fois, récemment, dans une administration, la personne a cliqué quatre fois de quatre postes différents, car le mail ne voulait pas s’ouvrir. Ce n’est pas le ministère de l’Intérieur. Il y a des jours comme ça, j’ai entendu quelqu’un employer le terme de black Tuesday. Pour la sécurité informatique, il y a des jours sans. Vous avez cela qui s’affiche, c’est le Département de justice américain. Parfois, vous avez Interpol qui va vous casser votre porte. Par contre, l’élément important est que vous devez 200 dollars. Ce n’est pas très élevé. Il y a des cabinets de radiologie auxquels on a demandé 200 000 dollars. On vous explique, par contre, comment aller payer, en monnaie anonyme et vous avez 72 heures. La perversité du système est qu’en plus, ils tiennent leur parole. Si vous payez, ils vont vous donner la clé qui va vous permettre de décrypter, pour la simple et bonne raison que si cela se savait que, que l’on paie ou pas le résultat est le même, les gens arrêteraient de payer. Là, il y a une vraie incitation à payer parce que le fait de payer permet bien de récupérer vos fichiers. Comment cela fonctionne-t-il ? Les infographies ne sont pas de moi. Une fois que c’est infecté par un mail de ce type, il se passe deux choses. D’une part, bien sûr, il y a l’écran que je vous ai indiqué. L’écran est verrouillé, vous ne pouvez que fonctionner dans le formulaire et il commence à encrypter les fichiers. Il commence par les disques réseau, pour être certain, les disques partagés, tout ce qui est cloud, etc., par tout ce qui est Office, Word, Excel, PDF, afin de ne pas se tromper. Il commence à encrypter. Si vous tombez sur des fichiers facture.cc, c’est ça. Il vous les encrypte. C’est là que tout se joue. Soit on tombe sur des amateurs qui ont fait de l’algorithme d’encryptage dans leur garage, et là, il y a une chance, soit vous êtes sur quelque chose de professionnel, voire mieux, ils utilisent une solution du commerce. Dans ce cas, comme vous le savez peut-être, l’encryptage, à notre époque, est encore l’horizon des événements. Peut-être que Google va nous sortir l’ordinateur




quantique dans les années à venir, mais pour l’instant, un encryptage professionnel avec 256 bits, etc., cela reste un souci. De l’autre côté, on donne toutes les informations à la victime pour payer en bitcoins, comment acheter cela en liquide pour payer dans son bureau de tabac le plus proche. On lui donne une clé bitcoin, etc. Il y a deux pistes de réponse. La première est « mieux vaut prévenir que guérir », c’est donc toute la partie sauvegarde. Notre problème est que l’on s’adresse à toutes les entreprises de France. Un grand établissement bancaire peut se permettre des sauvegardes toutes les heures, c’est tout à fait envisageable, mais sur des structures plus légères, c’est beaucoup plus sujet à discussion au pied à pied avec le directeur financier ou le comptable, selon la taille de la structure. Mais cela reste la meilleure solution. Le FBI recommande de payer. En termes de service public, ils sont un peu justes quand même. Vous chercherez, en tapant « FBI ransomware cryptolocker », et vous verrez. De l’autre côté, vous portez plainte, on travaille dessus, vous avez un CERT, etc. Effectivement, si c’est un algorithme de garage ou s’ils ont fait une erreur, le logiciel peut travailler sur une partie de disque dur sans être encrypté et vous avez la clé de décryptage à l’intérieur. Cela peut arriver, mais s’ils font un certain nombre d’erreurs, s’ils ont pris un algorithme de décryptage symétrique, c’est-à-dire que c’est la même clé pour encrypter et décrypter. Si c’est un algorithme asymétrique, c’est une clé pour décrypter et c’est la clé qu’il vous envoie, donc qui n’est pas sur place, pour décrypter. Dans ce cas, c’est plus compliqué. Vous avez Dridex, je pense que les RSSI en ont entendu parler, les autres aussi. C’est le malware bancaire. Il est dit bancaire, parce que, justement, il s’intéresse aux informations bancaires de la victime. Cela commence, comme d’habitude, avec le clic de trop. La particularité de Dridex est qu’il se propage par la pièce jointe. Vous n’avez pas le fameux mail avec un lien que les antivirus et autres systèmes de sécurité cherchent, c’est la pièce jointe. Je n’ai pas mis d’exemple, mais la pièce jointe – ce qui est remarquable – au lieu de faire appel à la bêtise, fait appel à la curiosité. Vous avez une mention, des hiéroglyphes et il est indiqué : « Pour lire ce document, merci d’activer les macros. » En général, dans les politiques de sécurité, les macros sont désactivées. Plutôt que d’aller s’amuser à pirater Office et tout ce qui aurait été horriblement fastidieux pour le pirate, il n’a qu’à demander poliment et puis cela marche. Neuf fois sur dix, quand on veut ouvrir la porte, on sonne et les gens nous ouvrent. À 6 heures du matin, on est pressé, cela évite de casser la porte et on gagne du temps. Ce n’est pas : « Ouvrez, c’est la police ! », mais c’est un peu similaire, on sonne. Il clique donc et une macro Office s’enclenche et va télécharger le virus. Comme vous le voyez au niveau des pièges, on est sur du business. Ce sont des factures, des reçus, etc. Comment cela fonctionne ? Vous recevez le mail en question, vous activez aimablement la macro. Vous avez une première chose qui s’appelle un loader, complètement inoffensif, qui va s’installer et ensuite télécharger les fonctionnalités. En outre, Dridex est très développé, il se met à jour. Ce n’est pas un Windows update, mais c’est un peu le même genre. C’est un peu vexant. Je ne vous cache pas que, pour nous, quand même, avoir des fonctionnalités de type commercial sur un virus, on trouve que c’est un petit peu douteux. Que va-t-il faire ? Il va se mettre à récupérer beaucoup d’informations intéressantes. Au niveau des




fonctionnalités, on a tout. On a trouvé le site internet des banques en dur, dans le code, on a www.bnp, www.societegenerale, toutes les banques. Ce n’est pas une faille de la banque, ils visent toutes les banques. On a des campagnes françaises. Depuis quelques semaines, c’est le tour des Anglais, il n’y a pas de raison. Le virus télécharge les fonctionnalités et va récupérer tous les identifiants que l’on peut capter, il va s’interposer entre le navigateur de la personne et le site internet pour capter tout ce qu’elle saisit : les IBAN, les autorisations de prélèvement, les login/mot de passe, les numéros de carte bleue. Il y a aussi Amazon, etc., tout le e-commerce. Il récupère tout et ce qui nous inquiète encore plus est qu’il est paramétrable. Nous l’avons surpris en flagrant délit de vol de données. Cela peut servir à faire de l’espionnage, à tout, il capture les clics, etc. C’est vraiment la Rolls-Royce du malware bancaire et on a un certain nombre de victimes. Au niveau des zones ciblées, cela tourne. En septembre, c’était la France, en fin d’année, c’étaient les États-Unis et le Japon, puis en début d’année, l’Angleterre. Cela fait partie des thématiques sur lesquelles on travaille parce que l’on retrouve des infections qui touchent beaucoup de machines. Nous avons des parcs de plusieurs milliers de machines et nous y travaillons, justement. Nous avons notamment des enquêtes ouvertes pour résoudre ce problème parce qu’on se retrouve avec, pas forcément d’énormes virements, mais de multiples virements sur le système, comme des fourmis. Les directeurs fraude savent de quoi je parle. Ce sont des petites sommes qui circulent. C’est justement un travail de fourmi. Nous y travaillons pour arriver à la résoudre. C’est un petit exemple de ce que l’on peut trouver. Nous travaillons là-dessus avec une approche un peu différente de l’approche purement judiciaire. Nous essayons de travailler, de collecter toute l’info, de la redigérer, parce que l’on peut tomber assez bas dans la technique. Le but est de rester pédagogique et de parler à tous. Nous avons créé une division au sein de la sous-direction. L’objectif est de collecter toute cette info, de la travailler, de la recouper, pour la valoriser et en faire quelque chose. Lorsque l’on récupère des adresses IP, on peut se dire : « tiens, ce nouveau virus borne sur les mêmes serveurs, donc il est lié et fonctionne de la même manière ». Cela peut permettre de faire ensuite de l’information, du renseignement pour les services de police, mais aussi pour les entreprises et les particuliers. Nous sommes en train de développer un site internet, pour fournir à tous, au moins les informations de base et un point de repère. Je pense notamment aux entreprises qui n’ont pas les moyens de se prémunir, pour avoir une veille minimum. Plutôt que de se faire cambrioler parce que l’on n’a pas fermé la porte à clé – parce que cela arrive souvent – cela permet de réduire le nombre de victimes, en éduquant un peu la population à la sensibilité du cas, pour au moins bloquer les attaques les plus évidentes et ces fameux clics malheureux.



http://www.bnp/

http://www.societegenerale/

Tout droit réservé SDLC

CYBERCRIMINALITÉ ENJEUX

MENACES MOYENS DE LUTTE


PLAN

La direction centrale de la police judiciaire

Les enjeux

Les menaces

Les moyens de lutte


LA DIRECTION CENTRALE DE LA POLICE JUDICIAIRE







LES ENJEUX


01/15 – 2M ABONNÉS PIRATÉS


04/15 - 5M$ VOLÉS A RYANAIR


CONTENUS ILLICTES SUR INTERNET


CHANTAGE AU HACKING

2010

2014


ENQUÊTE

Netflow

IP


INTERPELLATION

Victime en contact avec l’auteur

RDV sur Paris


PERQUISITIONS

Perquisition 2 adresses par BKA

SGBD victime retrouvée

1,7 millions n° CB retrouvés


ATTAQUE IPBX


ATTAQUE


IPBX / PRS

11 3m€

4 Mois


CAMOUFLAGE

Londres

Paris

Dublin

Amsterdam


MALWARES

CRYPTOLOCKER


MALWARE BANCAIRES : DRIDEX


CLICK OF THE DEATH


PROCESSUS



ACTIONS

1

Veiller

2

Collecter

3

Analyser

4

Traiter Anticiper

Commandes (internes/externes)

Initiative (anticipation)

Détection : données brutes

Tri : données expurgées Consolidation: données valorisées

Solution

Orientation


GAME OVER (PAS ZEUS)


Gestion, sécurité des données, interaction entre les banques et tiers de paiement Mme Pascale-Marie BRIEN Bonsoir. J’ai l’impression que je vais être beaucoup moins drôle que la police parce que je vais vous parler d’un drame qui vient de se passer les deux dernières années. Certains anciens collègues présents dans la salle compatiront avec moi. Nous avons beaucoup souffert dans la tentative d’expliquer que la cybersécurité ne souffre aucun compromis. Nous avons été accusés, nous, le monde bancaire, de vouloir refuser l’innovation, la concurrence et d’utiliser la sécurité comme une excuse. On avait beau expliquer à nos interlocuteurs, à Bruxelles et dans les capitales européennes – il n’y a pas que Bruxelles qu’il faut critiquer dans ce domaine – que l’on était responsable de l’argent qui était mis sur les comptes, la DG Concurrence nous a répondu : « Il est temps d’en finir, de mettre fin à votre monopole sur les comptes de paiement ». Nous souhaitions protéger les données personnelles et financières de nos clients. On nous a répondu : « Les données sont protégées, en tout état de cause, parce que nous avons pensé à tout. » Vous verrez plus tard que ce n’est pas nécessairement le cas. Accessoirement, nous protégeons l’intégralité des paiements, ce que nous faisons depuis 30 ans de manière très remarquable. Nous sommes la région du monde la plus sécurisée en termes de moyens de paiement, à commencer par la France et les clients ont confiance dans nos moyens de paiement. Nous avions tous ces défis, et malheureusement, peu de ceux-ci ont été pris en compte, en tout cas par la Commission, lorsque l’on a négocié la directive sur les services de paiement. Cette directive a été adoptée, c’est un acte très politique et son objectif était d’apporter quelques améliorations à une situation qui était un peu chaotique, il faut le reconnaître. Il y a certains acteurs, tels que Sofort, très actif en Allemagne, en Autriche. Il veut essayer de rentrer en Belgique sans la moindre supervision, ils seront supervisés. On note un certain nombre d’améliorations, mais chaque amélioration que la directive a apportée sur les services de paiement, en matière de sécurité, comportait sa faille. On se demande maintenant, deux ans plus tard, si les failles ne sont pas plus importantes que les améliorations qu’elle a apportées. L’Autorité bancaire européenne est chargée d’émettre des standards techniques en niveau 2 et elle ne cache pas son embarras par rapport à ce texte très politique, mais qui a mis de côté toutes les exigences minimales de sécurité. Nous allons essayer de l’aider à trouver les solutions qu’il convient. Nous étions très contents de l’objectif affiché par la directive sur les services de paiement qui devait accroître le niveau de sécurité générale pour l’ensemble. Malheureusement, les failles sont venues très rapidement. Les tiers de paiement, c’est-à-dire ceux qui peuvent initier des ordres de paiement sur internet au nom du consommateur seront réglementés, supervisés. Par contre, ceux qui font de l’agrégation seront simplement enregistrés, comme ceux qui ont accès à vos données bancaires. C’est à croire que les données ont moins de valeur que les paiements. Cependant, nous avons plutôt tendance à penser qu’elles en ont plus parce qu’une initiation de paiement, c’est une transaction donnée de 50 euros, quand vous achetez des chaussures chez Zalando. En revanche, l’ensemble de vos données bancaires sur votre compte d’épargne et celui de votre mari peut avoir plus




de valeur, bien que ce soit les 7 euros. J’ai du mal à croire que cela ne soit pas plus que ça. L’authentification forte lors de l’initiation d’un paiement est généralisée. C’est très bien. Nous allons entrer un peu dans le détail pour voir comment nous allons faire pour que ce ne soit pas, justement, la forteresse sécuritaire, mais les identifiants bancaires pour accéder aux comptes sont accessibles aux tiers. Le client n’est pas censé les avoir donnés aux tiers, mais ceux-ci les ont quand même. C’est-à-dire qu’en tant que banque, je vais continuer à dire à mon client : « Surtout, ne communiquez vos identifiants bancaires à aucun tiers. Si vous le faites, c’est une faute grave, vous êtes 100 % responsable », mais certains tiers pourront avoir accès à ces identifiants bancaires. Je vous promets un cauchemar absolu avec vos clients qui ne sauront plus leurs identifiants bancaires. « Je les donne à Zalando. Non, est-ce que Zalando est un TPP ? Non, ce n’est un vendeur de… je ne sais pas, je les donne quand même. » Vous ne pourrez plus sincèrement avoir un discours cohérent vis-à-vis de vos clients. Un TPP est un tiers de paiement, un third party providers. Ces nouveaux entrants initient des ordres de paiement au nom du client et il y a ceux qui font de l’agrégation. On connaît bien l’agrégation en France. Par contre, l’initiation de paiement, on ne connaît pas bien. Je vais vous donner l’exemple le plus connu, Sofort. Par exemple, en Allemagne, quand vous êtes sur un site internet, comme Zalando, vous achetez une chemise, vous allez avoir le choix entre MasterCard, Visa et Sofort, qui vous garantit que c’est sécurisé et gratuit. Vous allez rentrer dans l’espace Sofort et rentrer votre IBAN et votre code d’accès à votre compte en banque. Sofort va se faire passer pour vous auprès de votre banque. Sofort dit qu’il n’y a pas eu de fraudes ces dernières années qu’ils sont actifs. J’ai moi-même fait une petite enquête, suivi les blogs sur Sofort. Il y a énormément de fraudes. Ce qui se passe, c’est qu’il rembourse de manière systématique, il donne des bons d’achat de 15 euros pour le prochain achat. Finalement, cette fraude n’est pas visible et globalement, je dirais que cela marche parce que c’est en Allemagne. Je ne suis pas certaine, que nous, plus méditerranéens, serions très heureux de ce type de circonstances. Donc, la communication vis-à-vis des clients sera absolument cauchemardesque. La situation dans les pays nordiques est pire parce qu’ils ont digitalisé leur société. Tout le monde a une carte d’identité numérique, qui sert à beaucoup de choses. Elle sert à communiquer avec le gouvernement, avec les hôpitaux, mais également à rentrer dans le compte en banque. C’est-à-dire que vous faites votre banque digitale avec votre carte d’identité, de sorte que si les identifiants sont rendus accessibles à des tiers alors que l’on devait les conserver pour vous, c’est toute l’identité numérique des individus qui va circuler. Malheureusement, avec la DSP2, on n’a pas réussi à expliquer qu’il fallait quand même être un peu plus sérieux dans la manière dont on envisage les choses. On ne peut pas opposer la concurrence, l’innovation et la sécurité. Or c’est ce qui nous a été opposé de manière constante. Pour aggraver les choses avec une petite incursion juridique, les banques doivent rembourser toutes les transactions, même celles initiées par les tiers de paiement. C’est à elles de se retourner contre les tiers de paiement. Deuxièmement, elles ne sont pas censées avoir de contrats avec les tiers de paiement. Vous allez donc devoir vous retourner contre un tiers de paiement avec lequel vous n’avez aucune




relation juridique et dont vous ne savez pas si votre client a accepté de donner ses identifiants. On va être dans une situation juridique absolument catastrophique et malheureusement, c’est l’état de la DSP2, niveau 1, telle qu’elle est actuellement. Pour résumer, la DSP2 va être transposée en janvier 2018, niveau 1 et l’Autorité bancaire européenne a publié un document de discussion avant d’émettre des standards techniques. Généralement, l’Autorité bancaire européenne émet directement un projet de standard. Or elle a eu la même lecture que nous de la DSP2, extrêmement inquiète. Les banques nationales ont toutes eu une lecture extrêmement inquiète de la DSP2 : « Nous n’allons pas partir tout de suite dans un standard, nous allons envoyer sur le marché un document de discussion et attendre les réponses du marché pour voir un peu quelle est la réalité sécuritaire du marché. » Ils ont reçu 120 réponses. Qui, dans la salle, a répondu à l’ABE, à part la Fédération ? Il n’y aura pas de rendez-vous bilatéraux d’ici le mois de juin, où seront publiés les standards techniques. Malgré tout, les premiers échanges informels nous montrent que l’Autorité bancaire européenne est très consciente des risques d’accroissement de la cybercriminalité à cause de la DSP2 et va essayer d’apporter des solutions. D’ailleurs, c’est ce qu’ils nous ont demandé. Ils ne veulent pas de discussion, ils veulent des solutions. Donc à la Fédération bancaire européenne, nous avons énormément travaillé au cours du mois qui vient de s’écouler pour essayer d’en trouver. Nous sommes revenus à l’objectif fondamental de la DSP2 qui est d’accroître le niveau de sécurité, d’ouvrir le marché et de booster l’innovation et la concurrence, afin d’essayer de rendre compatibles des choses que la Commission juge incompatibles. Pour elle, l’innovation et la concurrence ne peuvent pas s’accompagner d’un haut niveau de sécurité, en tout cas, contrairement à son discours, c’est ce qu’elle a proposé en réalité. Je vais aller du plus grand au plus petit, en termes de proposition, sans suivre nécessairement le plan du document de discussion. Nous avons proposé que des standards ouverts soient décidés soit au niveau européen, soit au niveau national, qu’ils soient transparents, discutés et décidés, arrêtés avec l’ensemble des acteurs, c’est-à-dire les banques et les tiers de paiement, de sorte que tout le monde adhère à un ou plusieurs sets de standards. Le focus principal sera la sécurité. L’objectif est que chacun des acteurs de paiement soit sensibilisé, comme nous le sommes, au problème de cybersécurité et au caractère exponentiel des risques que nous courons pour l’instant. Nous ferons donc participer l’ensemble des acteurs de paiement et naturellement, il faut une interopérabilité au niveau européen. On ne peut pas imaginer offrir des standards qui ne puissent pas permettre à un marchand français de vendre aux Pays-Bas. Ce seront des standards et nous allons probablement les fonder sur des API qui sont des interfaces communes de communication, mais chacun définira le sien. Il peut très bien y avoir un API au Royaume-Uni, comme c’est le cas actuellement. Il y a trois jours, le Royaume-Uni a publié un projet d’un standard ouvert public qui va permettre à l’ensemble des participants, agrégateurs, tiers de paiement et banques, de communiquer des données. Le client pourra avoir accès à ses données de manière beaucoup plus sécurisée et il y aura un échange de données entre les




banques et les tiers de paiement. Le meilleur gagnera. On laissera la concurrence faire son travail, mais ils vont évoluer dans un cadre très sécurisé. Deuxièmement, nous proposons une gouvernance. Étonnamment, la directive sur les services de paiement n’a pas pensé à la gouvernance. Or nous avons plus de 5 000 banques en Europe, entre 300 et 500 tiers de paiement. Il faut mettre un peu d’ordre et venant des systèmes cartes, je peux vous dire que sans des règles minimales, les choses ne fonctionnent pas. Il faut savoir comment on peut travailler ensemble, connaître les droits, les obligations des uns et des autres, gérer les certificats et les labels. Je reviendrai sur cette proposition qui devrait plaire à l’Autorité bancaire européenne et la gestion des conflits. Comme le font MasterCard et Visa avec leurs membres, une gouvernance pourrait le faire, soit au niveau national, soit au niveau européen, une ou plusieurs entités, d’ailleurs. Je pense que l’ensemble des sujets que j’ai listés ne pourrait être réalisé par une seule entité. Sur le détail, l’Autorité bancaire européenne reprend la DSP2 en considérant que, naturellement, il y aura authentification forte pour l’ensemble des transactions, mais elle propose des exemptions, assez nombreuses, notamment les petits montants, les listes blanches de bénéficiaires. Nous sommes assez d’accord avec ceci. Il y a eu un débat, justement, sur l’hypersécurité et la forteresse sécuritaire qui pourraient empêcher le développement des mobiles. Là aussi, l’Autorité bancaire européenne, aidée considérablement par la Banque de France, essaie de trouver des solutions pour permettre que les paiements sur mobile puissent se poursuivre en étant améliorés par des architectures dans lesquelles les canaux seraient séparés au sein des smartphones. Je pense qu’il n’y aura pas de problème sur les exemptions à l’authentification forte. Relativement aux identifiants bancaires, on pourrait nous accuser de revenir sur la directive de paiement, mais, en fait, ce n’est pas le cas. Les API et les standards communs devaient permettre à tout le monde d’offrir des services de paiement sur internet, sans qu’il y ait accès aux identifiants. En d’autres termes, après avoir fait une étude de marché, on s’est aperçu que le transfert des identifiants que demande Sofort est finalement une solution dépassée et que les API et d’autres solutions techniques sont possibles. Elles permettent des transactions sécurisées et surtout, n’ouvrent pas les brèches, cette énorme brèche qui est de donner la clé du coffre à des tiers de paiement et de les communiquer en clair. C’est vraiment un point qu’il va falloir suivre dans les mois qui viennent, parce que nous espérons que l’Autorité bancaire européenne et les banques centrales acceptent l’idée que le transfert des identifiants est le mal de tous les maux. Concernant l’accès contrôlé aux données de paiement, la communication sécurisée entre les banques et les tiers de paiement, il n’y aura pas de registre européen juridiquement valable, alors que l’on parle du SEPA. Nous demandons à ce que l’ABE gère un registre centralisé. Nous voudrions que les tiers de paiement soient identifiés par les sceaux électroniques eIDAS. Surtout, nous voudrions que le public soit certain d’avoir affaire à de vrais TPP. Comme nous l’avions fait en France, il y a quelques années, avec la Fevad, nous avons proposé à l’ABE que les tiers de paiement bénéficient de labels. Ce label serait donné par la Commission, sur la base de certificat. Une fois que le certificat est retiré, le label est retiré, de sorte qu’en fait, on sécuriserait l’ensemble.




Vous voyez que rien ne réduira la concurrence dans l’ensemble de ces propositions. Enfin, nous voulons recommencer les travaux européens sur la sécurisation de l’identité parce qu’un mauvais document d’identité donne de mauvais clients et une mauvaise authentification. Nous ne sommes pas, en France, à l’ère de la carte d’identité numérique. Il serait bien temps d’y penser. Il y a quelques années, nous avions encore des cartes d’identité en papier. Nous voudrions donc que ces travaux recommencent pour qu’il y ait quand même un accroissement généralisé. Les documents d’identité bulgares sont absolument effrayants. Enfin, nous souhaitons, pour en revenir à la cybersécurité, une fois que l’on aura résolu tous les problèmes de la DSP2, avoir l’autorisation d’échanger des données personnelles avec les autorités publiques, avec la police, ce que nous ne pouvons pas faire pour l’instant. Un seul pays en Europe peut le faire, il s’agit du Royaume-Uni, avec des résultats absolument époustouflants, mais malheureusement, nos autorités de protection des données ne nous le permettent pas. En quelques mots, ce sont les travaux que nous allons effectuer au niveau européen. Merci. M. Olivier PERRIN Merci Pascale-Marie. Thierry va nous présenter la mise en œuvre de la cybersécurité au sein du Groupe Société Générale et sa position pour maintenir une solution et une offre digitale qui répondent aux besoins de ses clients.



2 CYBER SÉCURITÉ VERSUS DIGITAL Pascale-Marie BRIEN – Senior Policy Adviser

2

Les défis du monde bancaire

Protéger l’argent mis sur les comptes Protéger les données des clients (financières et personnelles) Protéger l’intégrité de l’architecture des paiements Conserver la confiance des clients dans leurs moyens de

paiement

3

Les défis de la DSP2

La DSP2 apporte de nombreuses améliorations mais comporte

d’innombrables contradictions L’ ABE doit tenter d’y apporter des solutions

4


Accroissement du niveau d de sécurité pour tous les acteurs de paiement

5


Les tiers de paiement sont supervisés mais les agrégateurs sont seulement “enregistrés”

L’authentification forte est généralisée MAIS les identifiants sont accessibles aux TPPs

Alors que le client doit les garder “safe” et ne peut les communiquer à des tiers

Dans les pays nordiques, les identifiants bancaires= cartes d’identité

Je donne, je donne pas???

6

Les défis juridiques de la DSP2

Les banques doivent rembourser toutes les transactions non

autorisées, même si elles n’y sont pour rien. Alors qu’elles n’ont pas de contrat avec les TPPs Quid du consentement du consommateur?

7

De possibles solutions

La DSP2 doit être transposée en janvier 2018 L’ABE a publié un document de discussion avant la publication

de projets de standards fin juin. Authentification forte du client et exemptions Protection des identifiants Communications sécurisées Role des identités électroniques (eIDAS)

8

Les solutions que nous proposons

Revenir aux principaux objectifs de la DSP2 • Accroître le niveau de sécurité pour l’ensemble des acteurs du

paiement • Ouvrir le marché des paiements à de nouveaux acteurs • Booster l’innovation et la concurrence

9

Les solutions que nous proposons

Des standards ouverts définis collectivement (banques, TPPs,...) Ouvert Transparents Focus sur la sécurité Avec des objectifs clairs pour l’ensemble des participants Interopérabilité au niveau européen

Mise en oeuvre (API,...) doit être laissée au marché

10

Les solutions proposées par l’EBF

Une structure de gouvernance pour s’assurer que tous les participants reçoivent le niveau de service auquel ils s’attendent Définition des standards et gestion Définition et gestion des droits et responsabilités de l’ensemble des acteurs Gestion de la certification des PSPs et des labels Gestion des conflits

Une ou plusieurs entités Active au niveau national et/ou européen

11

Les solutions de l’EBF sur les sujets clés

Authentification forte du consommateur et ses exemptions En accord avec l’ABE Gestion flexible fondée sur l’analyse de risques

Sécurité et intégrité des données sensibles (identifiants, données des clients et données des paiements) Transmission DIRECTE des identifiants entre le client et la banque (Token échangé entre

le TPP et la Banque Accès contrôlé aux données du compte par les AISPs

12

Les solutions de l’EBF sur les sujets clés (2)

Communication sécurisée entre les ASPSPs et les TPPs Un registre européen ayant valeur juridique Authentication mutuelle par des sceaux électroniques Pour permettre un contrôle en temps En utilisant le règlement eIDAS

Identification sécurisée des TPPs par le public Des labels émis par une autorité de certification (de preference au niveau européen) Ces labels sont supprimés si la certification est retirée.

13

Les solutions de l’EBF sur les sujets clés (3)

Sécuriser la chaîne de l’identité– réactivation des travaux européens

Document de base (certificate de naissance)

Identité juridique (passeports, cartes d’id)

Authentification fondée sur une identité sécurisée

14

Pour plus d’information

Pascale-Marie BRIEN Senior Policy Adviser

[email protected]

European Banking Federation

Avenue des Arts 56, B-1000 Brussels

European Transparency Register ID number: 4722660838-23.

+32 (0)2 508 37 24 | [email protected] | @EBF_FBE

www.ebf-fbe.eu

Cover image: European Space Agency

http://www.ebf-fbe.eu/




Face à un business model du digital en construction (évolutions technologiques, nouvelles menaces et nouveaux usages)

- Quel dispositif de sécurité ?

- Quelle maitrise des risques informatiques ? M. Thierry OLIVIER Merci. Je vous présente deux slides pour rappeler qui nous est la Société Générale. Au niveau mondial, cela représente 148 000 collaborateurs répartis en 122 nationalités, à peu près 30 millions de clients, particuliers, professionnels, entreprises, institutions financières. Le Groupe réalise un peu plus de 23 milliards de PNB. Nous sommes présents dans 76 pays. Sur la partie gauche, vous avez nos trois grandes lignes métiers, à la Société Générale : La Banque de détail en France, représentée par trois grandes enseignes Société Générale, que vous connaissez, bien sûr : le Crédit du Nord, qui porte également la Société Marseillaise de Crédit et notre en Banque en ligne : Boursorama Banque. Cela représente à peu près 11 millions de clients, 172 milliards d’encours de crédits. Sur la partie centrale, la banque de détail et de service financiers internationaux, ce sont beaucoup d’enseignes dans le monde entier, notamment en Afrique, en Europe de l’Est, en Russie. Cela représente à peu près 28 millions de clients et 103 milliards d’encours de crédit. La banque d’investissement, sur la partie droite, regroupe un peu plus de 5 000 clients entreprises et institutions financières représentant 121 milliards d’encours de crédit. Aujourd’hui, notre environnement évolue et sommes entraînés vers une transformation de nos SI avec de nouveaux challenges : la transformation digitale. Ce que je vous présente est vraiment ce que nous vivons à la Société Générale et comment on perçoit ce qui a pu être dit, peu ou prou, dans les deux interventions précédentes. Aujourd’hui, on est en pleine mutation. Quatre grands challenges technologiques sont aujourd’hui en train de se développer et avancent à une vitesse très rapide. La partie à gauche représente le cloud, le fait de pouvoir être plus agile, d’avoir de la réactivité, de la flexibilité, d’être plus présent sur le time to market. Sur la partie haute, vous avez la mobilité évidemment, car de plus en plus de nos clients sont ATAWAD (anytime, anywhere, any device). Il s’agit d’une transformation importante pour nous, Société Générale, mais aussi pour bien d’autres entreprises et nos clients. Dans le passé, c’était nous qui proposions de nouvelles offres aux clients, aujourd’hui, les clients sont demandeurs et vont beaucoup plus vite que ce que l’on est capable de leur proposer, à cause de ou grâce à la mobilité, l’Internet. Vous avez le développement, sur la partie droite, les différents réseaux. Il s’agit du partage, des réseaux communautaires, des réseaux sociaux. En bas, on trouve le big data qui nous permet de concentrer énormément de données qui avant étaient jusqu’alors organisées par métiers et que l’on concentre aujourd’hui, pour pouvoir en




tirer davantage de valeur. Tous ces points-là sont des enjeux pour la sécurité des systèmes d’information et la problématique cyber est vraiment très importante et un peu kafkaïen à gérer pour les RSSI que nous sommes. Sur la partie gauche, pour illustrer mon propos, 86 % des contacts entrant à la Société Générale se font par des devices mobiles, essentiellement des smartphones et des tablettes. Pour vous donner une idée, c’est plus de 785 millions de contacts digitaux par an. Nos métiers l’ont vraiment compris et se sont dit qu’il fallait vraiment agir. Aujourd’hui, on est en train de mettre en place un plan, sur la partie droite, qui s’appelle Digital for all, qui permet de vraiment prendre en compte ces enjeux de la digitalisation au sein de la Banque. Nous nous sommes dit que, pour pouvoir proposer des services optimaux à nos clients sur la transformation digitale, il fallait déjà équiper nos collaborateurs, au sein de la Société Générale, d’équipements mobiles, pour que tous puissent bien comprendre les enjeux de la mobilité. Nous avons distribué environ 70 000 tablettes à nos collaborateurs, pour qu’ils puissent s’habituer. Cela va des agences, aux systèmes centraux, aux commerciaux, aux collaborateurs des back-offices pour qu’ils puissent vraiment être sensibilisés au fonctionnement de ces devices. Nous avons également développé un certain nombre de solutions communautaires et développer le WiFi, pour pouvoir traiter/prendre en compte la mobilité. Je reprends avec des exemples complémentaires ce qu’a présenté François BEAUVOIS tout à l’heure. Il faut savoir que le préjudice mondial annuel lié à cybercriminalité est estimé à plus de 400 milliards de dollars. Aujourd’hui, les enjeux et les revenus liés à la cybercriminalité sont supérieurs à ceux du trafic de drogue. Les hackers, les personnes malveillantes ont compris que c’était beaucoup plus simple que ce qui existait auparavant. Ils sont moins confrontés au danger, ils sont chez eux et agissent depuis un ordinateur. Il y a moins de problèmes, cela coûte beaucoup moins cher, c’est plus sûr et cela rapporte beaucoup plus. Les malfaiteurs ont bien compris que l’argent n’était plus dans les coffres forts des banques, mais dans leurs systèmes d’information. Vous avez là un certain nombre d’exemples. Un point important pour la Société Générale est la lutte contre la fuite d’informations. C’est une chose à laquelle nous sommes très attentifs. Trois quarts des internautes utilisent le même mot de passe pour tous les comptes. On a parlé, tout à l’heure, de mesures de sécurité ou de risques. Comme le disait aussi François BEAUVOIS dans sa présentation, nous ne sommes pas confrontés à de grands experts systématiques en sécurité qui viennent casser nos firewalls pour entrer dans nos systèmes d’information. Ils privilégient les points de faiblesse, cherchent la facilité pour qu’il y ait des gains rapides. Si cela ne fonctionne pas, ils vont voir chez le copain d’à côté, parce que c’est beaucoup plus facile d’usurper des droits, plutôt que d’aller casser des équipements de sécurité. Le phishing est le dernier point sur ces slides. On en a également parlé. Cela représente plus de 2 millions de victimes en France. C’est vraiment un fléau auquel on attache beaucoup d’importance. S’agissant de nos enjeux, on mesure et on vit la menace. Les profils d’attaque que l’on détecte et que l’on catégorise à la Société Générale sont sur la partie haute du




transparent. On part de la partie des approches les plus anciennes relatives à des attaques diffuses. Les personnes ne savaient pas trop, lançaient des virus un peu partout, simplement pour chercher à faire parler d’eux. Il s’agissait d’attaques opportunistes qui cherche des failles dans les systèmes, peu importe la cible. Dès qu’ils trouvent une faille, ils rentrent dans le système d’information, avec ensuite des gains qui peuvent être différents. Les deux dernières catégories sont vraiment aujourd’hui nos préoccupations du moment : les attaques ciblées et les attaques avancées. Dans le cadre d’attaques ciblées, on cherche vraiment à récupérer de l’information, à vous voler de l’argent, mais uniquement contre vous. Il y a des problématiques d’attaques de DDOS, dont l’objectif, via des milliers de serveurs infectés dans le monde (que l’on appelle des serveurs zombies), est d’attaquer notre point d’accès Internet, qui rend indisponible beaucoup de services accessibles via Internet. Ce sont vraiment des sujets que l’on adressé avec beaucoup d’attention. Cette autre partie correspond à l’ingénierie sociale et les APT. Ce sont des attaques développées exclusivement pour une cible. Ils agissent avec des moyens qui sont mis en place pour vous voler des informations de connexion, … Cela peut durer pendant 2 ans, sans que vous puissiez vous en apercevoir. Le jour où ils mènent leur attaque, vous ne la voyez absolument pas arriver et ils ont énormément d’informations sur lesquelles on a des difficultés à contrer ces problématiques. On note différents profils, comme les activistes par exemple. Vous avez réguki-rement dans la presse des exemples de grandes sociétés qui ont subi ces attaques. Nous avons parlé de l’évolution des systèmes d’information, des menaces. Un autre point que nous avons à gérer, en tant que RSSI, est le poids des régulateurs, qui est de plus en plus fort. Dans le cadre la loi de programmation militaire, menée et lancée par l’ANSSI, c’est la première fois que les entreprises privées vont être soumises à une loi qui oblige à mettre en place des mécanismes de sécurité assez lourds. On nous a demandé d’identifier des systèmes vitaux sur le fonctionnement de la banque et de pouvoir appliquer des systèmes de sécurité dont les contraintes sont quasiment du domaine militaire, pour certaines d’entre elles, et qui vont nous coûter beaucoup d’argent. Au niveau européen, la loi sur la protection des données évolue. Jusqu’alors, quand on parlait de la protection des données à nos patrons, on parlait de la CNIL. Bien souvent, ils nous demandaient : « Si je ne respecte pas la loi, quel est le risque pour moi ? » La plus grosse amende infligée par la CNIL s’élevait à 150 000 euros. Quand on leur dit : « Maintenant, avec la loi européenne, on parle de 2 à 4 % du PNB annuel mondial de l’entreprise », cela a beaucoup plus d’impact. Je vous laisse faire le calcul de ce que cela peut représenter sur 23 milliards de PNB pour la banque. La sensibilité devient beaucoup plus forte. Notre nouveau régulateur, depuis fin 2014, est la BCE. Nous sommes un Etablissement très important en Europe et gérons beaucoup d’actifs. Depuis début 2015, ils sont régulièrement dans nos locaux à des fins d’audits, produisant de nombreuses recommandations avec beaucoup d’exigences qui impliquent des investissements très importants. On voit la même chose, puisque l’on a un groupe international qui va au-delà de l’Europe, avec d’autres régulateurs américains, asiatiques, suisse, …, qui nous imposent aussi des règles strictes de sécurité.




Face à toutes ces problématiques de la digital transformation, de ces profils d’attaquants et de ces régulateurs nous imposant de plus en plus de contraintes, on a des risques que l’on doit adresser dans nos métiers, dont les principaux sont présentés sur la droite : les cyberattaques, la fuite d’information qui est un élément très important. J’en parlais le mois dernier avec Frédéric OUDEA, le Président de la banque, qui a pris trois heures de son temps pour que l’on puisse lui présenter la stratégie et les enjeux de la sécurité de la banque. C’est assez rare pour le souligner. Il est très sensible à tous ces sujets et en particulier au risque de vol d’information, « la problématique est que l’on va tout de suite atteindre la confiance de nos clients. » Après coup, pour arriver à gagner ou à reconstruire la confiance, c’est très compliqué. La fraude externe se manifeste au travers des actes cyber, mais la fraude interne existe aussi. La disponibilité des systèmes préoccupe nos patrons, avec le cas principal d’ARAMCO ou de la Corée du Sud, qui est arrivé un lundi matin au bureau, des dizaines de milliers de postes de travail étaient inopérants et impossible de les redémarrer. Comment fait-on pour pouvoir travailler et continuer à produire alors que le système d’information est le cœur du fonctionnement de la banque ? Cela va au-delà de la disponibilité de type « perte d’un data center ». Aujourd’hui, je pense que cela est plutôt bien géré, on sait traiter ce genre de choses, mais l’indisponibilité de l’ensemble des postes de travail, dans le cadre d’une attaque cyber, on adresse et met en place des plans de « cyber résilience » pour palier ce risque. La banque ne souhaite pas non plus accepter des risques de non-conformité ou qui puissent impacter la réputation ou l’image de la banque. Nos objectifs prioritaires sont de préserver la confiance de nos clients et de nos actionnaires. Assurer la conformité est un enjeu majeur de la banque. Là, j’ai mis un certain nombre de logos de tous les types de conformité sur lesquels nous subissons des contraintes. Ces contraintes progressent et sont soit liées à notre statut bancaire ou parce que le système d’information est vital dans le fonctionnement de notre métier. Il faut accompagner la digitalisation de l’entreprise au travers d’un certain nombre de problématiques que j’ai déjà évoquées. La sécurité, ce n’est pas que de la technique (équipements et de mécanismes de sécurité). C’est aussi et surtout une organisation. Aujourd’hui, nous sommes plus de 400 collaborateurs à passer plus de 20 % de notre temps dédié à la sécurité des systèmes de sécurité dans le monde. Notre organisation repose sur un RSSI groupe qui s’appuie sur 6 RSSI, répartis dans les pôles métiers. Ce point ici est le CERT. C’est une équipe opérationnelle, un peu comme ce qui a été décrit par le Commissaire BEAUVOIS, tout à l’heure, sur la manière de fonctionner, de veiller, d’être réactif, de traiter des incidents, de pouvoir anticiper, de voir ce qui se passe. Nous avons été le premier CERT privé créé en 2010, en France. Il existait seulement des CERT étatiques. Actuellement, nous avons une organisation qui fonctionne en 24/7, qui surveille l’ensemble de nos réseaux mondialement. Cette équipe est formée de collaborateurs très experts qui connaissent parfaitement les techniques des hackers. De temps en temps, ils vont même jusqu’à échanger et discuter avec des hackers.




Aujourd’hui, nous vivons tous les cas que nous a présentés le commissaire. Nous les avons vécus et nous les vivons encore à la Société Générale. Il faut faire évoluer régulièrement notre stratégie SSI face à ces hackers. Nous les laissons venir et ce qui nous intéresse est de récupérer le plus d’informations possible. Quand nous nous apercevons qu’ils essaient de récupérer de l’information sur des choses très précises, nous injectons des données ou nous noyons l’information essentielle parmi d’énorme quantité de données. Ils arrivent à capter toutes ces données-là et ont du mal à faire le tri. À un moment donné, ils arrêtent et passent à autre chose. De toute façon, dès que l’on veut bloquer les adresses IP, lorsqu’on les a trouvées, deux minutes après, ils en ont repris une autre. C’est un jeu sans fin. Nous avons également un SOC (security operation center) qui surveille l’ensemble des événements qui se sont produits sur nos infrastructures et qui remontent des alertes, dès que c’est déviant, pour que l’on puisse traiter. Il y a donc beaucoup de règles en interne, une politique générale de sécurité, des directives, des instructions qui sont déclinées en standards dans chacune des entités opérationnelles, traitées sous quatre axes : la sensibilisation, la prévention, la détection, et la réaction. Face à ces enjeux que je vous ai présentés et qui ont été évoqués par les précédents intervenants, nous avons dû adapter notre modèle de sécurité qui était assez vertical et tourné sur nous, vers l’interne, dans une démarche dite de château fort. Notre seul but était de nous protéger vis-à-vis de l’extérieur. Aujourd’hui, cela ne fonctionne plus, nous sommes obligés d’ouvrir nos systèmes d’information, nous mettons même un certain nombre de ressources sensibles à l’extérieur de la banque, soit hébergés, soit dans du cloud. La mobilité fait que, maintenant, nos clients entrent au plus profond du système d’information. Nous avons donc dû adapter nos modèles de sécurité. Le modèle que l’on avait jusqu’alors, que je viens de vous expliquer, est celui du château fort, qui est assez connu comme principe. Nous avons seulement une ou deux portes d’entrée et nous maîtrisons, nous regardons tout ce qui se passe sur ces portes d’entrée. Ces modèles-là ne tiennent plus. Pour les anciens RSSI du domaine bancaire, c’est un gros changement parce que cela remet en cause leurs fondamentaux, pour évoluer vers un système ouvert. Nous ne pouvons plus avoir de bastions, mais plutôt un fonctionnement d’aéroport où nous fixons beaucoup plus notre attention sur la surveillance et le contrôle. Nous ouvrons des zones qui peuvent être accessibles à des données partagées, nous dédions certaines zones à nos ressources sensibles. Pour celles-ci, nous restons dans un mode de forteresse avec des points d’entrée et sortie très contrôlés. Par ailleurs les CERT et SOC assurent un rôle de tours de contrôle, qui permettent de surveiller tout ce qui se passe, y compris pour les collaborateurs de la Banque. Jusqu’à un certain moment, quand nous étions en mode bastion, on leur interdisait beaucoup de choses. Aujourd’hui, cela ne fonctionne plus. Forts de ces objectifs, nous avons revu notre stratégie fin 2014, qui est aujourd’hui mise en place sur les trois années qui viennent, validée par le Comex de la banque. C’est aussi une nouveauté très importante. Jusqu’en 2012, 2013, c’était la filière RSSI de la banque qui devait vraiment être très persuasive pour pouvoir expliquer ses sujets sécurité.




Depuis 2014, la prise de conscience s’est renforcée, sous l’impulsion de Frédéric OUDEA, le Président. Les membres de la Direction souhaitent être sensibilisés, qu’on leur explique les problématiques et tout naturellement, dans le middle management et jusqu’aux différents métiers, tout le monde est beaucoup mieux sensibilisé à la sécurité. Le Groupe Société Générale a décidé, depuis 2015, qu’un des trois objectifs majeurs du groupe était la sécurité. Dans la banque où même ailleurs, il y a assez peu d’environnements où on fixe, dans les trois ou quatre objectifs du groupe, la sécurité. Elle a bien compris que c’était un enjeu majeur pour pouvoir continuer à fonctionner. Nous avons structuré notre plan Sécurité sur quatre enjeux majeurs, plus un, que l’on a rajouté. Toute la sécurité est axée sur nos clients et je vais vous parler de quelques dispositifs que l’on a mis en place, la sécurité concernant les données sensibles de la banque. Nous ne pouvons pas protéger toutes les données, ce n’est pas possible. Nous avons 150 ans de vie, des systèmes d’information qui se sont empilés et développés depuis des années. C’est très compliqué, donc on identifie les ressources critiques de la banque, les applications sensibles du groupe. Nous en avons 150, ce n’est pas énorme. Entre l’enjeu 2 qui est la sécurité donnée et l’enjeu 3, le renforcement de la sécurité de nos applications, nous portons nos efforts sur ces points et nous investissons énormément. L’enjeu 4 est plutôt lié aux infrastructures : Que fait-on pour pouvoir détecter ce qui se passe sur nos infrastructures, quelles sont les attaques et comment / pouvoir réagir ? Le dernier enjeu très important est la sensibilisation des collaborateurs et des clients. Nous n’hésitions pas à réunir nos clients entreprises. Dernièrement, nous avons contacté 150 entreprises, 75 sont venues pour être sensibilisées au problème de la sécurité et notamment aux problématiques de la fraude au Président, qui est un enjeu très fort à gérer. La sensibilisation des collaborateurs est très importante puisque l’on a vu, dans les exemples du commissaire et ce que l’on vit au quotidien, que bien souvent, nous avons des problématiques de sensibilisation. Quand vous recevez des mails non sollicités, vous cliquez sur un mail, cela engendre des problématiques sécurité. Chacune des entités du groupe dispose d’un programme de sécurité. Pour vous donner une idée, en 2015, cela représente 50 millions d’euros, dédiés, investis dans la sécurité des systèmes d’information. Régulièrement, je passe devant le Comex de la banque pour présenter l’avancement des programmes de sécurité. Quand on intervient à ce niveau-là, forcément dans la banque, c’est presque magique. Il faut vraiment faire preuve d’abnégation quand on fait de la sécurité, pour faire avancer ces sujets, mais quand cela arrive par le haut, c’est beaucoup plus facile à mettre en œuvre. Pour terminer, vous avez des exemples concrets de moyens de sécurité que l’on a mis en place. Tout d’abord sur nos infrastructures. Je vous ai dit que la lutte contre la fuite d’informations est un point très important pour nous. Nous avons mis en place des systèmes de DLP. Ce sont des systèmes permettant de surveiller les échanges pour éviter la fuite d’informations, tout d’abord sur les mails et sur le web. Pour chaque collaborateur qui envoie des mails à l’extérieur ou surfe sur le web, un certain nombre de mots-clés, de règles permet de contrôler ces échanges. Nous sommes en




train de mettre en place ce système de détection sur le poste de travail. Tous les échanges autour du poste de travail seront filtrés, quand on imprime, quand on veut graver un CD ou un DVD, que l’on veut copier des données sur une clé USB. Depuis plusieurs mois, nous avons décidé de fermer la totalité des ports USB des postes de travail de la banque, sauf exception. Cela nous permet de gérer deux risques : celui de la lutte contre la fuite d’information, pour éviter que ces données soient copiées sur des clés, mais aussi pour toutes les infections virales. Nous avons eu des cas, comme les cryptolockers présentés par le commissaire. C’est un fléau très fort pour nous. Donc au-delà de la fuite d’informations, nous sommes obligés de contrôler également les échanges sur les périphériques. Sur la partie infrastructure, on enregistre (logge) tout ce qui se passe sur les infrastructures. L’accès aux serveurs, au NAS, à la messagerie. Nous avons des logs partout et nous appliquons des règles, nous essayons d’identifier des comportements déviants pour pouvoir anticiper des actes de malveillance. S’agissant de la sécurité sur nos applications, un point est très fort, dont nous avons parlé précédemment. C’est l’authentification forte, qui se distingue de l’authentification simple. C’est ce que je connais, mon login et mon mot de passe et ce que je possède, qui de plus en plus, est un smartphone. On peut avoir aussi de la biométrie. Nous avons choisi de déployer une solution qui nous permettra de passer de quatre passwords en 2015, à un seul, d’ici deux ans. Un des objectifs très importants pour la sécurité – vous en parliez, Olivier, dans votre introduction – est de proposer de la sécurité à nos clients, mais cela ne doit pas être trop contraignant. D’autres banques de détail ont proposé aux clients particuliers des systèmes très sécurisés. Il est sûr que c’est très sécurisé, mais ils ont perdu beaucoup de clients. Aujourd’hui, le mot d’ordre est sécurité, mais user friendly. Il faut que cela soit simple d’utilisation et abordable. Le chiffrement des données concerne nos applications et nos données. On ne peut tout chiffrer. Nous avons le choix entre du chiffrement ou de l’anonymisation, c’est-à-dire que si on nous vole ces données-là, qui sont des ressources critiques de la banque, le malveillant ne pourra rien en faire. Donc soit on les anonymise, soit on les chiffre. La sécurité pour nos clients consiste à proposer un certain nombre de mécanismes, de « pass d’authentification ». Quand on veut accéder à son compte en banque via son smartphone, on peut, avec le touch pad du smartphone, accéder directement à son compte en banque. On est authentifié, il faut se faire enrôler, si on veut simplement consulter son compte. Si on veut faire des opérations plus particulières, on doit rentrer un nouveau code PIN. Nous venons de développer cette offre-là également pour les entreprises. Nous proposons également pour les clients – mais c’est plus compliqué à faire passer et à sensibiliser – une petite application dénommée Trusteer, que l’on installe sur son poste de travail. Quand vous naviguez sur un site web et que vous êtes certain qu’il est fiable, vous cliquez sur cet outil qui vous enrôle le site web. C’est-à-dire qu’à chaque fois que vous allez sur le site web, vous êtes certains que c’est le bon. En effet, les personnes malveillantes ont des systèmes d’aspirateur de sites web qui permettent de reproduire exactement un site web, mais derrière, elles récupèrent toutes vos données. Dans ce cas-là, une




fonctionnement de sécurisation du site est activée et on est certain que l’on navigue sur un bon site. Des cartes de toute nouvelle génération, ultra sécurisées, ont été développées. Le CVV, qui se trouve au dos de la carte, est dynamique, au lieu d’être statique, avec une durée de vie. Ce sont trois caractères digitaux qui changent régulièrement. Cela permet, lorsque vous vous faites voler votre carte bancaire, votre date d’expiration avec votre CVV, de lutter contre la fraude de manière très significative, car le CCV est dynamique et change régulièrement. Nous testons aujourd’hui ce dispositif auprès d’un millier de clients environ. Pour terminer, la Société Générale travaille sur la sécurité depuis très longtemps, depuis sa création :

- Nous avons été la banque disposant de la plus grande salle des coffres d’Europe avec une énorme porte coffre-fort, encore classée aujourd’hui. Vous pouvez la voir à notre agence centrale à Opéra, cela se visite ;

- C’est la Société Générale qui l’a lancé le dispositif 3D Secure. Au départ, c’était avec des dates de naissance et après, avec des codes SMS.

- Paylib est le PayPal Société Générale. Il permet de rentrer une seule fois vos données bancaires qui sont sanctuarisées dans le système d’information. À chaque fois que vous payez avec Paylib, vous avez juste un mot de passe à saisir, vous n’avez plus à saisir vos données bancaires ;

- La biométrie, avec en partie le Touch ID pour Apple, le pass sécurité dont j’ai parlé.

Aujourd’hui, nous travaillons sur un certain nombre d’initiatives, de veille en sécurité parce qu’au-delà de tous ces mécanismes, nous allons beaucoup plus travailler sur le comportement des utilisateurs, de nos clients. Nous avons des systèmes qui nous permettent d’identifier la manière dont la souris est utilisée par un client. On enrôle ces données et si c’est une autre personne qui utilise la souris sur son poste de travail, on va pouvoir détecter que ce n’est pas la même personne qui manipule la souris. On analyse, par exemple, la vitesse de frappe sur un clavier, la manière de saisir vos login et mot de passe sur les claviers, qui change, d’une personne à une autre. Cela peut être un client qui, pour passer ses actes bancaires, utilise un clavier azerty et qui soudainement, utilise un clavier qwerty. Nous avons même des systèmes de reconnaissance vocale pour passer des ordres bancaires par téléphone. Nous sommes en train d’étudier tous ces systèmes, qui nous permettent de sécuriser et de pouvoir préserver la confiance que nos clients nous accordent. Je vous remercie de votre attention.




Questions de la salle M. Olivier PERRIN Merci à vous. Je vous propose de passer aux questions. Je retiens de vos interventions que l’on passe d’attaques informatiques à des cyberattaques, dans un monde digital, c’est-à-dire des attaques qui s’adaptent aux systèmes de protection. C’est un premier élément. De toute façon, globalement, pour pouvoir avoir un système de sécurité dans un monde digital ouvert, il faut utiliser les mêmes outils que ceux qui attaquent. Il faut pouvoir anticiper l’attaque par de l’analyse de type machine learning et adapter le système d’authentification. Le deuxième point est qu’il y a une nécessité de partager les retours d’expérience entre les différents acteurs du monde financier et les nouveaux acteurs, pour pouvoir bénéficier des différents retours d’expérience. J’ai envie de vous poser une question à tous les trois. Commissaire BEAUVOIS, vous avez déployé une plateforme qui s’appelle PHAROS, au sein du ministère de l’Intérieur. Quelle est votre recommandation pour pouvoir utiliser cette plateforme et en faire bénéficier le secteur privé pour que des acteurs comme la banque puissent accéder à tous les éléments d’anticipation et d’analyse des cyberattaques ? M. François BEAUVOIS PHAROS est une plateforme qui existe depuis quelques années dont le but est de recenser les contenus illicites. Ce qui va nous intéresser, c’est la signalisation de tout ce qui est lié aux escroqueries, notamment tous les sites de phishing, que cela soit des sites frauduleux, qui émettent ou hébergent les logiciels, je fais abstraction des autres domaines d’intervention de PHAROS. Nous avons complété cela avec l’action d’une association qui s’appelle Phishing Initiative. Nous échangeons des informations au niveau de la SDLC, pas au niveau de PHAROS, qui a régime juridique un peu particulier. Phishing Initiative est une association qui contient le CERT-LEXSI, un CERT privé à la différence de celui de la Société Générale, qui loue ses prestations à divers clients, contrairement au CERT Société Générale qui a un certain terme et lui est dédié. Il y a le CERT-LEXSI, Microsoft et PayPal. Ils ont un mode de fonctionnement qui se complète assez bien, puisque quand nous repérons un site, c’est juridiquement encadré pour qu’il soit bloqué, c’est assez lourd. Eux se posent beaucoup moins de questions. Ils affichent une énorme alerte, comme ce que je vous ai indiqué pour le cryptolocker, mais en rouge, en vous disant : « Attention, c’est un site vérolé. Cela fonctionne dans Chrome, Safari, Firefox et Internet Explorer (Edge). » En conséquence, nous avons un taux de pénétration qui est de 80 à 90 %. Ce n’est pas de la censure, car vous pouvez quand même y accéder, si vous le voulez, mais vous êtes est dissuadé. Les gens qui nous intéressent, ce sont les internautes innocents qui ne sont pas experts. Si votre RSSI s’amuse à faire des essais, il sait ce qu’il fait. Nous voulons protéger le grand public. Voilà comment intervient PHAROS dans ce domaine.




Nous sommes en train de monter, justement, au niveau de la division, nous avons un rôle de prévention. C’est vraiment de la prévention au sens général du terme, c’est-à-dire que l’on veut s’appuyer sur des partenariats publics et privés, de la collecte d’information et des nouveaux modes de fonctionnement. Quand je dis nouveau, cela veut dire nouveau pour la police, de typer CERT, etc., en profitant de notre intégration dans les structures policières internationales puisque l’on reçoit des informations d’Europol, d’Interpol. Cela ratisse assez large. Nous sommes justement en train de préparer une plateforme dédiée à la prévention plus spécialisée puisque PHAROS vise à la collecte. Cette plateforme va viser à la dissémination, pour que cela redescende vers le public et les entreprises, afin de couvrir les 80 % d’attaques un peu bêtes. Après, quand cela devient vraiment technique, on rentre dans une autre logique. Il faut déjà se prémunir et prémunir le public. Quand je parle de public, ce sont aussi les utilisateurs finaux, parce que nous nous informons notamment sur certains malwares. On peut avoir 250 machines infectées dans une grande société française. Là, nous ne sommes pas sur des particuliers, nous sommes sur des systèmes intégrés. Voilà un peu comment on aborde le problème. M. Olivier PERRIN Merci beaucoup. Pascale-Marie, puisque vous devez nous quitter, quel est le message principal que vous souhaitiez faire passer, entre autres, pour faciliter les échanges d’information sur tout ce qui est cybersécurité entre public privé et entre banques ? Mme Pascale-Marie BRIEN Nous essayons, avec grande difficulté de convaincre les autorités responsables de la protection des données que la lutte contre la fraude nécessite quelques exceptions à l’absolue protection des données personnelles, lorsqu’il s’agit de données personnelles de personnes malveillantes. Nous souhaiterions partager les données entre banques, avec la police, afin qu’elle puisse nous dire si ces données sont utiles. En effet, si nous trouvons de grands vilains en Bulgarie et que l’on nous dit que ce sont des gentils, il est intéressant de savoir que nous sommes en train de poursuivre une bande de gentils, plutôt qu’une bande de vilains. M. François BEAUVOIS C’est rarement le cas quand même. Mme Pascale-Marie BRIEN Or cette possibilité nous a été refusée et elle nous est refusée de manière constante, depuis plus de vingt ans par les autorités de protection des données européennes, la France en tête. Nous essayons de faire en sorte que, par le biais de différents forums européens, cette possibilité nous soit donnée. Elle existe au Royaume-Uni. Si vous voulez être très impressionné et très jaloux de nos amis britanniques, je vous conseille de surfer sur le site de CIFAS et vous verrez comment cela se passe chez nos voisins. Il s’agit d’un pôle de partage d’informations public-privé dans tous les sens. La police informe le privé, qui informe la police à son tour. Ils ont donc un outil extrêmement utile de lutte contre la fraude.




Je dois partir. Je ne pourrai malheureusement pas répondre à vos questions, mais vous avez mes coordonnées, n’hésitez pas. Si vous souhaitez recevoir notre contribution à l’ABE pour avoir le détail de nos propositions, n’hésitez pas à me les demander, je vous les enverrai avec plaisir. J’espère vous revoir bientôt, bonsoir. M. Thierry OLIVIER Pour compléter la réponse du commissaire, nous travaillons souvent avec les services de l’État et cela se renforce, notamment, avec l’ANSSI. Dans le cadre de la mise en œuvre de la loi de programmation militaire, un point qui est très important pour nous est de pouvoir identifier et connaître les différentes souches de programmes malveillants qui pourraient être insérés dans notre système d’information, pour récupérer de l’information ou nous en exfiltrer. Nous connaissons un certain nombre de souches, les principales, mais celles qui nous intéressent vraiment sont celles qui sont très peu répandues, dédiées pour une banque. Si nous avons un confrère qui se fait attaquer avec cette souche-là, la probabilité que cette souche soit réutilisée ailleurs est très forte. Nous travaillons avec l’ANSSI de manière très active. Régulièrement, nous travaillons avec les services de gendarmerie, de police, avec Interpol pour pouvoir contribuer et aider l’ensemble de la communauté qui bute contre ces différents hackers du monde entier. M. Olivier PERRIN Merci. J’ai une question sur la partie business model, au niveau du digital. Pour vous, Thierry, qu’est-ce qui peut garantir un business model digital profitable, qui s’appuie sur l’ouverture, entre autres, sur les réseaux sociaux ou l’open banking, tout en maintenant un niveau de sécurité adapté ? M. Thierry OLIVIER C’est vrai que quand on parle de sécurité, le business model sur les impacts financiers n’est pas toujours évident, mais tout le monde a bien compris que c’est une question de survie pour l’entreprise. Aujourd’hui, au lieu de développer des systèmes et de s’intéresser à la sécurité après coup, elle est de plus en plus intégrée en amont. En effet, les services proposés intègrent nativement déjà beaucoup de mécanismes de sécurité, à proportionner en fonction des enjeux, de façon à avoir des mécanismes de sécurité adaptés à la criticité que l’on souhaite traiter. La sécurité coûte très cher à mettre en œuvre et à maintenir. C’est souvent quelque chose que l’on ne regarde pas bien. On investit beaucoup en CAPEX pour mettre des systèmes en place et à un moment donné, on ne s’occupe pas bien du run et le système n’est plus aussi efficace. C’est un cheval de bataille très important pour moi, c’est à dire : « On investit pour mettre des mécanismes de sécurité en place, mais il faut s’intéresser au coût du fonctionnement de ces solutions. » M. Olivier PERRIN Merci. Est-ce que vous auriez des questions complémentaires ? De la salle




Bonjour. J’avais une question pour vous, Monsieur le Commissaire. Aujourd’hui, on entend parler de l’ANSSI, de la police, de la gendarmerie. J’ai du mal, personnellement, à voir toute cette cohérence. On voit que l’État a mis beaucoup de moyens, mais aujourd’hui comment est-ce coordonné ? Beaucoup de lois commencent à sortir, on a parlé de la loi de programmation militaire, on parle de la loi numérique, d’eIDAS, de toutes ces réglementations qui viennent en contradictions et en paradoxe par rapport au monde digital où on vit des changements qui bouleversent toutes les entreprises. Moi qui suis aussi RSSI, je suis confronté, comme Monsieur, aux mêmes problématiques. Aujourd’hui, on voit que des actions sont réalisées par le Cigref sur le Hackaton et ce n’est même pas proposé à la télévision pour sensibiliser aussi l’opinion publique, etc. On se fait un peu plaisir avec toutes ces législations et tous ces mécanismes, mais quelle en est l’efficacité ? Quelles sont les cohérences, par rapport à tout ça ? M. François BEAUVOIS Déjà, je ne suis pas concerné par la LPM. Au niveau des périmètres, parce que je n’irai pas sur les textes, à l’ANSSI, ils font le château fort. Leur objet est le système et ils doivent le protéger. Ils essaient de remonter la piste, car, de toute façon, ce ne sont pas des policiers. Ils se retrouvent bloqués, comme le CERT SG. À un moment, ils tombent sur un serveur, s’ils commencent à lui expliquer ce qu’ils ont trouvé dans le serveur, c’est qu’ils sont allés regarder à l’intérieur et qu’ils n’étaient pas censés le faire. En ce qui nous concerne, l’objet est le bandit, le voyou. Il y a la partie police judiciaire ou gendarmerie, c’est une répartition territoriale. Nous travaillons sur le même niveau, nous avons le même métier, mais c’est historique. Selon la répartition de base, ce sont les gendarmes pour les agglomérations de moins de 20 000 habitants et la police pour celles de plus de 20 000, c’est la police. Après, nous avons une compétence internationale et notre objet est le voyou. En fait, nous serions plutôt les éclaireurs. Justement, sur la partie SSI pure, mon but est d’éclairer sur ce que font les hackers, je ne vais pas vous donner des cours en PASS management, ce n’est pas mon métier. Ensuite, je reviendrais aussi sur le fait que le propos de l’ANSSI est seulement les OIV (opérateurs d’importance vitaux). Je sais qu’ils ont fait de la communication, etc., mais c’est leur objet. Un projet ANSSI, c’est entre un mois et deux ans. Quand un OIV se fait attaquer (une grande banque, une grande société industrielle), l’ANSSI doit être capable de partir en disant : « Votre système est propre. » Imaginez ce que cela représente quand on a 143 000 employés. On ne travaille pas du tout au même niveau. Le but est de m’adresser à tout le monde, mais à mon niveau, c’est-à-dire en diffusant de l’information, la plus exploitable par tout le monde. L’ANSSI, c’est de la haute couture, ils font du sur mesure, ce n’est pas pour 65 millions de Français. Nous avons donc des composantes différentes. Après, sur « est-ce que l’on se fait plaisir, etc. », je ne vais pas commenter la politique de l’État. Nous faisons attention à rester en cohérence parce que tout cela est de l’argent public, cela ne se gaspille pas et très objectivement, il y a largement du travail pour tout le monde. L’ANSSI est donc au niveau vraiment critique cyberdéfense. La police et la gendarmerie jouent au leur. La répartition est un peu similaire à la répartition en affaires judiciaires. C’est-à-dire : est-ce que le siège de la société est une zone




gendarmerie ou police ? Cela peut être aussi trivial que cela, puisque l’on est parti d’émanations judiciaires. Je sais que cette réponse n’est pas forcément très satisfaisante, mais au moins, c’est déjà plus clair au niveau de la répartition des compétences. Après, sur la prospective, les lois à venir, nous travaillons avec les règles du Code de procédure pénale, ce que nous permettent les conventions de partenariat public-privé. Voilà un peu où on se situe. M. Thierry OLIVIER Je vais peut-être ajouter un mot pour compléter le propos. Je suis complètement d’accord. Dans la question, il y avait presque une partie de la réponse. Effectivement, on voit avec l’ANSSI, la BCE, même l’ACPR avec laquelle on travaille encore, que chacun veut – comme on est OIV, on est sensible – avoir de la visibilité sur ce qui se passe en sécurité chez nous et en cyber. Les assureurs aussi viennent nous voir, car nous sommes maintenant assurés contre le risque cyber. Ils nous demandent tous des informations. Nous dépendons aussi du ministère des Finances où nous avons le HFDS (haut fonctionnaire de défense et de sécurité) qui nous demande aussi des choses. Grosso modo, chacun nous demande toujours la même chose, mais tantôt avec un tableau comme ça, tantôt autrement. M. François BEAUVOIS Le fonctionnement en tuyau d’orgue, nous en souffrons. M. Thierry OLIVIER C’est de plus en plus lourd. M. François BEAUVOIS Tout à fait. S’agissant des reportings, effectivement, je n’ai pas la contrainte dont bénéficie l’ANSSI. M. Thierry OLIVIER La loi va nous y obliger. M. François BEAUVOIS Je ne m’exprimerai pas sur la partie reporting, mais il est certain qu’il y a une vraie problématique relativement au fait d’être cohérents entre nous, tout simplement. M. Thierry OLIVIER Quand je dis reporting, ce n’est pas simplement de rendre des comptes via des tableaux de bord. Demain, les lois vont nous imposer de déclarer les incidents que l’on a subis sur des vols de données clients pour leur dire : « Nous nous sommes fait voler des informations. » De la salle




Je rejoins ce que dit Monsieur. Aujourd’hui, la CNIL va nous imposer le nouveau règlement, la BCE réclame, l’ACPR va réclamer, bientôt la Communauté européenne. On cumule, et comme vous l’avez dit, c’est un tableau à droite, un tableau à gauche. Je travaille dans une banque et sur les 100 dernières embauches, 60 personnes ont été embauchées sur des fonctions d’audit, de contrôle et ne produisent pas de PNB. Quand on regarde nos amis américains, ils pensent business, plutôt que droit. Nous pensons droit et après on pense business. Il y a peut-être des questions à se poser, surtout dans des instances comme celle-là, à la FBF. Actuellement, c’est aussi ce que l’on attend des pouvoirs publics et de ces instances, se mettre dans nos conditions opérationnelles et de business. M. Thierry OLIVIER C’est pour cela qu’il faut que l’on remonte ces problématiques aux fédérations. Tu citais la FBF, la FBE, aussi, avec qui nous travaillons pour essayer, justement, de simplifier pour les banquiers. De la salle J’ai une petite question sur l’international. Y a-t-il des pays qui sont allés plus loin, qui sont particulièrement avancés en termes d’analyse de ces cyberattaques et de réponse ? M. Thierry OLIVIER Je pense que nos amis américains sont assez en avance, avec un objectif aussi différent, c’est-à-dire pour protéger leur patrimoine, mais aussi pour profiter des informations et des résultats pour en faire un avantage concurrentiel. Aujourd’hui, nous avons des sociétés qui nous sollicitent, des cabinets spécialisés en intelligence économique, ils sont américains. La porosité entre ces cabinets, ce qu’ils collectent et vous proposent comme conseil versus ce qu’ils arrivent à ramener chez eux, est complètement avéré. Nous travaillons avec les services de renseignements de l’État qui nous mettent en garde contre ces gens-là. Ils ont quand même une sensibilité à la sécurité, ils mettent des moyens sur les sujets assez importants. Cela n’empêche que le patron de la CIA s’est fait pirater sa boîte mail par un jeune de 16 ans. Il remet en cause ses services en disant que c’est une faille fondamentale. On voit globalement que les Anglo-saxons sont assez matures sur le sujet sécurité. Nous, les Latins, sommes plutôt en queue de peloton, mais nous progressons rapidement. M. François BEAUVOIS Ils ont des moyens colossaux. Par exemple, il y a eu, justement, avec le malware Dridex, beaucoup de bruit autour d’une interpellation d’une utilité un peu discutable, car c’était un lampiste. Ce qui est intéressant, c’est de savoir comment ils ont fait. Ils ont infiltré une personne, ils ont fait la fête à Manille. C’est un américain, qui travaille pour le FBI, qu’ils ont infiltré au bout du monde, jusqu’à ce qu’il soit mûr. Pendant qu’ils l’emmenaient dans les bars, les boîtes, les collègues siphonnaient le PC dans la chambre d’hôtel pour finalement lui proposer une petite virée à Chypre, qui a des accords d’extradition. Du coup, la personne s’est fait interpeler à Chypre.




Pour vous donner une idée, le FBI a des moyens colossaux et une souplesse, en termes de politique étrangère, que nous n’avons pas. Ils sont chez eux partout. J’ai une réunion, mais eux ont un groupe international. Avant d’être policier, j’étais dans un groupe français du CAC40 dans l’énergie, j’ai donc bien la vision internationale. Le problème est que je ne vais pas commencer à me balader avec mon arme et à interpeler des gens, ne serait-ce qu’en Belgique. Ce n’est pas que nous sommes limités, nous sommes encore dans une logique d’État, je le dis de façon neutre, c’est un constat. Lorsque nous parlons ensemble, face à des groupes transnationaux, je pense que cela les met en colère et je le comprends tout à fait parce que nos prismes ne sont pas les mêmes. Heureusement, nous avons Europol, Interpol, qui permettent de beaucoup élargir la vision. Il est certain qu’avec les États-Unis, on ne joue pas dans la même cour. Sur certaines choses, je pense aux Anglais. Ils ont des exceptions. Nous sommes beaucoup plus souples sur certaines choses. Je pense notamment au fait que les Anglais ne veulent absolument pas de carte d’identité, c’est culturel. Il est certain, par contre, que tous les routeurs d’Internet sont des Cisco ou des Huawei. De la salle J’avais une seconde question d’actualité. La plupart des banques, aujourd’hui, ont des coopérations avec différents FinTech. Plutôt que d’avoir un affrontement, nous avons dorénavant une coopération. Comment ces différents FinTech, 100 % digitaux par essence, font-ils pour se protéger contre toutes ces menaces ? M. Thierry OLIVIER Effectivement, sur les FinTech, aujourd’hui nous avons un peu deux catégories, notamment celles qui sont complètement autonomes qui font ce qu’elles veulent, derrière lesquelles on court pour essayer de ne pas se faire désintermédier et prendre du business. Là, c’est eux qui gèrent la sécurité. Comme ils partent de zéro et qu’ils sont en plein dans les développements de nouvelles applications, ils intègrent nativement la sécurité. Nous travaillons avec des FinTech, des start-up, nous sommes partenaires, nous investissons financièrement pour pouvoir avoir une visibilité FinTech. Toutes les grandes banques font ce travail-là. Aujourd’hui, la survie des FinTech est justement de proposer des solutions qui sont déjà très sécurisées, pour que cela puisse fonctionner. Par contre, ils n’ont pas à gérer un système d’information qui date de 150 ans. Ils ont la rapidité de pouvoir s’adapter. Il y a un point très important. Nous travaillons avec un certain nombre de start-up en France ou en Angleterre : entre le moment où vous les avez vues et trois mois après, l’offre a déjà complètement changé. Ils ont une vitesse d’exécution et de rapidité alors que quand on parle d’agilité dans des structures comme les nôtres, c’est un peu plus compliqué. Autant s’appuyer sur des gens qui savent faire très vite, des geeks, des jeunes générations, et pouvoir participer à tout cela, plutôt que de regarder les trains qui passent. Une fois qu’ils seront passés, cela sera trop tard. De la salle




Bonsoir. J’aimerais que l’on parle un peu plus des problématiques de liaison entre le business et ce que vous avez exposé. C’est très intéressant, je pense que l’on a tous conscience du besoin de protection des données, mais ce soir, j’ai pris une grande claque. Je pense que si le grand public assistait à ce type de convention, on aurait un tout autre état d’esprit, en tout cas une prise de conscience beaucoup plus forte. On parle de concurrence avec les FinTech. Comment fait-on pour à la fois garder les clients, tout en les sécurisant et en leur montrant que l’on fait énormément de choses pour eux, alors qu’à côté, vous avez toutes ces entreprises qui innovent, avec la problématique du client beaucoup plus marquée et externalisée, en tout cas en termes de communication et qui arrivent, par ce biais, à les capter ? Comment fait-on pour garder en même temps cette problématique de gain business et répondre à toutes ces exigences ? C’est quelque chose qui ne se voit tellement pas vis-à-vis du client, comme si cela n’existait pas, en fait. Le grand public n’a absolument pas conscience de tout cela. M. Thierry OLIVIER Malheureusement, je n’ai pas de réponse toute faite à cela. Vous mettez le doigt sur la problématique majeure de la banque aujourd’hui. Effectivement, les métiers posent ces questions-là. Il faut que l’on arrive à proposer des choses qui soient suffisamment sécurisées, comme je le disais tout à l’heure, très user friendly. C’est-à-dire que pour l’utilisateur, il faut que cela soit quasiment transparent. On a proposé à ces clients d’installer un petit logiciel sur l’ordinateur de la maison pour renforcer la sécurité, et bien c’est déjà trop demandé : le taux d’installation est faible. Nous avons des filiales, par exemple, en Angleterre, les taux d’installation sont beaucoup plus importants. Ce n’est pas du tout la même sensibilité et si on a de la chance qu’ils l’aient installé, au moment où ils changent leur poste de travail, ils oublient et ils ne réinstallent pas l’outil alors que ça les protège. Les gens ne veulent pas de contraintes. Malheureusement, en termes de sensibilisation, tant que quelqu’un n’a pas subi personnellement un gros problème, n’a pas senti le vent arriver sur quelque chose en se disant qu’il allait avoir un gros problème, c’est difficile de sensibiliser. Cela commence à changer. Tout à l’heure, tu as fait allusion à la Hack Académie. C’est effectivement une opération qui a été organisée par le Cigref, sponsorisée par l’État et nous avons été plusieurs partenaires bancaires et autres à le financer. C’est comme une petite saynète, un peu comme la Star Academy. On a quatre petites saynètes avec des hackers qui sont là, passent devant un jury et doivent montrer qu’ils sont bons. C’est très simple. Il y avait une vocation de le déployer au niveau du grand public, cela devait passer à la télévision. Je crois que c’est passé sur la chaîne parlementaire et sur TV5 Monde. Nous n’avons pas tiré très large mais cela va etre étendu en 2016. Effectivement, au niveau des pouvoirs publics, il y a eu un grand lancement, de la loi sur la lutte sur la cybercriminalité organisée par Manuel VALLS qui présentait ce sujet, mais derrière, nous n’avons pas vu d’effet. Je crois que c’est encore une grosse problématique de bien sensibiliser les particuliers parce qu’à la maison, ils ont ces problèmes, mais au travail aussi. C’est tout un équilibre à trouver et je ne pense pas que l’on ait déjà trouvé une clé très simple. C’est pour cela que l’on fait beaucoup d’innovations. Nous allons chercher en France et à l’étranger. Malheureusement, nous avons, mais pas assez, de solutions qui nous permettent




d’avoir des sécurités suffisamment renforcées, avec de l’authentification forte, voire du chiffrement et que cela soit complètement transparent pour les clients. Nous travaillons aussi beaucoup sur la biométrie. De plus en plus, des mécanismes le permettent assez facilement. Cela peut être simplement avoir un bracelet. Aujourd’hui, on en arrive à identifier les veines de la main. Ce sont des systèmes qui permettent de simplifier la manière de se connecter au système. M. Olivier PERRIN La semaine dernière, d’ailleurs, à cette tribune, une start-up présentait la manière dont elle abordait l’aspect de sécurisation dans le cadre des paiements. Ils parlaient de deux choses :

- Le KYC, qui permet, au moment de l’enrôlement, de récupérer des données des clients qui s’enrôlent à distance, avec un certain nombre de techniques, de dématérialisation. L’usage du téléphone mobile par la voix. Au niveau biométrique, voix, image et un certain nombre de dématérialisation de pièce d’identité, etc.

- Le deuxième élément est le machine learning, c’est-à-dire de pouvoir, en permanence, grâce à des systèmes experts, analyser les flux de paiement ou les transactions et le comportement. Comment peut-on analyser le geste, au moment où on fait son code sur son téléphone, etc. ? De plus en plus, des start-up utilisent ce genre de système pour pouvoir lancer une approche plus par les risques et adapter en fait, leur business model en analysant les risques en permanence, en temps réel, par ces principes de systèmes experts.

M. Thierry OLIVIER Le problème de ces innovations est que cela fait souvent un peu peur aux métiers, parce que ce n’est pas une science exacte. Nous avons de « fault positives » ou on va, de temps en temps, empêcher le client de faire des choses qui sont légitimes. Il faut vraiment éprouver ces solutions et ce n’est pas évident, mais effectivement, nous avons des systèmes aujourd’hui qui existent. Quand on voit que la carte bancaire d’un client qui ne dit pas s’être fait voler ses coordonnées bancaires, mais, en cinq minutes, est utilisée en France, en Asie et aux États-Unis, nous avons des systèmes de machine learning qui permettent de croiser ce genre de problématiques pour identifier les cas de fraude. De la salle On parlait des FinTech, tout à l’heure, vous avez dit qu’elles étaient très sécurisées. Je vais prendre l’exemple de Bankin qui est un agrégateur de comptes personnels, qui fait ce que l’on appelle le skin scraping, c’est-à-dire que l’on se connecte et il va nous collecter les données. La première expérience que j’ai faite est qu’il ne demande pas de mot de passe par défaut. C’est-à-dire que quand vous lancez l’appli, elle est lancée et ils envoient les notifications en clair. Sur un téléphone, on a tout de suite le solde de son compte ou ce genre de choses. Ces agrégateurs de comptes accèdent à vos données et sont capables de la stocker. Aujourd’hui, il n’y a pas de loi puisque la DSP2 ne prend pas en compte cette partie de stockage de données. Comment fait-on, en termes de sécurité bancaire, pour garantir, parce qu’au final, le vol de la donnée peut concerner toutes les banques ou




une partie des banques, selon les comptes que l’on possède, si jamais Bankin se fait attaquer ? M. Thierry OLIVIER On ne garantit rien du tout, c’est bien la problématique aujourd’hui. On ne peut pas garantir. Je rappelle simplement un point, d’où la question de Madame tout à l’heure, sur la sensibilisation des clients. En fait, il n’y a pas eu de démarchage. Le client a décidé de donner ses identifiants ou authentifiant à cette entité pour qu’elle puisse jouer à sa place ses login/mot de passe et agréger l’ensemble de ses comptes des différentes banques. Au départ, c’est l’utilisateur qui a décidé de confier ses secrets à des tiers, bien souvent, sans avoir idée des conséquences. C’est pour cela que je reviens sur ce thème de la confiance. De plus en plus, la Société Générale et d’autres banques vont communiquer sur le fait que nous sommes des opérateurs de confiance et que les clients ont raison de nous confier leurs assets, quels qu’ils soient et que nous allons nous engager à les sécuriser et les protéger. Après, ces intermédiaires dont vous parlez, si les gens décident sciemment de donner leurs login/mot de passe sans vérifier la sécurité, c’est très compliqué à gérer. De la salle Ma question sous-jacente est : est-ce que le risque a déjà été anticipé dans certaines banques de communication ? Bankin se faisant attaquer, ils ont des données de toutes les banques. Au final, je comprends bien que l’on ne peut pas garantir. Ce n’est pas aux banques de garantir, puisque l’on a donné son accord en tant que client, quelque part, en passant par cet agrégateur. Y a-t-il des communications préétablies, êtes-vous prêts, si jamais cela arrive ? M. Thierry OLIVIER Je pense qu’il faut relativiser sur le cas de Bankin, mais c’est aussi vrai pour les autres. Aujourd’hui, qu’est-ce qu’ils récupèrent ? Ils récupèrent des soldes de comptes bancaires. Vous ne pouvez pas faire d’opérations bancaires, de virements, etc. Après, si vous prenez les systèmes payants, cela réduit déjà énormément le nombre de personnes qui accèdent à ces systèmes. Mais une nouvelle fois, relativement aux données qu’il récupère, c’est difficile pour nous de pouvoir traiter le sujet. M. Olivier PERRIN Je vous propose de clore ce Club Banque. Je vous invite à une collation, à la sortie de l’amphithéâtre. Merci à vous.



Documents

REVUE BANQUE CLUB BANQUE DU 16 FEVRIER … · François BEAUVOIS, Commissaire de Police à la sous-direction de lutte contre la cybercriminalité, Police nationale . Gestion, sécurité