|
 |
|
| RISQUES
COURANTS, UNE MAÎTRISE CONCERTÉE |
|
Face
aux risques courants, CB travaille en partenariat avec
tous
les acteurs concernés. |
|
|
|
"Bien
qu'offrant un très haut niveau
de sécurité, le système CB est,comme
tout système technologique, exposé à
des risques courants, rappelle Pierre
Chassigneux, Directeur Risk
Management & Audit à Cartes
Bancaires. Il s'agit principalement
de fraudes à la carte bancaire (vol de
cartes, usurpation de numéro de carte,
contrefaçon.)." Faible et en recul
constant, la fraude ne représente que
0,033 % du montant des paiements
CB sur le système CB en 2005.
"La fraude courante est maîtrisée,
souligne Jacques Faurel,
coprésident du Comité de Gestion
Stratégique des Risques de CB,
Responsable Monétique de la DSI
à la Banque Postale ; nous avons les
réponses à court,moyen et long terme
pour la maintenir à ce niveau actuel,
voire pour continuer à la faire baisser."
Il reste cependant quelques points
de vigilance liés notamment aux
paiements en vente à distance, à
l'augmentation des points de
compromission*, au risque de capture
de données sensibles "cartes" sur les
systèmes d'information monétiques.
Fabien Lang, commissaire de police et
chef adjoint de l'Office Central pour la
Lutte contre la Criminalité liée aux
Technologies de l'Information et de la
Communication, constate en effet "une
sophistication et une évolution des
typologies de fraude. Dans ce domaine,
la collaboration initiée depuis près de
vingt ans avec CB donne d'excellents
résultats."
• Nouvelles normes EMV et DDA
Pour une sécurité encore accrue,une
évolution importante est en cours dans
les mécanismes d'authentification des
cartes bancaires. "Les cartes
disposent depuis longtemps au sein de
la puce d'une signature RSA statique,
c'est-à-dire créée une fois pour toutes
par l'émetteur indique Jacques Stern,
directeur du département d'informatique
de l'Ecole normale supérieure,
membre du conseil scientifique de CB.
En d'autres termes, ce n'est pas la
carte, mais l'émetteur qui dispose de la
clé secrète nécessaire à la génération
des signatures RSA. L'adoption des
nouvelles normes EMV permet la mise
en place de l'authentification dynamique ou DDA. Le mot
dynamique indique qu'une signature
RSA est créée par la carte elle-même,
à chaque transaction, sur des données
différentes, et ce avec sa propre clé
secrète de signature. Avec le DDA,
les fraudes de nature technologique
actuellement connues sont
efficacement éliminées. C'est une
remarquable application des
recherches en cryptographie que la
France est la première à adopter",
explique Jacques Stern.
• Le défi de l'harmonisation
|
|
 |
 |
0,033
%
du
montant des paiements :
c’est le
pourcentage très
faible de la fraude
dans le système
CB. |
 |
|
|
Pour maintenir le très haut niveau de
sécurité et de qualité de service du
système CB,la communauté bancaire
fait évoluer en permanence ses
référentiels fonctionnels et sécuritaires
et anticipe les évolutions
technologiques à venir. Chaque
nouveau produit monétique doit faire
l'objet d'une certification fonctionnelle
et sécuritaire.Face à la complexité
et au coût des différents processus de
certification,liés à la dimension
internationale du système CB,les
industriels souhaitent un modèle
européen unique d'évaluation et de
certification. C'est la position de Didier
de Lacretelle,président du Concert**. "La
sécurité est un problème international.
Nous souhaitons que les règles de
sécurité soient les mêmes pour chacun
des acteurs mais nous ne sommes pas
encore tous parvenus au même niveau.
Je ne peux que me féliciter des contacts
extrêmement positifs que nous
entretenons avec la DEA*** de Cartes
Bancaires. Nous avons besoin de cette
entité et de ses homologues
européennes pour parvenir à une
uniformisation du système."
• Méthodologie des critères communs
En France, la certification sécuritaire
des produits cartes s'appuie sur une
méthodologie d'évaluation basée sur le
standard des "Critères Communs". Elle
est pilotée par la Direction Centrale de
la Sécurité des Systèmes d'Information
au sein du Secrétariat Général de la
Défense Nationale. Celle-ci veille
notamment à l'homogénéité des
compétences des laboratoires en
charge des évaluations des produits.
"Nous souhaitons que ce qui est fait en
France le soit aussi au niveau
international", précise Pascal Chour,
responsable du Centre de certification.
De son côté, la Banque de France travaille, elle aussi, à l'harmonisation des
exigences de sécurité et des méthodologies d'évaluation sécuritaire des principaux
composants des systèmes de paiement par carte. Selon Denis Beau, directeur adjoint
des systèmes de paiement et infrastructures de marché à la Banque de France,
"l'Observatoire de la sécurité des cartes de paiement a recommandé une uniformisation
des évaluations et des certificats. En outre, dans le cadre de la Directive sur
les Services de paiement qui doit être très prochainement soumise au vote du
Parlement européen, il soutient un amendement qui vise à faciliter l'harmonisation
des méthodes d'évaluation et des certifications sécuritaires en posant notamment
les conditions de leur équivalence."
* Points de vente, distributeurs automatiques de billets
et automates de paiement sur lesquels sont capturées
les données sensibles des cartes.
** Association internationale qui regroupe tous
les constructeurs monétiques.
*** Direction Evaluations et Agréments de CB. |
| • Delphine
Goater |
|
|
|
|
|
|
|
plus
d'infos |
 |
|
|
La
mise en œuvre de Bâle II »
|
Le
Comité de Bâle, dans
ses réflexions sur l’amélioration
de la supervision des
établissements financiers,
a décidé de soumettre
les Banques à une obligation
d’affecter des fonds propres
aux risques opérationnels
en complément des fonds propres
déjà exigés
au titre des risques de crédit
ou de marché. Il s’agit
du premier pilier de l’accord
de Bâle. Le processus de surveillance
prudentielle constitue le second
pilier. La Commission Bancaire (organisme
de contrôle français)
aura pour tâche de vérifier
la bonne adéquation des fonds
propres des banques françaises
avec leur gestion des risques. Les
procédures internes mises
en oeuvre par les banques seront
analysées dans ce cadre. La
discipline de marché constitue
le troisième et dernier pilier.
Elle définit les règles
que les banques devront respecter
en matière d’information
publiée à
destination des acteurs du marché,
de sorte que ces derniers puissent
bénéficier d’informations
comparables et de qualité.
Bâle II entrera en application
en janvier 2007.
Pour en savoir plus, voir www.fbf.fr,
rubriques "L’entreprise bancaire", "maîtrise
des risques".
|
|
|
|
|
|
 |
|
|
|
expertise |
|
|
Jacques
Faurel,
Coprésident du Comité
Stratégique des Risques de
CB, responsable monétique
de la DSI à la Banque Postale. |
 |
|
|
|
|
“Un
excellent esprit de coopération”
“Pour
mieux lutter contre la fraude, les banques
mettent en commun leurs informations. La
coopération entre les banques,CB,
les instances internationales et la police
est efficace et se déroule dans un
très bon esprit. Dans cette stratégie,
l’équipe du service des enquêtes
de CB joue notamment un rôle central.” |
|
|
 |
|