Prise en charge des recommandations de la Banque Centrale Européenne relatives à la sécurité des paiements par Internet

Transcription

1 IBM Software Livre blanc sur le leadership éclairé Septembre 2014 Prise en charge des recommandations de la Banque Centrale Européenne relatives à la sécurité des paiements par Internet Bénéficiez de capacités automatisées et robustes de prévention contre la fraude grâce à la solution logicielle IBM Security Trusteer

2 2 Prise en charge des recommandations de la Banque centrale européenne relatives à la sécurité des paiements par Internet Table des matières 2 Rapport de synthèse 2 Mise en place d'une prévention efficace et durable contre la fraude bancaire en ligne 4 Points à prendre en compte lors de l'évaluation des solutions 4 Sécurité par couches pour lutter en profondeur contre la fraude bancaire en ligne 6 Protections étendues à l'appareil du client 7 Evaluation des risques basée sur l'intelligence en temps quasi réel 7 Détection précoce des anomalies dans les transactions 8 Minimisation de l'impact sur l'utilisateur final 9 Limitation des coûts d'exploitation, de gestion et de déploiement 10 Collaboration avec un fournisseur réputé de solutions de prévention contre la fraude bancaire en ligne 10 Conclusion 11 A propos des solutions IBM Security 11 Pour en savoir plus Rapport de synthèse Les recommandations de la Banque Centrale Européenne (BCE) concernant la sécurité des paiements par Interne visent à améliorer les pratiques de prévention contre la fraude en ligne des banques européennes. Tout en restant fondamentalement similaires, les recommandations de la BCE sont toutefois plus complètes et plus détaillées que les dispositions du guide concernant l'authentification dans un environnement bancaire sur Internet, publié par le US Federal Financial Institutions Examination Council (FFIEC). Même si bon nombre de banques ont mis en place différentes technologies et approches de prévention contre la fraude, elles peuvent avoir besoin de capacités supplémentaires en termes d'analyse des risques, de protection contre les programmes malveillants et d'authentification afin de se conformer aux recommandations émises par la BCE concernant la sécurité des paiements par Internet. Lesdites recommandations concernent également les paiements effectués par navigateur Web via un mobile, mais ne prennent toutefois pas en compte les paiements émis via des applications mobiles. Le présent document expose comment l Architecture des services de Sécurité IBM - Trusteer Cybercrime Prevention peut aider les banques à assurer une prévention efficace et durable contre la fraude, en conformité avec les recommandations de la BCE concernant la gestion et la limitation des risques (recommandation 4), l'authentification forte des clients (recommandation 7) et le contrôle des transactions (recommandation 10). Mise en place d'une prévention efficace et durable contre la fraude bancaire en ligne A l'instar du guide du FFIEC, les recommandations de la BCE invitent les institutions financières à évaluer en permanence les risques inhérents à leurs opérations de paiement, et à mettre en place des mesures de limitation des risques proportionnelles aux risques évalués.

3 IBM Software 3 En conséquence, bien que le document insiste sur un ensemble de points de base, il n'exige pas l'adhésion des banques aux technologies proposées et aux programmes mis en avant dans les recommandations. En foi de quoi, chaque banque met en œuvre les moyens qu'elle estime appropriés pour limiter les risques évalués. Depuis 2006, Trusteer Cybercrime Prevention Architecture aide les organisations à protéger leurs clients de la fraude bancaire en ligne. D'après l'expérience cumulée de centaines d'institutions financières, dont de nombreuses banques américaines s'efforçant de répondre aux exigences du FFIEC, IBM a identifié les approches fondamentales suivantes, qui permettent de se conformer aux recommandations de la BCE concernant la gestion et la limitation des risques, l'authentification forte des clients et le contrôle des transactions, et qui servent également à lutter contre la fraude de façon efficace : Sécurité par couches pour lutter contre la fraude bancaire en ligne, en profondeur. L'utilisation de plusieurs couches de sécurité au niveau des terminaux et des applications Web permet d'assurer une protection robuste et flexible. La sécurité au niveau des terminaux offre des capacités de prévention, d'intelligence et de résolution. Quant à la détection des programmes malveillants sans client, elle couvre instantanément les systèmes des utilisateurs finaux et avec un impact réduit sur le déploiement. Protections étendues à l'appareil du client. Au cours des dernières années, les programmes malveillants ont réussi à contourner la plupart des contrôles de sécurité. En devançant l'infection des terminaux et l'attaque des navigateurs ou des applications Web par des programmes malveillants, il est possible de prévenir la fraude. Evaluation des risques basée sur l'intelligence en temps quasi réel. Il est vital de détecter rapidement tout changement en termes de menaces afin de maintenir un processus efficace d'évaluation des risques et d'adapter les défenses protégeant les clients de la fraude bancaire en ligne. Détection précoce des anomalies dans les transactions. Grâce à une détection précoce des attaques de programmes malveillants et grâce à leur prévention, le nombre de transactions suspectes que doivent gérer les équipes de lutte contre la fraude et d'assistance diminue, tout comme les coûts d'exploitation et les effectifs nécessaires. Minimisation de l'impact sur l'utilisateur final. Un bon équilibre entre sécurité, maniabilité et interopérabilité facilite l'adoption par l'utilisateur final de mesures de prévention contre la fraude et minimise l'impact sur les flux métiers quotidiens, sans pour autant compromettre la sécurité. Limitation des coûts d'exploitation, de gestion et de déploiement conformément aux recommandations de la BCE en termes de durée et de budget. Les solutions de prévention contre la fraude doivent pouvoir se déployer rapidement et ne nécessiter qu'une intervention et une maintenance périodique minime de la part des organisations de lutte contre la fraude, d'évaluation des risques et d'assistance (support). Collaboration avec un fournisseur réputé de solutions de prévention contre la fraude bancaire en ligne. Pour terminer, la lutte contre la fraude est un effort commun. Les institutions financières ont pour devoir de sélectionner des fournisseurs selon leur aptitude à augmenter leurs effectifs avec l'expertise et les capacités nécessaires pour assurer une défense efficace contre les cybercriminels.

4 4 Prise en charge des recommandations de la Banque centrale européenne relatives à la sécurité des paiements par Internet Points à prendre en compte lors de l'évaluation des solutions Les institutions financières doivent prendre en compte de nombreux critères lorsqu'elles envisagent de déployer des solutions de prévention contre la fraude bancaire en ligne conformément aux recommandations de la BCE. En premier lieu, les institutions financières doivent évaluer les coûts de déploiement d'une solution, la complexité de la gestion et l'impact sur le client. Dans les sections suivantes, nous aborderons les approches fondamentales favorisant une prévention efficace et durable contre la fraude bancaire en ligne et nous comparerons les solutions IBM Security Trusteer à d'autres méthodes de contrôle de la sécurité. Sécurité par couches pour lutter contre la fraude bancaire en ligne en profondeur La sécurité par couches est préconisée dans une recommandation de la BCE. Il s'agit également d'une bonne pratique fondamentale en termes de prévention contre la fraude bancaire en ligne. Dans le préambule de la recommandation relative à la gestion et à la limitation des risques (recommandation 4), les régulateurs énoncent spécifiquement que les mesures de sécurité «doivent intégrer plusieurs couches de protection de sécurité, dans lesquelles la faille de l'une des lignes est rattrapée par la ligne de défense suivante (défense en profondeur).» 1 D'autres approches en termes de sécurité des terminaux consistent à isoler la session des services bancaires en ligne des programmes malveillants. Toutefois, sur ces dernières années, il a été constaté lors de plusieurs attaques, qu'une fois l'hôte infecté par le programme malveillant, ce dernier peut attaquer n'importe quelle couche de sécurité s'exécutant sur la machine infectée. Les solutions de navigation basées sur la virtualisation n'y font pas exception. Elles peuvent faire l'objet d'injections en mémoire de code malicieux sur les processus s'exécutant sur l'hyperviseur. Trusteer Cybercrime Prevention Architecture offre de nombreuses couches de protection, qui se déclinent selon les trois offres de produits complémentaires ci-dessous : Logiciel IBM Security Trusteer Rapport : empêche les programmes financiers malveillants d'infecter les terminaux, protège le navigateur de la falsification et du vol de données, automatise le nettoyage des infections et bloque les attaques de type hameçonnage. Logiciel IBM Security Trusteer Pinpoint : permet une détection sans client des activités frauduleuses, aidant les banques à identifier les sessions Web infectées par un programme malveillant et les attaques de type hameçonnage. Navigateur IBM Security Trusteer Mobile : navigateur Web mobile sécurisé permettant de protéger l'accès aux sites bancaires en ligne. Il identifie les risques encourus par le terminal connecté et en informe l'institution financière. Certaines approches se basent sur le profilage pour identifier les transactions frauduleuses. Toutefois, de par la nature statistique desdites approches, il est possible d'obtenir des faux négatifs (c'est-à-dire des fraudes non détectées). Les cybercriminels procèdent en plusieurs étapes de sorte que les transactions frauduleuses ne soient pas repérées par la couche de sécurité. Pour cela, ils affichent le plus de caractéristiques possible d'une transaction normale générée par un client.

5 IBM Software 5 Protection basée sur client contre les menaces avancées Le logiciel Trusteer Rapport intègre plusieurs couches de défense, aidant notamment à : Détection sans client d'activités frauduleuses Le logiciel Trusteer Pinpoint intègre plusieurs couches de défense, aidant notamment à : Protéger des attaques de type «Man-in-the-Browser» et «Man-in-the-Middle». Le logiciel Trusteer Rapport verrouille le navigateur. Ainsi, le logiciel empêche les injections de codes malicieux sur les pages Web, pratiquées dans le cadre de l'ingénierie sociale par la divulgation d'informations personnelles et par l'approbation de transactions frauduleuses. Il aide également à bloquer les attaques de type «Man-in-the-Middle» en validant les adresses Internet Protocol (IP) des services bancaires en ligne et en confirmant l'appartenance des certificats Secure Sockets Layer (SSL) à un site authentique. Protéger du vol de données d'identification et d'informations personnelles. Le logiciel Trusteer Rapport empêche le vol de données d'identification et d'informations personnelles dans le but de prendre le contrôle d'un compte et de perpétrer une fraude cross-canal. Il déjoue les tentatives d'enregistrement de frappe et de capture d'écran sur les pages d'application sensibles, telles que les pages d'identification ou de virement d'argent. Empêcher les infections par programmes malveillants et supprimer lesdits programmes existants. Une fois installé, le logiciel Trusteer Rapport supprime les programmes financiers malveillants existants des ordinateurs des utilisateurs finaux et empêche les infections en bloquant les tentatives d'exploitation des failles du navigateur et les tentatives d'installation de programmes malveillants au niveau des terminaux. Grâce au logiciel Trusteer Rapport, les équipes de lutte contre la fraude et d'assistance disposent d'un moyen simple et efficace de remédier aux menaces pesant sur les terminaux et de garantir la sécurité optimale des services bancaires en ligne. Empêcher l hameçonnage de données d'identification et de coordonnées de carte bancaire. Pour lutter contre le vol de données d'identification et de coordonnées de carte bancaire, le logiciel Trusteer Rapport détecte les sites présumés de hameçonnage lors du premier accès d'un utilisateur protégé. Le logiciel alerte l'utilisateur de l'éventualité d'une tentative de hameçonnage afin d'éviter toute perte de données. Les experts du Trusteer Cybercrime Intelligence Center vérifient, en temps quasi réel, que le site est réellement malicieux. Le site est alors ajouté à la liste noire de Trusteer Rapport afin d'éviter que d'autres utilisateurs ne fassent l'objet d'un hameçonnage. L'institution financière en est également avertie afin de permettre une application de mesures opportune et l'attribution de nouvelles données d'identification à l'utilisateur. Détecter les infections par programmes malveillants. Le logiciel Trusteer Pinpoint détecte les signes laissés par un programme malveillant au niveau d'un terminal connecté à un site bancaire en ligne. Il identifie le kit de programmes malveillants spécifique, les banques ciblées et le type d'attaque (p.ex. vol de données d'identification, transactions frauduleuses automatisées, etc.). Les banques peuvent alors s'appuyer sur les informations remontées par la détection afin de prévenir la fraude en changeant le flux dans l application, en augmentant le niveau de risque dans les moteurs d'évaluation des risques, en révisant manuellement les transactions infectées et en supprimant l'infection à l'aide du logiciel Trusteer Rapport. La détection de programmes malveillants s'effectue en temps quasi réel. De plus, il n'est pas nécessaire d'installer le logiciel au niveau du terminal. La détection se fait de façon transparente vis-à-vis de l'utilisateur et n'a aucun impact sur le temps de réponse des applications étant donné que l'analyse du terminal se fait en parallèle de la session des services bancaires. Identifier les incidents de type hameçonnage en temps quasi réel. Le logiciel Trusteer Pinpoint identifie en temps quasi réel les incidents de hameçonnage et le vol de données d'identification associé. Il en informe immédiatement l'institution bancaire, afin qu'elle puisse attribuer directement de nouvelles données d'identification à l'utilisateur, et ainsi, bloquer l'accès frauduleux au compte de la victime. La suppression du site de hameçonnage est alors lancée, tandis que le logiciel Trusteer Pinpoint continue à assurer une protection contre les tentatives de hameçonnage du site. Prévention des risques de fraude mobile Le navigateur Trusteer Mobile Browser intègre plusieurs couches de protection, en aidant notamment à : Protéger l'accès au Web à partir d'un mobile. Les organisations peuvent faire en sorte que seuls les clients des services bancaires en ligne utilisant Trusteer Mobile Browser puissent accéder à leurs sites Web, garantissant ainsi un accès sécurisé. Dès qu'un utilisateur accède à un site Web protégé, une évaluation exhaustive du comportement en termes de sécurité est réalisée sur l'appareil. Trusteer Mobile Browser répertorie les facteurs de risque que présente l'appareil mobile et les transfère au site Web de l'organisation ainsi qu'à IBM Security Trusteer Mobile Risk Engine, si ces derniers concourent à l'évaluation des risques mobiles.

6 6 Prise en charge des recommandations de la Banque centrale européenne relatives à la sécurité des paiements par Internet Alerter les utilisateurs des risques que présente l'appareil en termes de sécurité. Les utilisateurs de Trusteer Mobile Browser peuvent consulter le statut de sécurité de leur appareil via un tableau de bord dédié. Les signes témoignant d'une infection par programme malveillant, les connexions Wifi non sécurisées et autres risques en termes de sécurité sont identifiés. Les utilisateurs peuvent pallier à ces risques en suivant les instructions détaillées de résolution indiquées par l'application. Protéger les utilisateurs des faux sites Web. L'application Trusteer Mobile App protège les utilisateurs des attaques de hameçonnage. Lors de l'accès à un site Web protégé, il est possible d'éviter le piratage de session (attaque de type «Manin-the-Middle») et les attaques par redirection grâce à la validation préalable des données. Synthèse : Au fur et à mesure du temps, les mesures de sécurité sont susceptibles d'être contournées. C'est pourquoi il est vital que les institutions financières mettent en œuvre des solutions intégrant plusieurs couches de sécurité. Trusteer Cybercrime Prevention Architecture offre plusieurs couches de protection. Le logiciel Trusteer Rapport constitue le premier ensemble de couches protégeant les appareils des utilisateurs finaux contre les infections et les attaques des programmes malveillants sur les applications client, tel le navigateur Web. Le logiciel Trusteer Pinpoint forme un deuxième ensemble de couches qui détecte les appareils et les sessions à hauts risques, ainsi que les tentatives d hameçonnage. Pour terminer, le navigateur Trusteer Mobile Browser renforce le niveau de protection en créant une troisième couche, spécifiquement destinée à l'accès Web à partir d'un mobile. Grâce à ces trois couches combinées, Trusteer Cybercrime Prevention Architecture aide les institutions financières à répondre efficacement à la recommandation de la BCE relative à la sécurité par couches. Protections étendues à l'appareil du client En termes de gestion et de limitation des risques, une bonne pratique que les régulateurs de la BCE recommandent pour les banques est qu'elles fournissent «des outils de sécurité (p.ex. appareils et/ou navigateurs personnalisés correctement sécurisés) pour protéger l'interface client des utilisations illégales ou des attaques (p.ex. attaques de type Man in the browser).» 1 (4.1 BP) Les régulateurs mettent en garde contre les programmes malveillants de type Man-in-the-Browser, lesquels constituent la source principale des fraudes en ligne. Les recommandations de la BCE abordent également la nécessité de confirmer l'inviolabilité des technologies d'authentification client forte (recommandation 7). Les cybercriminels ont développé différentes techniques pour contourner les technologies d'authentification forte, la plupart se basant sur des attaques par programmes malveillants. Par exemple, ils exploitent l'ingénierie sociale pour piéger les utilisateurs avec le téléchargement de dispositifs de transfert de SMS sur leurs appareils mobiles de sorte à intercepter les mots de passe temporaires que les banques envoient par SMS afin de les utiliser pour authentifier des transactions frauduleuses. Dans d'autres attaques, les programmes malveillants injectent des transactions frauduleuses dans des sessions de services bancaires en ligne totalement valides et authentifiées, et ce tout en masquant les informations des transactions et du solde qui en résulte aux yeux de l'utilisateur final. Trusteer Cybercrime Prevention Architecture privilégie l'appareil utilisateur comme première ligne de défense dans le cadre des transactions en ligne, étant donné que le terminal utilisateur est communément considéré comme constituant le maillon faible de la chaîne de sécurité des services bancaires sur Internet. Grâce aux solutions Trusteer, la couche de protection s'étend au-delà des

7 IBM Software 7 murs de l'institution financière jusqu'au bureau ou jusqu'à l'appareil mobile du client, car c'est là que les transactions frauduleuses sont lancées et les données d'identification volées sans que l'utilisateur ne s'en aperçoive. Synthèse : L'appareil de l'utilisateur constitue le maillon faible de la chaîne de sécurité de la prévention contre la fraude. En étendant les défenses au terminal client afin de prévenir et de détecter les programmes malveillants ainsi que le hameçonnage et les anomalies des appareils et des sessions, une véritable «première ligne» est mise en place avant qu'une transaction frauduleuse ne soit lancée. Plus les tentatives de fraude sont identifiées et évitées rapidement, moins l'impact se fait ressentir par l'institution financière au niveau de ses clients, de ses ressources internes et du contrôle réglementaire. Evaluation des risques basée sur l'intelligence en temps quasi réel Conformément aux recommandations de la BCE, un élément essentiel pour les fournisseurs est «d'évaluer les risques spécifiques associés à la mise à disposition de services de paiement par Internet. Les évaluations de ce type de risques doivent être régulièrement revues pour suivre l'évolution des menaces de sécurité et des mécanismes de fraude sur Internet.» 1 Aussi, les fournisseurs sont tenus d'adapter leurs contrôles de sécurité afin de faire face aux changements des menaces. Pour bon nombre d'organisations, l'évaluation des risques représente un véritable défi. Les équipes de lutte contre la fraude et de sécurité recueillent des informations sur les menaces auprès de différentes sources afin de comprendre la nature des menaces visant leur région, leur secteur et leur institution spécifique. Elles peuvent ainsi déterminer si leurs contrôles sont adaptés pour y faire face. Le centre IBM Security Trusteer Cybercrime Intelligence Center peut aider les institutions financières à se conformer aux recommandations de la BCE concernant les évaluations de risques continues. Près de 300 millions de terminaux protégés par Trusteer détectent en permanence de nouvelles menaces et font remonter les informations concernant la logique d'infraction (c.-à-d. la tactique d'une attaque) au Cloud Trusteer Cybercrime Intelligence. Les experts du Trusteer Cybercrime Intelligence Center exploitent les informations relatives aux menaces sur différentes institutions financières et s'appuient sur des outils avancés d'analyse et d'exploration des données pour mettre au jour de nouvelles logiques d'infraction. Les institutions financières peuvent également contrôler les risques et l'état de la sécurité d'un terminal, ainsi que le déploiement et l'utilisation des couches de protection Trusteer au niveau dudit terminal. Elles peuvent réagir aux alertes concernant des risques spécifiques en suspendant les transactions, en supprimant les sites d hameçonnage, en attribuant de nouvelles données d'identification aux utilisateurs et en éliminant les programmes malveillants des terminaux infectés. Synthèse : Il est nécessaire de rechercher les différentes menaces afin de respecter les recommandations de la BCE concernant l'évaluation continuelle des risques. Les institutions financières qui ne disposent pas des ressources nécessaires pour mener à bien leur propre recherche de menaces sont invitées à collaborer avec une société comme IBM, qui dispose d'un réseau dédié de prévention contre la fraude mondiale ainsi que des procédures, des effectifs et de l'expertise pour réaliser une évaluation continuelle des risques. Détection précoce des anomalies dans les transactions La recommandation de la BCE concernant le contrôle des transactions (recommandation 10) stipule que les institutions financières «doivent utiliser des systèmes de prévention et de détection des fraudes afin d'identifier les transactions suspectes avant que le PSP ne les valide définitivement». 1 La recommandation indique également que «lesdits systèmes doivent également être en mesure de détecter les signes d'une infection par programme malveillant au sein de la session (p.ex. validation par script/validation manuelle) ainsi qu'identifier les scénarios de fraude connus». 1 (10.1 KC) L'origine des fraudes venant généralement des programmes malveillants, il est nécessaire d'empêcher lesdits programmes d'infecter l'ordinateur du client et de falsifier des transactions ou d'en émettre de frauduleuses pour éviter toute fraude.

8 8 Prise en charge des recommandations de la Banque centrale européenne relatives à la sécurité des paiements par Internet Dans la lutte contre la fraude, certaines approches s'attachent à détecter les transactions anormales. Cette détection intervient généralement après la soumission d'une transaction, mais avant le retrait des fonds sur le compte. De par la nature statistique de ces approches, il est possible d'obtenir des faux positifs (c'est-à-dire que des transactions authentiques sont considérées comme des fraudes présumées). Minimisation de l'impact sur l'utilisateur final Un bon équilibre entre sécurité, transparence, maniabilité et interopérabilité est nécessaire pour prévenir la fraude bancaire en ligne. Les solutions côté serveur font preuve de transparence, mais manquent souvent de visibilité concernant les programmes malveillants infectant les terminaux, origine principale de bien des fraudes. Bien souvent, les équipes de lutte contre la fraude éprouvent des difficultés à passer en revue efficacement le grand nombre de transactions anormales et peuvent avoir besoin de contacter les titulaires des comptes pour valider une transaction. De ce fait, certaines transactions authentiques peuvent être rejetées, tandis que certaines activités frauduleuses peuvent contourner les contrôles de sécurité. Le logiciel Trusteer Rapport empêche l'infection initiale, qui constitue la première étape dans le cycle d'une attaque. Si le programme malveillant est déjà hébergé sur la machine, il peut être empêché d'attaquer le navigateur et d'autres services clés, un aspect important dans la configuration d'une attaque. La capacité de détection des programmes malveillants sans client de Trusteer Pinpoint permet d'identifier les activités anormales et risquées au moment de la connexion avant qu'une tentative de fraude réelle ne se produise. Les données relatives aux risques sont renseignées dans des moteurs d'évaluation des risques ou dans l'application bancaire en ligne. Des niveaux de risques ajustés selon les transactions peuvent servir à restreindre l'accès à certaines fonctions, comme l'ajout de bénéficiaire ou le virement de fonds. Dans les deux cas, le logiciel Trusteer détecte les programmes malveillants au niveau du terminal et assure la protection de ce dernier afin d'empêcher la soumission de transactions anormales. Synthèse : Pour éviter efficacement les fraudes, il est nécessaire d'empêcher un programme malveillant de générer une transaction frauduleuse. Le logiciel Trusteer prévient les transactions anormales, conformément aux recommandations de la BCE. Dans la recommandation relative au contrôle des transactions, un point essentiel indique que les banques «doivent exécuter des procédures de filtrage et d'évaluation des transactions dans un intervalle de temps approprié, afin de ne pas retarder excessivement l'approbation et/ou l'exécution du service de paiement concerné». 1 (10.4 KC) Un autre point à prendre en compte selon cette recommandation, dans le cas du blocage d'une transaction de paiement présumée frauduleuse, est que la banque doit «maintenir le blocage sur une période la plus courte possible jusqu'à la résolution des problèmes de sécurité». 1 (10.5 KC) Bien qu'aucun intervalle spécifique ne soit défini, l'objectif est de limiter l'impact négatif sur l'utilisateur final, souvent associé à des solutions plus basiques de prévention contre la fraude. Certaines solutions impliquent que les utilisateurs finaux modifient leur façon d'accéder aux applications Web afin de limiter leur exposition. L'impact des solutions de ce type est considérable par rapport à l'acceptation des utilisateurs finaux et à l'adoption de la prévention contre la fraude. Le logiciel Trusteer Rapport permet aux utilisateurs de continuer à utiliser leurs PC (Microsoft Windows ou Mac) et le navigateur commercial de leur choix (p.ex. Internet Explorer, Firefox, Chrome ou Safari). Il permet également aux clients d'imprimer ou d'utiliser des applications tierces. La protection de Trusteer Rapport s'exécute en arrière-plan et nécessite une interaction moindre de l'utilisateur.

9 IBM Software 9 Synthèse : Pour inciter les utilisateurs finaux à adopter des solutions de prévention contre la fraude, l'impact sur les flux métiers quotidiens doit être limité. En effet, les utilisateurs finaux cherchent bien souvent des moyens d'interrompre les contrôles de sécurité proposés lorsque leur productivité est affectée. Le logiciel Trusteer Rapport a un impact minime sur l'expérience de l'utilisateur final, ce qui accélère son adoption. Limitation des coûts d'exploitation, de gestion et de déploiement Les coûts et la complexité de la mise en œuvre d'une solution de détection et de prévention contre la fraude varient sensiblement d'un produit à l'autre. Par exemple, au cours de la phase de déploiement initial, certaines solutions demandent un effort considérable pour établir et corroborer un point de comparaison statistique concernant l'activité normale de l'utilisateur. Une fois ce point établi, les équipes de lutte contre la fraude doivent généralement traiter un grand nombre de cas de fraude présumée, se basant sur les divergences avec le profil. Il s'agit souvent de faux positifs. Lorsqu'une fraude ou une transaction frauduleuse est détectée, la suppression du programme malveillant s'avère souvent complexe et rébarbative pour les institutions financières. Dans d'autres approches, les utilisateurs finaux se voient distribuer des dispositifs matériels ou des logiciels complexes (p.ex. générateurs portatifs de mots de passe temporaires ou d'authentification par PIN). Ces déploiements impliquent des frais d'expédition, de suivi et d'approvisionnement, des processus de mise à jour lourds et complexes, ainsi que des frais généraux logistiques lorsque les appareils doivent être remplacés suite à une perte ou à un dysfonctionnement. Les utilisateurs finaux et les équipes d'assistance des institutions financières ont pour tâche de restaurer les terminaux dans un état normal après une tentative de fraude par un programme malveillant. Il est courant que les seules options s'offrant aux utilisateurs finaux soient de reformater le disque dur de leur ordinateur ou de restaurer leur système d'exploitation sur les paramètres d'usine. Ces types d'approches sont véritablement contraignants. Le logiciel Trusteer, quant à lui, devient rapidement rentable grâce aux capacités suivantes : Aucun faux positif. Le logiciel Trusteer détecte la logique d'infraction sous-jacente (le mode opératoire) du programme malveillant afin de détecter la fraude de façon précise (et non pas en fonction d analyses de statistiques). Etant donné qu'il n'y a aucun faux positif, les coûts d'exploitation engendrés par les passages en revue manuels et l'assistance aux clients sont significativement réduits. Résolution et suppression des programmes malveillants. Le logiciel Trusteer Rapport peut automatiser la suppression des programmes malveillants. Evolutivité sur les canaux particuliers et professionnels. Le logiciel Trusteer aide à protéger les clients particuliers et professionnels des services bancaires en ligne. Les institutions financières n'ont pas à combiner différentes technologies, une procédure susceptible d entraîner des redondances et des frais de gestion. Assistance à l'environnement de l'utilisateur final. Avec le logiciel Trusteer, les utilisateurs finaux peuvent utiliser le navigateur de leur choix (p.ex. Internet Explorer, Firefox, Chrome et Safari), leur plateforme PC (toutes versions de Windows et Mac) et les bureaux à distance (machines virtuelles locales, hébergées et partagées). Aucun changement pour les flux métier de l'utilisateur final ou pour les applications tierces. Avec les logiciels Trusteer Rapport et Trusteer Pinpoint, il n'y a aucun changement dans l'utilisation d'applications tierces, ni de modifications sur les flux métier existants. Déploiement de la solution gérée par le fournisseur et assistance client dédiée : Les institutions financières ne disposent généralement pas du personnel et des compétences nécessaires pour gérer et déployer correctement de nouvelles solutions de prévention contre la fraude tout en assurant une assistance à l'utilisateur final continue. IBM administre automatiquement son service pour faire bénéficier les clients d'une protection continue contre de nouvelles menaces. Le service Trusteer Pinpoint basé sur le Cloud nécessite un changement léger au niveau de l'application bancaire en ligne. Il s'intègre facilement aux processus de prévention contre la fraude des institutions financières. Le logiciel Trusteer Rapport est proposé aux utilisateurs finaux lors de la connexion via un message de démarrage d'ibm, permettant un déploiement obligatoire ou par une adhésion. Les utilisateurs finaux bénéficient d'une assistance dédiée 7j/7 24h/24 pour résoudre toutes questions techniques relatives à l'installation ou à l'utilisation du produit.

10 10 Prise en charge des recommandations de la Banque centrale européenne relatives à la sécurité des paiements par Internet Synthèse : IBM peut aider les institutions financières à se conformer aux recommandations de la BCE en termes de temps et de budget grâce à un déploiement rapide et une limitation des besoins de lancement et d'assistance à la fois pour le personnel des institutions financières et pour les utilisateurs finaux. Les capacités de résolution et de suppression des programmes malveillants permettent aux utilisateurs sujets à une infection de restaurer rapidement leurs systèmes à un état normal de sorte que leur productivité ne soit pas affectée. Les mises à jour logicielles, lorsqu'elles sont nécessaires, émanent généralement du Cloud IBM Security Trusteer afin de limiter l'impact sur l'utilisateur et de veiller à ce que les protections s'adaptent aux nouvelles menaces. Collaboration avec un fournisseur réputé de solutions de prévention contre la fraude bancaire en ligne En collaborant avec un fournisseur réputé, les institutions financières sont plus à même de répondre efficacement aux recommandations de la BCE et de prévenir la fraude. Les points importants à prendre en compte sont la renommée mondiale du fournisseur et ses succès opérationnels démontrant son aptitude à détecter les changements en termes de menaces, les analyser et assurer l'efficacité de ses contrôles de sécurité au fil du temps. Synthèse : En collaborant avec IBM, les institutions financières pourront bénéficier de sa longue expérience au service de centaines d'institutions et de près de 300 millions d'utilisateurs finaux, ainsi que de son aptitude éprouvée à assurer une prévention contre la fraude au fil du temps. Conclusion En règle générale, les pirates observent le comportement de l'utilisateur et du compte avant d'attaquer leur cible. Ils excellent à outrepasser les contrôles de sécurité, comme les contrôles basés sur les risques et l'authentification forte. C'est la raison pour laquelle les contrôles de sécurité statiques ont été inefficaces pour enrayer la fraude bancaire en ligne. Le logiciel Trusteer peut aider les institutions financières à se conformer aux recommandations principales de la BCE en vue d'une prévention pérenne contre la fraude bancaire en ligne. Grâce à la combinaison des couches de protection au niveau des terminaux qu'offrent le logiciel Trusteer Rapport et l'application Trusteer Mobile App avec les couches de détection sans client de Trusteer Pinpoint, une organisation peut mettre en place une sécurité par couches. Les informations en temps quasi réel concernant les menaces adaptent continuellement les couches de sécurité, et ce, dans un souci de conformité avec la recommandation de la BCE en termes de gestion et de limitation des risques. Les logiciels Trusteer Rapport et Trusteer Pinpoint forment, quant à eux, une solution de contrôle des transactions exhaustive grâce au blocage et à la suppression des programmes malveillants sur les appareils et grâce à la détection des appareils et sessions infectés par des programmes malveillants. Cette capacité fondamentale aide à stopper les transactions frauduleuses avant leur soumission. Grâce à une première ligne de défense au niveau du terminal, le logiciel Trusteer aide à contrer les attaques des programmes malveillants qui, en d'autres circonstances, contourneraient les technologies d'authentification forte.

11 IBM Software 11 De plus, le logiciel Trusteer propose des contrôles de sécurité efficaces, rentables, non entravés par : une faible maniabilité, un support de plateforme limité, des processus de déploiement lourds et une détection tardive des transactions frauduleuses. A propos des solutions IBM Security IBM Security offre un portefeuille de produits et de services de sécurité professionnels des plus avant-gardistes et des plus intégrés. Ce portefeuille, étayé par la recherche et le développement IBM X-Force de renommée mondiale, fournit des informations sur la sécurité afin d'aider les organisations à protéger de façon holistique leur personnel, leurs infrastructures, leurs données et leurs applications, tout en proposant des solutions de gestion de l'identité et de l'accès, de sécurité des bases de données, de développement des applications, de gestion des risques, de gestion des terminaux, de sécurité du réseau, et bien plus encore. Grâce à ces solutions, les organisations sont à même de gérer efficacement les risques encourus ainsi que de mettre en place une sécurité intégrée pour les appareils mobiles, le Cloud, les réseaux sociaux et autres architectures métier. IBM gère l'une des organisations mondiales les plus importantes en termes de recherche, développement et livraison. IBM surveille 13 milliards d'événements de sécurité par jour dans plus de 130 pays et détient plus de brevets relatifs à la sécurité. Pour en savoir plus Pour en savoir plus sur IBM Security Trusteer Cybercrime Prevention Architecture, contactez votre représentant ou partenaire commercial IBM ou visitez le site Web suivant : ibm.com/fr/security Pour en savoir plus sur les recommandations de la Banque Centrale Européenne (BCE), Recommendations For The Security Of Internet Payments (2013), visitez : recommendationssecurityinternetpaymentsoutcomeof pcfinalversionafterpc201301en.pdf

12 Compagnie IBM France 17 avenue de l Europe Bois Colombes Cedex France La page d'accueil IBM est accessible à l'adresse : ibm.com IBM, le logo IBM, ibm.com, Trusteer, Trusteer Pinpoint, Trusteer Rapport et X-Force sont des marques ou des marques déposées d'international Business Machines Corporation aux Etats-Unis et/ou dans certains autres pays. Si ces marques et d'autres marques d'ibm sont accompagnées d'un symbole de marque ( ou ), ces symboles signalent des marques d'ibm aux Etats-Unis à la date de publication de ce document. Ces marques peuvent également exister et éventuellement avoir été enregistrées dans d'autres pays. Une liste à jour des marques déposées d'ibm est disponible sur le Web à la section «Copyright and trademark information» à l'adresse ibm.com/legal/copytrade.shtml Microsoft est une marque de Microsoft Corporation aux États-Unis et/ou dans certains autres pays. Les autres noms de produits, de sociétés et de services peuvent appartenir à des tiers. 1 Banque Centrale Européenne (BCE) Recommendations For The Security Of Internet Payments (2013). Extrait de : y internetpaymentsoutcomeofpcfinalversionafterpc201301en.pdf Dans cette publication, les références à des produits, logiciels et services IBM n'impliquent pas qu'ibm prévoie de les commercialiser dans tous les pays où IBM est implanté. Toute référence à un produit, logiciel ou service IBM n'implique pas que seul ce produit, logiciel ou service puisse être utilisé. Tout autre élément fonctionnellement équivalent peut être utilisé. Cette publication est fournie à titre de conseil uniquement. Les informations qu'elle contient sont soumises à modification sans préavis. Pour obtenir les informations les plus récentes sur les produits et services proposés par IBM, contactez votre service ou revendeur IBM local. IBM ne fournit aucun conseil juridique, comptable ou d'audit. IBM n'émet aucune déclaration ni aucune garantie quant à la conformité de ses produits ou de ses services avec la législation en vigueur. Il incombe aux clients de se conformer aux lois et réglementations applicables sur les valeurs mobilières, et notamment aux lois et réglementations nationales. Copyright IBM Corporation 2014 Recyclable WGW03072-FRFR-00