Association des Experts Européens en Systèmes de Transactions Electroniques Référentiel de Labellisation des Experts Ref : EESTEL RLE 1.3
Contrôle du document Nom du document Référence Date de version Association des Experts Européens en Systèmes de Transactions Electroniques Référentiel de Labellisation des Experts 1.3 28/11/2010 Auteurs du document Didier HALLÉPÉE dhallepee@fondcombe.com EESTEL Entité Membres Membres Destinataire COREF EESTEL Organisme Liste des révisions Version Date Modifications V 1.0 10/06/2010 10/06/2010 V 1.1 08/07/2010 08/07/2010 V 1.2 19/09/2010 09/07/2012 V 1.3 28/11/2010 09/07/2012 Contacts Eric NIZARD - Président de l Association EESTEL - eric.nizard@eestel.com - Tél : +33 1 46 62 91 00 Didier HALLÉPÉE Vice-président de l Association EESTEL - dhallepee@eestel.com - Tél : +33 6 81 69 80 10 2
1 Préambule Ce document constitue une trame à compléter pour chaque domaine par les membres d EESTEL. 1.1 Présentation d EESTEL EESTEL, association d'experts en systèmes de transactions électroniques, contribue à promouvoir et normaliser l'état de l'art en la matière. EESTEL est née en 1998 de la réunion des quelques membres fondateurs et de la demande de grands organismes d'allier expertise et expérience au sein d'une structure au jugement global et indépendant. Les experts d'eestel ont mené à bien d'importants projets de développement et de certification de systèmes de paiement, télébillettique, dématérialisation... Leurs prestations sont outillées, démultipliant ainsi leur portée, et ils opèrent dans le monde entier. La légitimité d'eestel tient au respect de ses principes fondateurs : - l'excellence d'un réseau fédéré de spécialistes des systèmes de transactions électroniques, incluant les cartes à puce, les terminaux, les réseaux, la sécurité et les technologies permettant acquisition, émission et autorisation, - une gamme étendue de services dans ce domaine, - une indépendance totale de tout groupe financier ou industriel. EESTEL représente près de 1.000 années / homme d'expérience en conseil, accompagnement, analyse des besoins, rédaction de cahier des charges, spécifications, déploiement de solutions, tests, certification... EESTEL offre un catalogue de formations en systèmes et services de transactions électroniques, assurées par ses membres, et, depuis 2009, propose une approche commerciale et opératoire qui intègre les contributions de ses membres. EESTEL est une association de droit français (loi du 1er juillet 1901) ouverte à des PME indépendantes. 1.2 Objectifs du label EESTEL, association d'experts en systèmes de transactions électroniques, contribue à promouvoir et normaliser l'état de l'art en la matière. EESTEL est née en 1998 de la réunion des quelques membres fondateurs et de la demande de grands organismes d'allier expertise et expérience au sein d'une structure au jugement global et indépendant. Les experts d'eestel ont mené à bien d'importants projets de développement et de certification de systèmes de paiement, télébillettique, dématérialisation... Leurs prestations sont outillées, démultipliant ainsi leur portée, et ils opèrent dans le monde entier. Ces experts connaissent le domaine de leur expertise et sont capables de réutiliser cette expertise dans d autres domaines relatifs aux systèmes de transactions électroniques. Afin de valoriser ce type d expertise et ainsi de légitimer les experts existants, puis dans l optique de l étendre à d autres experts que ses membres, EESTEL met en œuvre une démarche de labellisation des experts en systèmes de transactions électroniques. Les experts sont des individus et non des sociétés. 3
2 Définition des domaines d expertise 2.1 Définition du domaine professionnel : systèmes de transactions électroniques Le domaine professionnel des systèmes de transactions électroniques est constitué de l ensemble des fonctions, services et dispositifs permettant d initier, d acheminer et de traiter des transactions électroniques dans un environnement de confiance. Sont associés aussi les processus et les procédures permettant de réaliser ces transactions. 2.2 Décomposition du domaine professionnel en domaines d expertise Les systèmes de transactions électroniques portent sur plusieurs domaines fonctionnels ou techniques. La labellisation porte sur deux types d expertise : expertise fonctionnelle et expertise technique. Néanmoins le label «Expert EESTEL en systèmes de transactions électroniques» est, lui, unique. A ce label unique est associé un référentiel lui aussi unique. Il est décrit dans ce document. On définit un Tronc Commun au domaine des systèmes de transactions électroniques. Ce tronc commun est composé : - des définitions communes aux différents domaines - des exigences communes aux différents domaines 2.2.1 Matrice d expertise fonctionnelle Les Systèmes de transactions Electroniques sont au service de plusieurs domaines fonctionnels, pouvant eux-mêmes être subdivisés en spécialités, comme l illustre la matrice suivante : Remarque : la notation «e-» est utilisée ici comme abréviation de «électronique» 4
2.2.2 Matrice d expertise technique Les Systèmes de transactions Electroniques sont mis en œuvre à travers plusieurs domaines techniques, pouvant eux-mêmes être subdivisés en spécialités, comme l illustre la matrice suivante : 3 Détail 3.1 Domaines Fonctionnels (DF) 3.1.1 Paiement Le domaine fonctionnel Paiement recouvre une connaissance des fonctions permettant d effectuer un paiement électronique, que celui-soit un paiement de proximité ou un paiement à distance, un paiement isolé ou un paiement de masse, un paiement domestique ou un paiement international. Les fonctionnalités du paiement couvrent : - L émission du paiement en utilisant le support approprié (carte, internet, mobile, ) - Le transport des flux relatifs à l acte de paiement - Les mécanismes de compensation et de règlement associés - Les contraintes règlementaires concernant l irrévocabilité, la répudiabilité ou la contestation - Les mécanismes de sécurité associés - Les modèles économiques (commissions, ) associés Le domaine fonctionnel paiements couvre plusieurs sous-domaines complémentaires : - Bancaire o Les instruments bancaires o Mécanismes de compensation o Mécanismes de règlement o Irrévocabilité, répudiabilité, contestation - Interbancaire o Paiement par carte bancaire (CB, Visa, Mastercard) o Compensation (Clearing) et règlement (settlement) tous moyens de paiements (PeAch, Csm, T2, E1, ) o Organisation de la compensation interbancaire et des flux de règlement associés - Privatif 5
o Paiement par carte privative o Connaissance des crédits associés (notamment revolving) o Connaissance des fonctionnalités associées (fidélité, ) o Connaissance des organisations multi-enseignes - SEPA o Virements Sepa (SCT) o Prélèvements Sepa (SDD) o Cartes SEPA (SCF) o Les fonctions «paiements» en entreprise, administration publique hors les banques et les établissements financiers o Industrie bancaire des paiements o Génération de plateforme industrielle de paiements - Prépaiement o Connaissance des mécanismes du prépaiement (ticketing, couponing, cartes cadeau) - Porte Monnaie Electronique - Multiapplications ou multiservices 3.1.2 Services Marchands Le domaine fonctionnel Services Marchands recouvre une connaissance approfondie des fonctionnalités marketing et commerciales de la Relation Client associées aux transactions électroniques et notamment au paiement. Le domaine fonctionnel Services Marchands couvre plusieurs sous-domaines : - Fidélité o Gestion des comptes permettant la fidélisation du client, notamment associés à un support de paiement o Gestion et personnalisation des supports o Les modèles économiques (commissions, ) associés o Connaissance des organisations multi-enseignes - Affinité o Gestion des comptes permettant la mise en œuvre de dispositifs affinitaires o Gestion et personnalisation des supports o Les modèles économiques (commissions, ) associés - Carte Cadeau o Connaissance des mécanismes de la Carte Cadeau o Connaissance des supports de la Carte Cadeau o Connaissance des modèles économiques de la Carte Cadeau 3.1.3 Billettique Le domaine fonctionnel Billettique recouvre une connaissance approfondie des fonctionnalités permettant l émission et l utilisation de billets électroniques Le domaine fonctionnel Billettique couvre plusieurs sous-domaines : - transport de surface Dans le transport de surface, le domaine Billettique traite de l émission de billets électroniques (coupon isolé ou abonnement, à leur vente (en guichet, à distance ou sur automate), à leur validation (notamment en tenant compte des contraintes de gestion des flux voyageurs), à leur contrôle, à la multimodalité (utilisation de plusieurs modes de transport avec un seul billet), aux modèles 6
économiques associés. Cette connaissance s inscrit dans la connaissance des principales organisations représentatives du transport en commun (STIF, SNCF, RATP, transports régionaux) - transport aérien Dans le transport aérien, le domaine billettique traite de l émission de billets électroniques, de leur vente, leur contrôle et s inscrit dans la connaissance des principaux acteurs concernés (Sita, voyagistes, compagnies aériennes) - la billetterie électronique. Vente, contrôle, gestion des places disponibles 3.1.4 Identité Le domaine fonctionnel Identité recouvre une connaissance approfondie des fonctionnalités permettant l identification des personnes physiques ou morales, l authentification de cette identité et son utilisation. La gestion des identités numériques est l une des technologies clefs du développement des usages de l économie numérique. La problématique de confiance numérique et de protection des informations privées détermine les choix du degré de dématérialisation que les usagers sont prêts à accepter, assumer. Les défis à relever sont donc nombreux : - Technique : il convient de disposer de systèmes sûrs, rapides et standards ; - Economique : une diminution des coûts qui ne peut s envisager que dans l interopérabilité; - Sociétal : il faut assurer l acceptabilité de ces évolutions par la confiance dans les acteurs et les organisations mises en place. Le domaine fonctionnel Identité couvre plusieurs sous-domaines : - Carte d Identité électronique La Carte d Identité électronique couvre plus généralement tous les dispositifs régaliens numériques permettant l identification de l individu au niveau national. - Passeport électronique La Carte d Identité électronique couvre plus généralement tous les dispositifs régaliens numériques permettant l identification de l individu au niveau international. - Biométrie La Biométrie couvre plus généralement tous les dispositifs numériques permettant d associer l identification numérique à la personne physique. - Identification forte L Identification forte couvre tous les dispositifs numériques permettant d authentifier l identification dans le monde numérique. 3.1.5 Santé Le domaine fonctionnel Santé recouvre une connaissance approfondie des fonctionnalités permettant l utilisation de dispositifs numériques dans le domaine de la santé. Le domaine fonctionnel Santé couvre plusieurs sous-domaines : - Carte Vitale La Carte Vitale couvre plus généralement tous les dispositifs permettant d identifier le bénéficiaire de droits à prestation santé (Sécurité sociale et mutuelles), de mettre en œuvre les mécanismes de tiers payant et de remboursement, de transporter les transactions correspondantes. - Dossier Médical Personnalisé électronique 7
Le Dossier Médical Personnalisé électronique couvre plus généralement tous les dispositifs permettant de stocker les informations santé individuelles, d en assurer la confidentialité et d en assurer la mise à disposition des professionnels de santé concernés en tenant compte des contraintes administratives (public / libéral) et organisationnelles (praticien référent / spécialiste / centres hospitaliers / déplacements à l étranger). - Assistance santé à distance L assistance santé à distance recouvre toutes les dispositions permettant la mise en œuvre de prestations santé à distance (assistance opératoire à distance, auto médication assistée, etc.) dans un contexte assurant la confidentialité des flux, leur disponibilité technique et l insertion dans les autres dispositifs électroniques liés à la santé. 3.1.6 e-administration Le domaine fonctionnel e-administration recouvre une connaissance approfondie des fonctionnalités permettant l utilisation de dispositifs numériques dans le domaine de l Administration ainsi que l utilisation de moyens numériques de contrôle liés à l activité Publique. Les initiatives prises en matière d'administration électronique recentrent le débat sur plusieurs questions : comment les organismes publics peuvent-ils collaborer plus efficacement entre eux en vue de résoudre des problèmes complexes communs? Comment renforcer l'écoute du client et tisser des liens avec des partenaires du secteur privé? Les administrations publiques doivent apporter des réponses à ces questions pour rester réceptives aux aspirations du public. Le domaine fonctionnel e-administration couvre plusieurs sous-domaines : - Administration en ligne L administration en ligne couvre tous les dispositifs numériques utilisés dans la mise en relation entre administration et administré avec nécessité d identification de l usager et authentification de la transaction. - Carte d Achat La Carte d Achat couvre un dispositif de paiement par carte bancaire spécifiquement adapté aux administrations publiques et privées et permettant la mise en œuvre de dispositifs de régulation (contrôles, délégation, ) spécifiques. - Carte Ville La Carte Ville couvre les dispositifs permettant la gestion électronique de l utilisation des infrastructures locales de service par les ayants-droits : inscription, réservation, justification de droits, paiement, etc. - Vote dématérialisé Le vote dématérialisé couvre les systèmes électroniques physiques ou virtuels permettant la mise en œuvre de systèmes de consultation publics (étatiques, locaux ou privés) permettant de respecter les requis de confidentialité individuels, de publicité des résultats et de traçabilité du processus. - Sécurité routière électronique La Sécurité routière électronique couvre les systèmes électroniques physiques ou virtuels permettant la mise en œuvre de systèmes de contrôle règlementaires liés à la sécurité routière : contrôle de vitesse, contrôles des contraintes règlementaires liées à la circulation des poids-lourds, etc. 3.2 Domaines Techniques (DT) Tronc commun technique : le tronc commun recouvre une connaissance d ensemble des supports, de leurs caractéristiques et des normes et standards de référence, ainsi qu une connaissance approfondie étayée par une contribution à haute valeur ajoutée à un projet ou un programme. 8
3.2.1 Facteur de forme (Objets nomades et virtuels) Le facteur de forme est le support physique ou virtuel individuel qui permet de stocker les informations personnelles, les mécanismes et les secrets destinés l identification du porteur et l authentification des transactions. Ils peuvent prendre les formes suivantes : - Carte - Puce - Mobile - Virtuel Caractéristiques - Cartes o Fabrication o Sécurité o Données et applications embarquées o Communication o Emulation de support physique (support virtuel) - Puce o contact et sans contact o EMV o Développement sur mobile - Mobile o NFC o Emulation carte bancaire o Développement sur mobile - Virtuel o Emulation de support physique (support virtuel) o carte bancaire virtuelle o cartes prépayées virtuelles Normes - ISO 7811 - ISO 7816 (1 à 16) - ISO 14443 - ISO 15693 - ISO/IEC 18092 - ISO/IEC 21481 Standards - EMV contact & contactless (level I & level II) - NFC Forum - ETSI & NFC Forum Paiements mobiles NFC - Javacard - Global Platform & Security Domain - ICAO specifications (pour passeport électronique) o LDS, Machine Readable Travel Documents Development of a Logical Data Structure Revision 1.7 o PKI for Machine Readable Travel Documents offering ICC Read-Only Access Version 1.1 o Doc 9303 Edition 6 Part 1, Part2 et Part 3 o Supplement ICAO 9303 V4.0 June 2006 o RF, Protocol and Application Test Standard for e-passport Part 1, 2, 3 and 4 9
3.2.2 Dispositifs d acceptation Le dispositif d acceptation est le support physique ou virtuel individuel qui permet d acquérir les informations personnelles, les mécanismes et les secrets destinés à l identification du porteur et l authentification des transactions. Il peut prendre les formes suivantes : - Terminaux - Dispositifs intégrés - Applications internet - Applications embarquées - Automates de vente - Automates de Libre Service Bancaire Caractéristiques - Terminaux o Terminaux autonomes o Terminaux connectés o Terminaux légers - Dispositifs intégrés o Terminaux points de vente avec dispositif de paiement intégré - Applis internet o Applications de paiement internet o Répudiabilité o 3D-Secure - Applis embarquées o Applications embarquées sur terminal o Applications embarquées sur puce o Techniques de développement o Certification - Automates de vente o Automates de vente - Transport o Automates de vente - Commerce o Automates de Distribution de Carburant (DAC) - Automates de Libre Service Bancaire Le domaine des automates de libre-service bancaire comprend 5 volets : La réglementation, les matériels, les logiciels, les services et la sécurité. o La réglementation : les manuels et règles de référence «CB» pour le retrait et le paiement sur automates bancaires multiservices, la réglementation internationale liée à EMV et à PCI, la réglementation européenne du dépôt et du recyclage automatique des billets par les automates. Les certifications. o Les matériels : les DAB, les GAB, les ILS et les bornes + Les différents modules hardware permettant le fonctionnement des services clients. o Les logiciels : les applications automates et les fonctions associées, le standard XFS, les protocoles applicatifs, la supervision, le cash management, le multicanal, le téléchargement. o Les services : les niveaux 0, 1 et 2 de maintenance, l exploitation de parcs, la logistique. o La sécurité : la sécurité logique (protection des données) et la sécurité physique (coffres, mesures contre la fraude, maculation, LTS). Normes - EN1545 et 12896 (billettique) 10
- EN 1118 (DAC) Standards - EMV contact & contactless (level I & level II) - MPE, MPA, MPAA, MPAP - 3D Secure (Verified by Visa, Mastercard Secure Code) - Architecture de service (ARS, ACS) - PCI - Sepa (SCF) - Calypso 3.2.3 Flux Le Flux est le moyen de transport électronique qui permet d assurer la sécurité des transactions durant leur acheminement (Confidentialité, Traçabilité, Authentification, ) Caractéristiques - Réseaux Organisations et dispositifs techniques mettant à disposition les systèmes de transport sécurisé des transactions - Scheme Organisations et règlementations qui déterminent les modalités de transport sécurisé des transactions - Transport Dispositifs assurant le transport sécurisé des transactions - Protocoles Dispositifs compréhension mutuelle des transactions transportées, depuis le niveau communication jusqu au niveau applicatif assurant le transport sécurisé des transactions. Normes - ISO 8583 - ISO 20022 (Unifi) - B2 format Sésame Vitale (santé) - Noémie (santé) Standards - CB2A - Visa Base I & II - Mastercard - EBICS, SEPAMail, Swift - Protocoles privatifs les plus courants (AMX, Sociétés de crédit françaises) - Sésame Vitale (santé) - DRE - Demandes de Règlements Electroniques (santé) 3.2.4 Plates-formes de service La plate-forme de service est le système qui permet le traitement de la transaction électronique pour la partie qui concerne le ou les acteurs impliqués Caractéristiques Les différentes plates-formes de service concernées par les transactions électroniques sécurisées sont : - Plates-formes d acquisition 11
- Plates-formes compensation (Peach, Step2) - Plates-formes de paiement nationales, européennes, mondiales) - serveurs centralisés de front-office - serveurs centralisés de back-office - etc Compte tenu de la sensibilité des transactions traitées, ces plates-formes répondent à des caractéristiques de sécurité de haut niveau. Normes Standards - PCI-DSS - Exploitation sécurisée - Haute disponibilité 3.2.5 Sécurité La sécurité regroupe l ensemble des dispositifs permettant d assurer la disponibilité, l intégrité, la confidentialité, la traçabilité et la qualité des systèmes de transactions électroniques. Les principaux champs d application sont : - Sécurité du support - Sécurité des transactions - Sécurité métier - Authentification forte L identification forte des acteurs et authentification des transactions (non répudiation, confidentialité, audit, etc ) sont au cœur des systèmes de transactions sécurisés. Caractéristiques La sécurité des transactions électroniques porte sur 5 composantes : Infrastructure, Organisation, Architecture, Flux, Logique. Cette sécurité est appliquée selon 5 axes : Disponibilité, Intégrité, Confidentialité, Qualité, Traçabilité. La mise en œuvre de cette sécurité intervient à 5 stades de la mise en œuvre : Lancement, Conception, Développement, Recettes, exploitation & Maintenance Cette vision de la sécurité des systèmes de transactions électroniques se traduit par la mise en œuvre de dispositifs spécifiques dans tous les éléments qui composent ces systèmes, qui y ont accès ou qui les utilisent. Normes - ISO 17799 Standards Les différentes dispositions relatives à la sécurité des systèmes de transactions électroniques sont détaillées dans les standards concernant chacun de ces dispositifs. La connaissance de la sécurité des systèmes de transactions électroniques porte donc une connaissance générale de l ensemble et une connaissance spécifique des dispositions de sécurité dans chacun des éléments concernés. 12
4 Niveau d expertise requis pour obtenir le label d expert 4.1 Caractérisation du niveau d expertise Le niveau d expertise est caractérisé ainsi : Les connaissances générales du domaine (fonctionnel ou technique) concerné Les connaissances avancées du domaine (fonctionnel ou technique) concerné Les connaissances générales complémentaires (techniques pour un domaine fonctionnel, fonctionnelles pour un domaine technique) Les connaissances générales d un domaine professionnelle. prennent en compte les acquis de l expérience Pour un domaine fonctionnel : Capacité de compréhension globale du domaine fonctionnel Connaissance des acteurs et des modèles économiques du marché Capacité de définition d une organisation du domaine et d élaboration des fondements d un projet Capacité d analyser les besoins fonctionnels et de les traduire en spécifications fonctionnelles Capacité de bâtir une architecture de services et d évaluer les moyens à mettre en œuvre Connaissance de base des technologies utilisées Capacité d effectuer une recette fonctionnelle de manière autonome Connaissance réglementaire du domaine fonctionnel (France, Europe, Monde) Pour un domaine technique : Connaissance des technologies de sa (ses) spécialité(s) Connaissance des architectures techniques globales Capacité de pilotage ou d intégration de moyens techniques Connaissance des standards et normes relatifs à sa spécialité (France, Europe, Monde) 4.2 Grille d évaluation La grille d évaluation de chaque label est découpée en sous-domaines, en items et en questions. Chaque note élémentaire est comprise entre 0 et 5 A chaque niveau d évaluation la grille attribue des poids permettant me prendre l importance relative des différents éléments. A chaque niveau de regroupement, la note totale attribuée est ramenée à une note de poids unitaire (entre 0 et 5) pour permettre la pondération avec les éléments de même niveau de regroupement. Ainsi, lorsque le questionnaire évoluera, l ajout d un élément ne remettra pas en cause la logique d ensemble. 13
5 Méthodologie de l expert L évaluation des connaissances nécessaires à l obtention du label se fait d une part sur dossier, d autre part au moyen de l interview de la personne candidate à l obtention du label. Cet interview d une durée d environ 2 heures peut être conduit à distance et est destiné à permettre à l auditeur d évaluer les connaissances du candidat dans les différents items concernés. L évaluation des connaissances se fait à l aide du questionnaire Excel prévu à cet effet 5.1 Les questionnaires Excel Le questionnaire Excel comprend : 1 feuille résultat donnant les éléments généraux de l évaluation et les notes finales obtenues Les feuilles de questionnaires d évaluation fonctionnelle (générale et avancée) Les feuilles de questionnaires d évaluation technique (générale et avancée) 1 feuille notation rappelant les principes de notation 1 feuille notes rappelant les détails des notes obtenues Chaque feuille questionnaire comprend une première partie connaissances générales, une deuxième partie connaissances avancées et une partie donnant la synthèse des notes concernant le label concerné. Pour un label d expertise fonctionnelle, le candidat sera évalué sur la totalité des connaissances du domaine fonctionnel et sur les connaissances générales de 3 domaines techniques choisis en option. Pour un label d expertise technique, le candidat sera évalué sur la totalité des connaissances du domaine technique et sur les connaissances générales de 3 domaines fonctionnels choisis en option. Les connaissances générales sont divisées en 2 sous domaines : Validation des expériences professionnelles Connaissances fonctionnelles ou techniques communes Les connaissances avancées sont divisées en sous-domaines fonctionnels ou techniques. 5.2 La notation Chaque sous-domaine comprend un certain nombre d éléments à évaluer. La notation prévue est la suivante : - 0 Non, ce point n'est pas maîtrisé - 1 Ce point est maîtrisé, mais de manière incomplète - 2 Ce point est maîtrisé, mais n a jamais été mis en œuvre - 3 Oui, ce point est maîtrisé de manière entièrement satisfaisante - 4 Oui, ce point est maîtrisé de manière entièrement satisfaisante. Il fait l'objet d'un suivi régulier - 5 Oui, ce point est maîtrisé de manière entièrement satisfaisante. Il fait l'objet d'un suivi régulier et d'un processus d'amélioration. Pour un point non maîtrisé, la note normale est 0. Les notes 1 et 2 sont réservés aux points pris en compte récemment ou dont on n'a pas encore pu juger de l'efficacité. Pour un point maîtrisé, la note normale est 3. Les notes 4 et 5 sont rares et doivent être argumentées 14
Pour chaque point, les notes normales sont donc 0 ou 3. Une zone commentaire permet d indiquer les raisons de la note obtenue. Pour la validation des expériences par exemple, la note 4 peut être attribuée si les expériences sont 2 fois supérieures aux requis et la note 5 lorsque si les expériences sont 3 fois supérieures aux requis. On peut aussi tenir compte de l aspect stratégique des expériences prises en compte et du rôle stratégique assumé au sein des projets concernés 5.3 Poids A chaque question est attribué un coefficient (poids). Au niveau de chaque sous-domaine, la ligne total calcule la note totale en tenant compte des coefficients. Cette note, ramenée à un poids de 1, est reportée au niveau de la ligne désignant le sousdomaine. Chaque sous-domaine se voit également attribué un poids. Ces poids permettent de calcules la note attribuée aux connaissances générales et aux connaissances avancées. De même, les poids attribués aux connaissances générales et avancées permettent d attribuer la note correspondant au domaine fonctionnel ou technique. Enfin, en bas de la feuille, la synthèse reprend les éléments nécessaires à l attribution du domaine et calcule la note globale. Les poids relatifs suivants ont été attribués Connaissances générales propres au label : 60 Connaissances générales complémentaires (options) : 40 Connaissances avancées propres au label : 100 Connaissances avancées complémentaires (options): non concernées Pour l obtention d un label d expertise, la note globale attribuée doit être supérieure ou égale à 2. Pour un label d expertise fonctionnelle, les connaissances générales de 3 domaines techniques (choisis en option) sont pris en compte. Pour un label d expertise technique, les connaissances générales de 3 domaines fonctionnels (choisis en option) sont pris en compte. 5.4 Travail de l auditeur A partir des éléments recueillis sur dossier ou via interview, l auditeur remplira les grilles d évaluation : Pour un label d expertise fonctionnel La totalité de la feuille du questionnaire correspondant au label fonctionnel La partie connaissances générales des 3 questionnaires techniques choisis en option Pour un label d expertise technique La totalité de la feuille du questionnaire correspondant au label technique La partie connaissances générales des 3 questionnaires fonctionnels choisis en option 15
Et dans tous les cas, les conditions de l audit et les choix d option seront renseignés dans la feuille résultat. Compte tenu des informations recueillies, l auditeur attribuera une note à chacun des éléments prévus, utilisant la zone commentaires pour étayer cette notation s il y a lieu. Les notes globales sont automatiquement calculées (si les deux fichiers sont ouverts et si ceux-ci n ont pas été renommés). Il ne faut pas insérer de lignes ou de colonnes faute de quoi les formules de calcul peuvent être altérées. Pour éviter cela, les feuilles sont protégées. 16
6 Obtention et renouvellement du label 6.1 Les grands principes de la labellisation La labellisation exige une procédure garantissant l indépendance. Il faut éviter l auto-labellisation par EESTEL. L organisme indépendant de labellisation choisi par EESTEL est le COREF. La procédure de labellisation serait un audit 6.2 Durée de validité du label - Pour l obtention initiale : 3 ans - Pour le renouvellement : 3 ans 6.3 Expertise multi-labels Un expert multi domaines (fonctionnels ou techniques) est réputé pouvoir acquérir de lui-même les spécialités qu il n a pas fait valider. Sa compétence est validée sur l ensemble des domaines fonctionnels ou sur l ensemble des domaines techniques - Expert fonctionnel multi labels : au moins 3 labels fonctionnels. - Expert technique multi labels : au moins 3 labels techniques. L expert multi-spécialités réunit les compétences d un expert fonctionnel multi-labels et d un expert technique multi-labels. - Expert multi-spécialités : au moins 3 labels fonctionnels et 3 labels techniques Ces niveaux d excellence peuvent être obtenus grâce au cumul successif des labellisations. 6.4 Cas exceptionnels - Possibilité de retirer le label à tout moment pour des raisons : o D incompétence avérée o De manquement à l éthique - Travail effectué par une commission de discipline à créer au sein d EESTEL 6.5 Les étapes de la labellisation 6.5.1 Etapes préalables 1. EESTEL constitue un référentiel 2. EESTEL définit une charte de communication 3. Le COREF constitue et gère un pool d auditeurs indépendants 6.5.2 Etapes récurrentes : workflow 4. Le candidat soumet sa candidature à EESTEL (dossier détaillant son domaine expertise, lettre de motivation, paiement des frais de labellisation) 17
5. EESTEL valide la conformité du dossier, enregistre la candidature et transmet le dossier au COREF 6. Le COREF désigne un auditeur et lui confie le dossier 7. L auditeur analyse le dossier et, si le dossier est accepté, convoque le candidat 8. A l issue de l audit (ou de la simple analyse du dossier), l auditeur remet son verdict au COREF 9. Le COREF rend le dossier complété par l analyse et le verdict de l auditeur à EESTEL 10. EESTEL ratifie le verdict de l auditeur, enregistre le résultat dans sa base de données et communique le verdict au candidat La charge de travail de l auditeur (lorsqu il reçoit le candidat) est estimée à ½ journée. 6.6 Administration de l activité de labellisation 6.6.1 Base de données des experts EESTEL détient une base de données à jour des experts labellisés. Cette base de données est en ligne sur le site d EESTEL (accès libre). 6.6.2 Base de connaissance des audits EESTEL détient une base de connaissance des audits réalisés. 6.7 Modèle économique de la labellisation des experts EESTEL adhère au COREF et paie une cotisation annuelle. - Prix de l audit : base 500 - Subvention EESTEL : 200 o Pour le 1er candidat présenté par un membre o Période limitée aux 6 premiers mois Bénéfice étendu à tout nouveau membre d EESTEL pendant 6 mois EESTEL COREF Rémunère l auditeur Auditeur Expert ou Société 18
7 Evolutivité de la labellisation Les transactions électroniques sont un monde en forte évolution. La segmentation en labels fonctionnels et techniques et la possibilité de choisir des options permettent l ajout de domaines au fur et à mesure que les besoins se feront sentir. Au sein de chaque domaine, la segmentation en différents niveaux de regroupement permet m enrichissement à tout niveau sans remettre en cause la logique de l ensemble ou les poids relatifs des différents items concernés. La méthode est donc ouverte à la nécessaire évolutivité des domaines concernés. EESTEL et le COREF mettront en place les processus permettant de faire évoluer le contenu des différents labels afin que ceux-ci restent adaptés aux technologies qu ils concernent. Cette évolutivité ne remettra pas en cause les labels déjà décernés. 19
Annexe : Les membres actifs d'eestel à la date de rédaction du référentiel 2 ICONES fstamm@free.fr 2 ICONES est un groupement de consultants et assistants à maîtrise d œuvre de projets monétiques et de paiement électronique par carte, de la sécurité et de la billettique. Ils couvrent l'expression fonctionnelle de besoin, les appels d'offre (cahiers des charges, conduite, dépouillement), la rédaction de spécifications, le suivi de réalisation (maquettage, prototypage, déploiement), les projets de migration de systèmes et moyens de paiement. 2 ICONES assure l accompagnement lors du processus d agrément de solutions et matériels monétiques. Ses secteurs d'intervention sont la banque, l industrie de la carte et des solutions monétiques le paiement (automates) et les transports. 4G SECURE www.4gsecure.fr 4G Secure, créée en 2010 par des experts du paiement, du mobile et du sans-contact (codes-barres 2D et 1D, NFC), est spécialisée dans le développement d applications mobiles et serveurs. 4G Secure se positionne comme l acteur incontournable en matière de sécurité des transactions mobiles. Alain Potier - expert@alain-potier.fr Expert judiciaire cour d appel de Paris Spécialités : Smartphones, tablettes, radio AO Concept www.aoconcept.com AO Concept est spécialisée en conseil, expertise et management de projets monétiques et de systèmes d'information. Son expertise du Front et Back Office (acquéreur, émetteur, lutte contre la fraude, sécurité bancaire, compensation) permet à AO Concept de relever de nouveaux défis : carte cobrandée, carte à services ajoutés, terminaux Web, réseaux IP et nouveaux moyens de paiement. AO Concept maîtrise les nouvelles normes SEPA (SCT, SDD, SCF, 20022), PCI notamment. Claude Meggle - claude@meggle-fr.com Consultant expert sécurité cartes et crypto-systèmes - Enseignant/Formateur en sécurité et cryptographie. David Naccache - david.naccache@ens.fr David Naccache est membre du laboratoire d'informatique de l'ecole normale supérieure. Spécialiste de la sécurité informatique et de la cryptographie, il a 20 ans d'expérience au service et apporté son expertise à Technicolor, Philips, Visa International, Samsung, Inside Contactless, Altis Semiconductor, Gemalto et Ingenico. Il est l'auteur de 80 publications scientifiques et d'une centaine de familles de brevets. David Naccache est Expert près la Cour d'appel de Paris. Decode Consulting www.decode-consulting.com Decode Consulting est un Cabinet de Conseil et Formation en Stratégie Mobiles et Convergence Digitale. Le réseau de consultants experts DC vous accompagne pour vos besoins en stratégie opérationnelle en Mobile + Digital, conception, cadrage de projet support au processus d achat et sélection de partenaires, délégation de processus d innovation ouverte (Produits, Services), études concurrentielles, veille technologique & benchmarks marketing, services de tests et audit ergonomique des services et applications, conception de coaching et formations sur-mesure en mobile+digitale pour vos équipes, création d atelier et de barcamps animés par des experts «Pure players». Didier Hallépée dhallepee@orange.fr Didier Hallépée est expert en sécurité, monétique, billettique et prépaiement. Il offre de l assistance à la définition de grands projets monétiques, et au développement et déploiement de solutions. Audits PCI DSS, études liées au SEPA et aux solutions de cartes cadeaux dématérialisées, ainsi que protection contre la contrefaçon constituent l'activité de Didier Hallépée. DP Consulting dp-consulting@orange.fr Dominique PARET - Consultant senior, expert international des technologies du sans contact, membre des comités ISO et AFNOR. ecosix www.ecosix.com ecosix est spécialisée en sécurité, dématérialisation, transactions électroniques, signature électronique. Ses activités couvrent la restructuration de sociétés, le conseil, l'audit, l'expertise et la formation. Son fondateur, Eric LAURENT- RICARD, est Expert près la Cour d'appel de Paris, Administrateur de la FNTC et chargé de cours à l'université de Paris II. 20
Ekosys www.ekosys.fr Ekosys fournit un système Back Office complet entièrement dédié aux émetteurs de titres de services. Construit par intégration de la plateforme Open source d OpenERP, il offre toutes les fonctionnalités classiques d un ERP et CRM ainsi que les fonctionnalités spécifiques au métier d émission et acquisition (référentiel partenaire; gestion de produit spécifique; support: titre papier, titre électronique, carte jetable, carte rechargeable ; la gestion des pertes et des vols; La consommation de titres en ligne...) Guy-Omer Manissa - guy-omer.manissa@ca-cedicam.fr Guy-Omer Manissa depuis trois ans est en poste au Cedicam, plate-forme des flux et moyens de paiement du groupe Crédit Agricole. Fort de plus d une dizaine d années d expérience dans la sécurité, il travaille aujourd hui sur la refonte des systèmes d information flux et monétique du groupe Crédit Agricole, en vue de la mise en œuvre du SEPA. Issu d une école d ingénieurs, il est titulaire d un diplôme d ingénieur télécoms et réseaux et ancien élève pilote et Officier de l Ecole de l Air. IDAHO CONSULTING www.idahoconsulting. Idaho Consulting est une société indépendante de conseil en marketing des technologies de l information avec un focus fort sur les opportunités, le développement et l optimisation des services Telecom. INGELIS www.ingelis.com Ingélis est une SSII spécialisée en Télécoms, Internet et Monétique. Son activité couvre la gestion de projets, la rédaction de spécifications, le développement et le test d applications de paiement, de micro-paiement, de sécurité,... à base de cartes avec ou sans contact, en environnement Serveurs, PCs, et/ou objets communicants (mobiles NFC,...). Jean-Claude Pailles - jc.pailles@voila.fr Ancien consultant chez Orange R&D, Jean-Claude Pailles est enseignant à l ENSI Caen et à Supelec Rennes et consultant pour SFR. Il est également développeur de solutions Android, JavaCard pour les SIM, pour les PC et est expert en sécurité des smartphones. L INFORMATIQUE COMMUNICANTE www.lic.fr LIC offre des services d'assistance à la maîtrise d'ouvrage, conseil, spécifications, ingénierie de certification et formation en systèmes de communication. Son expertise s'applique depuis 13 ans aux systèmes de transactions électroniques, avec une forte spécialisation en systèmes de proximité (EMV, EMV CL, ISO 7816, ISO 14443, NFC ). Ses clients sont des Opérateurs financiers, de transport, des services publics et des Directions de Systèmes d'information. Mercury Technologies www.mercury-technologies.fr Mercury Technologies offre de l'ingénierie et du conseil pour les applications cartes à puce multiservices et multiapplications. Ses applications clés ciblent les paiements sur Internet au format CAP secure code, les applications cartes prépayées rechargeables EMV, les applications de stockage de données pour la fidélité, les applications sans contact (Visa Paywave, Paypass ), les paiements sur mobile NFC et les terminaux de paiements sur IP. En complément de ses activités de conseil, Mercury Technologies a développé deux lignes de produits: un terminal de paiement léger sur IP et un module sécurisé pour transformer un mobile GSM standard en mobile NFC. NETHEOS www.netheos.net Société française, Netheos conçoit et développe des applications cryptographiques matérielles et logicielles assurant la confidentialité de l'information numérique. OPENPASS www.openpass.fr OpenPass est une entreprise innovante au carrefour des industries du Tourisme, congrès et évènements et des cartes à puce sans contact et des technologies NFC. Elle entend faire bénéficier ces secteurs des avantages des pass sans contact (RFID) et des smartphones NFC. Mobiletag www.mobiletag.com Mobiletag, leader européen du code barre 2D, propose une solution globale regroupant la création et la gestion des codes barres, les lecteurs et applications pour les mobiles et la plate-forme de gestion des informations. PEMANCE - bouyala.pemance@gmail.com Pémance s appuie sur l expérience, l expertise et le réseau relationnel de son dirigeant, Régis Bouyala, investi dans les métiers de paiement depuis près de 25 ans, d abord à la Banque de France, puis au CCF et enfin comme consultant. Régis Bouyala est également l auteur de deux ouvrages, parus aux Editions Revue Banque, en novembre 2005 («Le 21
monde des paiements») et en novembre 2009 («Les paiements à l heure de l Europe et de l e-paiement»). La gamme de services offerts par Pémance va de la réalisation d études stratégiques pour tous types d acteurs de l écosystème à l accompagnement de petites structures innovantes pour trouver leur marché et/ou dans leur relation avec les autorités réglementaires, en passant par un apport de conseil aux fonds d investissement souhaitant investir dans des entreprises du secteur. PhC Consulting www.audit.conseil.gestion.com PhC Consulting intervient sur deux axes: d'une part les relations interbancaires internationales, notamment la mise en œuvre du programme SEPA, auprès des établissements bancaires et financiers, ainsi que des entreprises dans la gestion de leur flux de paiement, au vu des contraintes réglementaires, opérationnelles et techniques; d'autre part la gouvernance et le pilotage de projets complexes, pluri partenaires (client, éditeur, intégrateur, conseil, soumissionnaire,...), notamment l intégration de solution globale (ERP, Global Banking, ) ou métier. PhC Consulting est membre du Comité des Experts du Pôle de Compétitivité TES et du GIE FREEASAP. PhC Consulting anime aussi des séminaires et couvre un large territoire géographique dont France, Maghreb, UEMOA, CEMAC, zone SEPA. PROGINOVANT www.proginovant.com Gérald Fay est un consultant indépendant de haut niveau avec près de 25 ans d expérience en monétique française et internationale. Ses domaines d intervention sont : expertise, consulting, maitrise d ouvrage, conduite de projet, formation, coaching et à des compétences en monétique et moyens de Paiement, sécurité informatique, mobilité, architecture des S.I., tolérance aux pannes, métiers de la banque. QUAELYS www.quaelys.com QUAELYS, cabinet de conseil en monétique et sécurité, s adresse à trois domaines d activité : 1. marketing stratégique et produit des offres de services en monétique portées par les acteurs du marché. 2. sécurisation de ces offres et de l information afférente. 3. définition des solutions adaptées aux environnements des marchands, et ce, pour les banques, les opérateurs de paiement, les processeurs, les telcos, les industriels. A travers la synergie monétique et sécurité, QUAELYS est un acteur privilégié sur les projets de PKI métier, ainsi que PCI-DSS. REALEX PAYMENTS www.realexpayments.fr Fondée en 2000, implantée depuis dans trois pays (France, Royaume-Uni, et Irlande), Realex Payments a développé un véritable savoir-faire dans la délivrance de services de paiement complexes à travers une multitude de canaux. Realex payments propose ainsi aux sociétés e-commerces et PME, des solutions de paiement sécurisé sur internet, des terminaux de paiements virtuels intégrés ou hébergés, des solutions de paiement par téléphone ou auprès d un centre d'appel. Realex Payments sera donc capable de traiter en toute sécurité vos transactions, de les connecter avec les principales institutions bancaires et de vous fournir des rapports en temps réel. RFR CONSULTING - consulting@robert-fargier.fr Robert Fargier est Expert indépendant de la Transaction Sécurisée (Monétique et Fidélité), des Services Financiers Innovants et de la Dématérialisation des échanges et documents. SODEXO www.sodexo.com Sodexo Solutions de Motivation France propose aux Entreprises, Collectivités et Organismes Publics ainsi qu'aux Comités d'entreprises une offre globale de solutions qui contribuent à l'amélioration de la qualité de vie des collaborateurs pour une meilleure performance des organisations et ce, autour d'une large gamme de titres de services: Chèque Restaurant, Pass CESU, Chèque Cadeau et Chèque d'accompagnement Personnalisé. Sofie www.sofie.fr Sofie est une société constituée de Consultants-Experts dans les domaines des solutions cartes, systèmes d'émission, de personnalisation, sécurité, et en architecture des grands systèmes informatiques transactionnels pour les applications d identité (CNI, passeports biométriques), de santé, de transports, de paiement, de paiement mobile. UP&NET www.upandnet.com Fondée en 2005 par Florent Guibert et Stéphane Wallart, Up&Net secoue l univers de la monétique web en proposant des solutions innovantes de dématérialisation de moyens de paiement. Avec sa gamme d applications, Up&Net s adresse à tous les émetteurs de moyens de paiements (prépayés ou privatifs) afin de permettre l acceptation de leurs moyens de paiement sur les sites e-commerce. La société a ainsi développé la 1ere plateforme de paiement dématérialisé en marque blanche permettant de faire accepter tout type de moyens de paiement sur des centaines de sites e-commerce partenaires, parmi les plus réputés (Pixmania, 3Suisses, Spartoo, Nocibé, Kookaï, etc.). Devant le succès de ses solutions, Up&Net est déjà sollicité par de nombreux annonceurs et e-commerçants dans différents pays et poursuit son implantation en Europe. 22
Les membres associés d'eestel BULL www.bull.com BULL propose une large palette de produits et services en Sécurité des Systèmes d Information. Ses experts interviennent dans la sécurisation des transactions par carte bancaire et la mise en œuvre de plates-formes de confiance s'appuyant sur la PKI et la signature électronique. BULL développe ses propres solutions, notamment dans le domaine des enceintes cryptographiques, et accompagne ses clients tout au long de leurs projets, depuis l assistance à maîtrise d ouvrage jusqu à la réalisation de solutions au forfait. BULL est reconnu de longue date, comme un acteur majeur de la sécurité, par les banques, les opérateurs cartes et les émetteurs de titres d identité. CONCERT www.concert.asso.fr Le CONCERT est l'association professionnelle qui rassemble les sociétés ayant contribué au succès de l'industrie monétique depuis 20 ans. Représentant l'ensemble des acteurs de la chaîne monétique, il favorise le rapprochement des intérêts des métiers représentés par ses membres. Le CONCERT maintient une relation et un dialogue permanents avec les pouvoirs publics, les instances nationales et internationales, les grands organismes de normalisation et de certification, les associations, les émetteurs internationaux... Pôle de Compétitivité TES (Transactions Electroniques Sécurisées) www.poletes.com Classé par l'étude gouvernementale parmi les 39 pôles à avoir atteint les objectifs de la politique des pôles de compétitivité, le Pôle TES s'est fixé un double objectif : favoriser l'ancrage de la filière TES au sein de sa région, la Basse- Normandie, et stimuler l'innovation à travers des projets collaboratifs. Quatre ans après sa labellisation, le Pôle TES fédère un réseau de plus de 115 acteurs : petites et grandes entreprises, centres de recherche et de formation, qui, ensemble, portent 68 projets innovants. Près d'un quart de ces projets labellisés exploite les nouvelles technologies «sans contact», ouvrant un champ formidable de développement de services nouveaux. POLE FINANCE INNOVATION www.finance-innovation.org FINANCE INNOVATION propose cinq axes stratégiques, avec pour objectif de développer des projets à forte valeur ajoutée. Ces projets présentent la caractéristique commune de créer les conditions de connaissance et d'infrastructures pour assurer à Paris la capacité de promouvoir les nouvelles innovations financières, et lui permettre de se positionner sur les produits et services financiers de demain: 1. Financement des PME et de l'innovation, 2. Recherche et Innovation financière, 3. Formation en finance, 4. Plateforme de l'information financière européenne, 5. Finance et innovation sociale et environnementale. 23