12/02/2013 RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE LE 12 FEVRIER 2013
SOMMAIRE PREAMBULE_VOTRE VISION DE LA SECURITE INTRODUCTION_QU EST-CE QUE LA SECURITE LA SECURITE FAIT PENSER A QU EST-CE QUE LA SECURITE? QU EST-CE QUE LA CYBERSECURITE? UTILISATION D INTERNET : OPPORTUNITES ET MENACES CHAPITRE 01_SECURITE DES ACCES : QU EST-CE QUE L AUTHENTIFICATION? A. DEFINITION DE L AUTHENTIFICATION PERSONNELLE B. LES TYPES D AUTHENTIFICATION C. APPLICATION AUX SITES BANCAIRES CHAPITRE 02_PANORAMA DES SOLUTIONS DU MARCHE A. SOLUTIONS EXISTANTES B. LES CONTRAINTES ASSOCIES C. LES RISQUES ASSOCIES CHAPITRE 03_UNE NOUVELLE SOLUTION A. APPORTEE PAR LES NOUVEAUX MEDIAS DE COMMUNICATION B. COMPATICLE MOBILE C. LES PRINCIPES DE LA SOLUTION «HORS BANDE» D. LE CHOIX SOCIETE GENERALE E. ILLUSTRATION DE LA SOLUTION «HORS BANDE» F. LES BENEFICES G. CALENDRIER DU PROJET SOCIÉTÉ GÉNÉRALE CONCLUSION_DES CHAMPS D APPLICATION ETENDUS P.2
VOTRE VISION DE LA SÉCURITE Enquête Société Générale auprès des clients du portail Cash Management Sogecash Web A quoi jugez-vous la qualité d'un portail internet de Cash Management? 25,00% 20,00% 15,00% 10,00% 5,00% 0,00% Sa sécurité Sa convivialité Sa fiabilité La fluidité de sa navigation Ses temps de réponse Sa facilité d'administration La richesse de ses services bancaires La sécurité est une préoccupation partagée par la banque et ses clients P.3
INTRODUCTION QU EST-CE QUE LA SÉCURITE P.4
LA SÉCURITE FAIT PENSER À Fraude Liberté Risque Confiance Protection LA SÉCURITÉ État de l art Confidentialité Dispositif P.5
QU EST-CE QUE LA SÉCURITÉ? Physiquement, la sécurité est l'état d'une situation présentant le minimum de risque. Psychiquement, la sécurité est l'état d'esprit d'une personne qui se sent tranquille et confiante. Pour un individu ou un groupe, c'est le sentiment (bien ou mal fondé) d'être à l'abri de tout danger et risque. La sécurité d'une entité (objet, personne, entité politique, juridique, intellectuelle, écologique...) s'envisage individuellement ou collectivement, soit : en tant qu objectif (objectif de sécurité), en tant que droit (droit à la sécurité), en tant que valeur (la sécurité est la première des libertés), en tant qu'état de ce qui est sécurisé, en tant que fonction ou activité qui vise à sécuriser cette entité face à des risques et/ou à des menaces (ces deux notions n'étant pas réductibles l'une à l'autre). P.6
QU EST-CE QUE LA CYBER SÉCURITÉ? La cyber sécurité est, quant a elle, l'ensemble des mécanismes de sécurité, des méthodes de gestion des risques, des bonnes pratiques, des garanties et des technologies qui peuvent être utilisés pour protéger le cyber environnement et les actifs des organisations et des utilisateurs. La cyber sécurité cherche à garantir que les propriétés de sécurité des actifs des organisations et des utilisateurs sont assurées et maintenues par rapport aux risques affectant la sécurité dans le cyber environnement. Les objectifs généraux en matière de sécurité sont les suivants : Disponibilité Intégrité, qui peut englober l'authenticité et la non-répudiation Confidentialité La cyber sécurité est certes importante pour nous, banque, afin de garantir l intégrité et la confidentialité des données de nos clients mais l est-elle pour eux? P.7
UTILISATION D INTERNET : OPPORTUNITÉS ET MENACES Les évolutions du contexte sécuritaire (cybercriminalité, fraude de proximité) liées aux opérations sur les canaux numériques (internet et mobile) augmentent le risque opérationnel et financier proportionnellement au montant de transactions autorisées pour un client Menaces Une menace grandissante et un constat de modernisation et professionnalisation des techniques cybercriminelles touchant l espace sécurisé internet En 2012, 10 millions de personnes en France ont été victimes de la cybercriminalité (Norton Cybercrime Report) Arrivée en France de virus visant plus particulièrement les banques : Torpig (injection de transaction et vol de données) - Zeus (vol de données) en évolution constante. Les malwares pour mobiles ont progressés de +155% en 1 an (ex : Zitmo) 80 % des attaques de logiciels malveillants ont été effectués à partir de sites légitimes piratés (Etude Sophos 2012) Opportunités Répondre à ces menaces en tenant compte Du développement de nouveaux usages avec l avènement des solutions mobiles De la volonté d améliorer l expérience client en conciliant sécurité et ergonomie P.8
CHAPITRE 01 SÉCURITÉ DES ACCÈS QU EST-CE QUE L AUTHENTIFICATION? P.9
SECURITE DES ACCÈS : QU EST-CE QUE L AUTHENTIFICATION? A. DÉFINITION DE L AUTHENTIFICATION PERSONNELLE L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité (personne, ordinateur ), afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications ). L'authentification permet donc de valider l'authenticité de l'entité en question. L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité. Dans le cas d'un individu, l'authentification consiste, en général, à vérifier que celui-ci possède une preuve de son identité ou de son statut, sous l'une des formes (éventuellement combinées) suivantes : Ce qu'il sait Ce qu'il possède Ce qu'il est Ce qu'il sait faire P.10
SÉCURITÉ DES ACCÈS : QU EST-CE QUE L AUTHENTIFICATION? B. LES TYPES D AUTHENTIFICATION Authentification Personnelle = secret / dispositif détenu par une personne L authentification est dite Simple Lorsqu elle repose que sur un seul élément ou «facteur» (exemple : un mot de passe) L authentification est dite Forte Lorsqu elle repose au moins sur deux «facteurs» (ce que je possède, ce que je connais) Notre présentation se focalise sur l Authentification Forte appliquée uniquement aux sites bancaires pour les opérations dites «sensibles» Paiements Gestion de tiers quelque soit les clients (particuliers, professionnels, entreprises) P.11
SÉCURITÉ DES ACCÈS : QU EST-CE QUE L AUTHENTIFICATION? C. APPLICATION AUX SITES BANCAIRES Notre présentation se focalise sur l Authentification Forte appliquée uniquement aux sites bancaires pour les opérations dites «sensibles» Paiements Gestion de tiers quelque soit les clients (particuliers, professionnels, entreprises) P.12
CHAPITRE 02 PANORAMA DES SOLUTIONS DU MARCHÉ P.13
PANORAMA DES SOLUTIONS DU MARCHÉ A. SOLUTIONS EXISTANTES Carte à puce bancaire avec lecteur Procédés optiques (photo ou flickering) Certificats électronique PKI (support sur clef ou carte ou logiciel) Biométrie One Time Password P.14
PANORAMA DES SOLUTIONS DU MARCHÉ B. LES CONTRAINTES ASSOCIÉES Logistique / distribution Peu ou pas compatible en mobilité Acceptation du support physique par les utilisateurs Renouvellement des certificats SAV, support Ergonomique Compatibilité mobile Acceptation du support physique par les utilisateurs Logistique/ distribution SAV, support Usage limité à l'identification/aut hentification personnelle Ergonomique Coûts (PKI, support physique, CAP) Encadrement CNIL en France Requiert un support physique Enregistrement des empreintes P.15
PANORAMA DES SOLUTIONS DU MARCHÉ C. LES RISQUES ASSOCIÉS Un dispositif d Authentification Forte seul ne suffit plus, il doit être couplé à un dispositif de sécurisation de la transaction Un dispositif de sécurité seul ne suffit pas, la vigilance de l utilisateur reste la meilleure défense P.16
CHAPITRE 03 UNE NOUVELLE SOLUTION P.17
UNE NOUVELLE SOLUTION A. APPORTÉE PAR LES NOUVEAUX MEDIAS DE COMMUNICATION L accroissement du taux d équipement des solutions mobiles (Smartphones, Tablettes) et leur mode de fonctionnement par applications est l opportunité de concevoir une solution d Authentification Forte alternative Un marché mature : 12 millions de Smartphones vendus en France en 2011 Tendance d utilisation des mobiles La tablette, une utilisation surtout nomade Tendance au Bring Your Own Device dans les sociétés Les possesseurs français de Smartphones sont suréquipés en matériels informatiques Et pour quelle utilisation professionnelle? P.18
UNE NOUVELLE SOLUTION B. COMPATIBLE MOBILE Les solutions existantes pour une utilisation sur les media mobiles sont incompatibles ou trop contraignantes Une nouvelle solution est d embarquer le dispositif de sécurité dans le média lui-même au sein d une application, tout en répondant aux exigences de l authentification basée sur deux facteurs Solution «HORS BANDE» aussi nommée OOB (Out Of Band) P.19
UNE NOUVELLE SOLUTION C. LES PRINCIPES DE LA SOLUTION «HORS BANDE» Le principe du hors bande est d obtenir la confirmation de l autorisation d accès ou de la validation d une opération sur un agent sécurisé, externe à l application, installé sur le mobile/tablette de l utilisateur/client 3 1 Canal web applicatif Internet Internet Couches de sécurité SG Canal sécurisé 2 Sécurisation accrue par la validation contextuelle : un éventuel attaquant doit compromettre à la fois le site bancaire et l agent sécurisé pour insérer une transaction frauduleuse SG services de banque en ligne Serveur hors bande P.20
UNE NOUVELLE SOLUTION D. LE CHOIX SOCIÉTÉ GÉNÉRALE Société Générale, a fait le choix d une solution hors bande pour ses applications bancaires en ligne Cette solution peut-être déclinée sur l ensemble des média internet (PC/MAC, Smartphone, Tablette) et pour tous les marchés (particuliers, professionnels, entreprises) Dans le cas du mobile, l agent logiciel hors bande est directement intégré dans l application bancaire P.21
UNE NOUVELLE SOLUTION D. LE CHOIX SOCIÉTÉ GÉNÉRALE Trois modes d utilisation seront possibles pour un client 1. L usage nomade L authentification via le hors bande et les opérations bancaires sont réalisées dans l application 2. L usage sédentaire Sogecashnet L authentification via le hors bande et les opérations bancaires sont réalisées sur le poste fixe Authentification sécurisée 3. L usage mixte dit Cross Channel L authentification via le hors bande est réalisée sur le mobile et les opérations bancaires sont réalisées sur le poste fixe P.22
UNE NOUVELLE SOLUTION E. ILLUSTRATION DE LA SOLUTION «HORS BANDE» Illustration de la solution hors bande en mode cross channel dans «SogecashWeb» ❶ Connexion au site bancaire ❷ Identification dans le site ❸ Authentification dans le hors bande ❹ Réalisation d une opération nécessitant une validation sécurisée ❺ Validation dans le hors bande Synthèse contextuelle explicite de l opération à valider (principe WhatYouIsWhatYouSign) USD P.23
UNE NOUVELLE SOLUTION F. LES BÉNÉFICES Bénéfices fonctionnels = simplicité Application bancaire deux en un permettant d accéder à ses comptes en ligne, de réaliser des paiements (création de tiers, virements ) de s authentifier et de valider ses opérations de manière sécurisée Ergonomie Rapidité d une transaction mobile sur Smartphone supérieure par rapport à celle sur poste fixe Simplicité de déploiement Bénéfices sécuritaires = confidentialité et valeur probante Installation de la solution de sécurité logicielle, d authentification forte et de Validation contextuelle intégrée dans une application bancaire pour la version mobile Lutte contre les menaces de type MITB La validation hors bande «contextuelle» permet de déjouer les nouvelles menaces (principe WYSIWYS) P.24
UNE NOUVELLE SOLUTION G. CALENDRIER DU PROJET SOCIÉTÉ GÉNÉRALE Société Générale lancera au 2 ème semestre 2013 les solutions de cash management sur mobile destinées à l ensemble de sa clientèle professionnelle et entreprise, correspondant aux offres Progeliance Net, Sogecash Net et Sogecash Web. Afin de garantir la sécurité de ces sites mobiles, Société Générale mettra en œuvre la nouvelle solution hors bande. Cette solution hors bande sera également disponible pour les versions sur poste de travail fixe. Lancement des sites mobiles Été 2013 Lancement des clients pilotes avec la solution de sécurité OOB Début 2014 Déploiement commercial Courant 2014 P.25
CONCLUSION_DES CHAMPS D APPLICATION ÉTENDUS Suite aux premières applications, l association media mobiles / OOB apportera un éventail de possibilités fonctionnelles dans la «banque au quotidien» Exemples : Signature disjointe : remplacement de la validation par fax sur EBICS T Envoi des instructions Entreprise Validation par OOB Banque Validation de paiements sur des sites de ecommerce paiement sans contacts ) Signature de contrats dématérialisés. Avec un objectif pour faciliter votre quotidien MERCI DE VOTRE ATTENTION P.26
VOS CONTACTS Virginie LABOUYRIE Corporate Cash Management Head of e-banking solutions virginie.labouyrie@socgen.com Tél. : +33 1 41 14 13 01 Vincent LEFEBVRE Consultant sécurité vincent.lefebvre-ext@socgen.com Tél. : +33 1 57 29 41 83 Mob : + 33 6 09 81 78 72 www.cashmanagement.societegenerale.com P.27