Sécurité : évolution des solutions Pascal Burg

Documents pareils
Offre IDALYS. Le conseil couvrant tous les aspects métiers du commerce digital. Mai 2013

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Guide d implémentation. Réussir l intégration de Systempay

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

Lancement de la plateforme de private cloud IBM Connections en partenariat avec. 04 Novembre 2010

«Baromètre de l enregistrement des joueurs sur les sites agréés en France»

Mise en œuvre et sécurisation d une plateforme monétique pédagogique

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

Trusteer Pour la prévention de la fraude bancaire en ligne

HUMANIS. TÉMOIGNAGE Juliette Reisenthel, Responsable de projets internet et e-commerce à la MOA digitale IMAGINEZ UNE NOUVELLE RELATION CLIENT

LA STRATEGIE E-MAROC E UNE AMBITION NATIONALE

Atelier communication / Les outils du digital au service de la communication interne

Devenir une banque relationnelle de référence : pourquoi et comment?

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Groupe de travail Gestion des identités Les usages et les services ATELIER 2

2 FACTOR + 2. Authentication WAY

Les défis de la Gestion de la Relation Client

+ la donnée a de la valeur

UserReplay. UserReplay. Départments ecommerce et Marketing. Service Client. Web Ops/ Infrastructure: Développement du site et Support technique

Michel Leduc VP Marketing Neowave 28 Mars 2013 XIXème Forum Systèmes et Logiciels pour les NTIC dans le Transport

Pourquoi choisir les produits 3CX? Principales caractéristiques et avantages uniques. a VNU company

plateforme de paiements sécurisés sur internet Groupe Crédit Mutuel-CIC La carte d identité 2009

Bénéfices pour votre organisation : une solution pouvant supporter vos besoins d affaires

Connaître les Menaces d Insécurité du Système d Information

SOMMAIRE. 3. Comment Faire? Description détaillée des étapes de configuration en fonction du logiciel de messagerie... 3

CONFÉRENCE DE PRESSE

Sécuriser le e-commerce avec la technologie XCA. «Une sécurité qui inspire la confiance»

SOMMAIRE. Page 2 sur 26

Didier Perrot Olivier Perroquin In-Webo Technologies

La signature électronique en agence une étape clé de la banque numérique Conférence de presse

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

AVANTGARD. Universwiftnet 2015 Comment sécuriser la validation de vos paiements? 17 Mars 2015

bienvenue André Khalifa Solutions de Gestion de la Relation Client 14 mars, AG AFRC

Sécurité des usages du WEB. Pierre DUSART Damien SAUVERON

L ergonomie de vos formulaires web permet-elle une expérience utilisateur optimale? QAS Intuitive Search

Présentation BAI -CITC

Forum Client Cegid Bienvenue

AGILITE DIGITAL RESPONSIVE DESIGN PERSONNALISATION OPTIMISATION DES PROCESSUS INDICATEURS DE ROI EFFICIENCE TRANSFORMATION HR ENGINE DATA

Plateforme PAYZEN. Intégration du module de paiement pour la plateforme Magento 1.4 et supérieur. Version 1.5.1

MANUEL D UTILISATION DE LA SALLE DES MARCHES APPEL D OFFRES OUVERT ACCES ENTREPRISES. Version 8.2

PortWise Access Management Suite

My Poker Manager Guide Utilisateur. Guide Utilisateur

Audits UX et Performance! Valtech_!

Voyez vos clients de plus près!

L authentification de NTX Research au service des Banques

L efficacité de la relation client!

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Développer son activité Courtage grâce à la communauté AssurDeal

PAYBOX MAIL Le générateur d s transactionnels

BASE ELEVES 1er degré

HISTORIQUE GREEN COVE INGÉNIERIE : UN LEADER EXPÉRIMENTÉ

Certification électronique et E-Services. 24 Avril 2011

Sécurisation des paiements en lignes et méthodes alternatives de paiement

PlAtEFOrmE SAAS d'envoi de SmS. suite couv INTEGREZ. LE SmS A SA COMMUNICATION. dossier de PrESSE.

SOREGIES RESEAUX DISTRIBUTION

Améliorez vos taux de transformation grâce à la vidéo! Le videomarketing, la PLV pour le Web

Conférence de presse. #DigitalAXA. 12 novembre 2014

Certificats Electronique d AE sur Clé USB

QUI SOMMES-NOUS? Cette solution s adresse aussi bien aux PME/PMI qu aux grands groupes, disposant ou non d une structure de veille dédiée.

Maria Mercanti- Guérin Maître de conférences CNAM PARIS. Nouvelles tendances du e-marketing et nouveaux métiers du Web

STANDARDS PUBLICITAIRES POUR LA PUBLICITE SUR TELEPHONE MOBILE

7 avril 2009 Le chiffrement des équipements nomades : les clefs du succès

EFIDEM easy messaging systems. EFIDEM SAS 3 rue de Téhéran Paris T : F : info@efidem.

EBICS ou SWIFNET? : Préparez-vous au nouveau standard!

Guide utilisateur pour le déblocage de cartes et/ou la modification d un code PIN

Référentiel d authentification des acteurs de santé

Documentation utilisateur "OK-MARCHE" Historique des modifications. 3.0 Mise à jour complète suite à version OK-MARCHE V2.2. de marchés publics

Catalogue «Intégration de solutions»

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

V 8.2. Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com.

FAITES DU PAIEMENT UN VECTEUR DE PERFORMANCE POUR VOS VENTES ONLINE ET MULTICANALES.

Notre équipe est toujours à l écoute de nos clients afin de répondre à leurs besoins spécifiques.

Optimiser l impact de son site avec. Nantes, le

Toutefois, elles éprouvent de réelles difficultés à mettre en place. les résultats ne sont pas mesurés systématiquement.

Tutoriel Sage One Edition Expert-Comptable. - Le cabinet d Expertise-Comptable doit appeler le Service Client Sage One au

Webinar EBG Nouvelles perspectives d'exploitation des données clients avec le big data

Les leviers de performance du pilotage du processus achats/fournisseurs

FORMATION SUPPORT MOAR. Mardi 26 juin 2012

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

L externalisation de vos logiciels entreprises : une solution aux problèmes de coûts, de sécurités et de réactivités

Retour d'expérience sur le déploiement de biométrie à grande échelle

Banque Populaire Loire Lyonnais. E-Commerce?

Meilleures pratiques de l authentification:

e-leasevision Votre solution de gestion complète de la LLD avec cotation en ligne intégrée

L AVENIR MULTI MÉ DIA

Visioconférence CNDP/CRDP/Canopé. Créer une nouvelle visioconférence en utilisant le pont RENATER 1

Management L expérience DANONE avec EPTICA

Évolution des réseaux sociaux dans la banque (US et France) et place dans la distribution multicanale

«Paiement en ligne» : Que choisir pour vendre en ligne mon hébergement, activité?!

Espace pro. Installation des composants avec Firefox. Pour. Windows XP Vista en 32 et 64 bits Windows 7 en 32 et 64 bits

E-Merchandising : comment Decathlon a boosté les performances de son site E- Commerce grâce à Compario. 26 juin 2012

Fiche FOCUS. Les téléprocédures. Désigner un Administrateur Suppléant

Guide d utilisation. First

LES IMPACTS SUR VOTRE SYSTEME DE FACTURATION DE LA SIGNATURE ELECTRONIQUE COMME OUTIL DE SECURISATION DE VOS ECHANGES DEMATERIALISES

DOSSIER DE PRESSE 2013

Renforcez la sécurité de votre porte!

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Installation d un manuel numérique 2.0

Transcription:

Sécurité : évolution des solutions Pascal Burg Septembre 2014 Edgar, Dunn & Company, 2014

Pourquoi la sécurité est-elle importante? (1) Le phishing cible les banques Payment + Financial : 78% of phishing activity Source: apwg.org Confidential 2

et la France France : 5 e ou 4 e dans le classement Source: apwg.org Confidential 3

(2) Le vol des données cible aussi les banques Sortie en 2002, Minority Report propulse le spectateur en 2054 dans un Washington où la reconnaissance rétinienne serait le méthode d authentification la plus utilisée USA : 23 vols de données dans le secteur financier en 2014 (172 000 clients) Source: idtheftcenter.org Confidential 4

et les marchands / entreprises Sortie en 2002, Minority Report propulse le spectateur en 2054 dans un Washington où la reconnaissance rétinienne serait le méthode d authentification la plus utilisée USA : 191 vols de données dans le secteur marchand en 2014 (7 500 000 clients) Source: idtheftcenter.org Confidential 5

Exemple de fraude sur les transactions Bolero (Brésil) via un malware pour un montant total de 3.75 milliards de dollars Source: blogs.rsa.com Confidential 6

Biométrie : la réalité est-elle en train de rattraper la fiction? Sortie en 2002, Minority Report propulse le spectateur en 2054 dans un Washington où la reconnaissance rétinienne serait le méthode d authentification la plus utilisée Confidential 7

Les techniques d authentification basées sur la biométrie sont déjà au point dans le domaine du paiement dans plusieurs pays Natural Security lancé par des acteurs de la grandes distribution et des banques propose des solutions d authentification basées sur la reconnaissance des empreintes digitales Les 4 plus grosses banques brésiliennes ont mis en place un système d authentification basé sur la reconnaissance de la main Confidential 8

2 questions principales seront traitées aujourd hui 1 2 La biométrie représente-t-elle la meilleure solution aux problématiques de sécurité? Et la signature / le certificat électronique? Adoption par les différentes parties prenantes (consommateurs, marchands, autres)? Un modèle économique attractif? Quels cas d utilisation et marchés prioritaires? Un modèle économique attractif? Confidential 9

Cabinet de conseil en stratégie international et créé en 1978 Une expérience internationale des moyens de paiement Élaboration de stratégie (entreprise, marketing, produit, distribution), étude d opportunité, acquisition / fusion, appels d offres, mise en marché, gestion du risque Un cabinet indépendant qui travaille avec l ensemble des acteurs dans l industrie des paiements : commerçants, banques, prestataires, associations, régulateurs Une approche multi-secteur : voyage, e- commerce / grande distribution, paiement sur mobile, émission, acquisition,... San Francisco Conseil en Stratégie Expert dans les Moyens de Paiement Mexico City Londres Paris Atlanta Francfort Singapour Sydney Confidential 10

Pour nous contacter Pascal Burg Associé France Edgar, Dunn & Company 42 rue Vignon 75009 Paris Tel +331 4007 9224 Mobile +336 7937 5547 pascal.burg@edgardunn.com Confidential 11

@aurel_lachaud Banque et Innovation Talk To Pay Le 30/09/2014

La Banque Postale propose aujourd'hui une gamme cartes complète à ses clients enrichie par de nouveaux services Une carte bancaire pour chacun de nos clients Des services additionnels associés à sa carte pour de nouveaux usages adaptés à ses modes de consommation Paiement de proximité Paiement à distance Carte Sans Contact Mobile Sans Contact microsd Mobile Sans Contact SIM centric E-Carte Bleue Authentif. 3DS Talk to Pay expérimentation Converg. paiement transport Des services qui ne remplacent pas la carte mais enrichissent son usage Une logique de portefeuille en construction 2 04/09/2014 Banque et Innovation

Contexte (1/2) L authentification des clients est un enjeu clé pour une banque La Banque Postale identifie ses clients sur des canaux multiples avec des crédentiels différents Banque en Ligne Acte de gestion sur la BEL Identification sur l espace BEL : - Identifiant - Mot de passe SMS contenant un MDP à usage unique Achat sur internet Call Center Authentification en face à face Accès sécurisé au Call Center en saisie des identifiants sur son téléphone Actes très variés (transactions, actes de gestions ) : Pièces d identités 3DS : SMS contenant un MDP à usage unique Les solutions d authentification doivent s adapter à la valeur des données protégées (et des marchés adressés ) Forts Risque d attaques Valeur de la donnée ROI Satisfaisant Faible ROI Faibles Sécurité Authentification simple 3 01/10/2014 Forts Authentification forte avec support Banque et Innovation et une troisième dimension à prendre en compte : le coût de la méthode d authentification : - Diffusion aux porteurs - Mise en œuvre pas les banques ou par les tiers Capacité à la diffuser au plus grand nombre

Contexte (2/2) Les méthodes d authentification combinent plusieurs facteurs pour renforcer le niveau de sécurité L authentification se fait à partir de trois facteurs : 1 2 3 Facteur personnel Ce que l'entité connaît Ex : mot de passe Facteur technique Ce que l'entité détient Ex : clé USB Facteur humain Ce que l'entité est ou fait Ex : biométrie Authentification simple 1 Définition : utilisation d un facteur personnel Variante évoluée : identification à double facteurs Un code provenant d une liste détenue par l utilisateur est demandé On parle de Liste TAN (Transaction Authentification Number) ou de Carte matricielle Liste TAN N 1 2 3 4 Code 1235 3245 9439 0434 Carte matricielle N 1 2 3 4 1 1235 3245 9439 0434 2 3209 9485 0640 9403 3 3230 2345 0879 9683 Description Exemples One-Time Password (OTP) Mot de passe à usage unique contenu dans un token Code envoyé par SMS pour confirmer un virement bancaire Authentification forte 1 2 2 + ou + 3 Certificat Numérique X.509 (PKI) Biométrie Présence d un certificat dans un support Authentification en fonction de caractéristiques biologiques Certificat dans une carte à puce, une clé USB ou une carte SIM Empreintes digitales, yeux etc. 4 01/10/2014 Banque et Innovation

Talk to Pay un service de paiement qui combine authentification forte et sécurisation des données de la carte bancaire 1) Authentification biométrique par la voix 2) Simplicité et sécurisation des données carte Dynamique Ouvert à tous les clients sans discrimination sur leur équipement mobile Client authentifié via une authentification à double facteur : biomètrie vocale + possession d un téléphone Simple et accessible à tous : ma voix, c est mon mot de passe! Extension navigateur : permet le remplissage automatique des données cartes après authentification du client (paiement one-click) Carte sécurisée car 100% des transactions en VAD le sont via cryptogramme visuel dynamique 5 01/10/2014 Banque et Innovation

Talk To Pay, une cinématique de paiement innovante sécurisée par la voix et un cryptogramme dynamique Authentification 1 2 3 4 Paiement 5 Choix de la méthode de paiement Affichage du formulaire Lancement de l authentification Authentification Remplissage automatique Choix de la méthode de paiement «Carte Bancaire» Affichage automatique de l extension avec l identifiant du porteur pré-rempli Possibilité de modifier l identifiant Clic sur le bouton «OK» pour lancer l authentification, puis appel déclenché sur le téléphone du client Authentification par la voix par élocution de la phrase d authentification Remplissage automatique du formulaire de paiement avec génération d un cryptogramme dynamique à 3 chiffres (qui remplace celui de la carte) Une version mobile (achat en ligne via mobile) est en cours de test 6 19/09/2014 Banque et Innovation

Les bénéfices de Talk to Pay sont multiples pour les clients porteurs Bénéfices Accessibilité accrue Universalité de l utilisation Ergonomie et rapidité de paiement en ligne Sécurité des transactions Et demain.. un produit qui sera enrichi de services à valeur ajoutée Caractéristiques Talk to Pay Bénéfices de la biométrie compris du plus grand nombre pas d éducation complexe et longue du client. La voix c est mon mot de passe, pas de code complexe à saisir et à retenir De plus, solution compatible avec toutes les méthodes d authentification. Compatibilité avec tout type de téléphone Utilisables sur tous les sites proposant le paiement par carte bancaire (quasi 100% des sites e-commerce) y compris par mail et téléphone Utilisable sur mobile à partir d une application dédiée (ou intégration dans existante) Extension navigateur : permet le remplissage automatique des données cartes après authentification vocale du client (paiement one-click) Carte sécurisée car 100% des transactions en VAD le sont (grâce au CVV dynamique) Authentification forte à deux facteurs (voix + mobile) Alerte du client : rappel automatique si tentative phishing Intégration future de services à valeur ajoutée : gestion des login/mot de passe, suivi de commandes passées sur internet centralisé, lien avec un coffre fort électronique Possibilité d utiliser la biométrie vocale pour d autres services que le paiement 7 19/09/2014 Banque et Innovation

ainsi que pour la banque et les commerçants Bénéfices Universalité du produit Caractéristiques Talk to Pay Pas d intégration nécessaire chez le commerçant contrairement aux «wallets» traditionnels possible montée en charge rapide des porteurs actifs Paiement à la «main» de la banque et du porteur Sécurisation des «cartes enrolées T2P» Suppression des coûts de la fraude sur les cartes T2P Responsabilité identique à une transaction carte traditionnelle : ne sont garanties aux commerçants que les transactions VADS traditionnelles (15% de transactions) Assureurs prêts à prendre à charge la fraude résiduelle Aucun impact pour le commerçant : D un point de vue technique -> Talk To Pay repose sur le formulaire de paiement par carte par d impact sur l ACS 3DS Pas d impact sur les Back Office 8 19/09/2014 Banque et Innovation

Les principales étapes du pilote La Banque Postale Validation du pilote par les comités internes LBP : risques opérationnels et informatiques, conformité et juridique Juillet 2013 : autorisation accordée par la CNIL pour lancer le pilote Début du test sur un périmètre restreint de collaborateurs (une vingtaine) pour validation «terrain» des fonctionnalités clés du service Sept. Nov. 2013 : Elargissement aux collaborateurs des Back Office (Centres financiers et Centre National de la Monétique) Validation opérationnelle des procédures internes LBP Nov. 2013 Février 2014 : Elargissement aux Directions de LBP Optimisation des modèles vocaux Depuis Février 2014 : ouverture aux clients du Lab LBP puis de la banque en ligne Etude client lancée auprès de tous les testeurs 9 19/09/2014 Banque et Innovation

Retours d expériences sur le pilote Talk To Pay (1/3) Synthèse du bilan quantitatif Une volumétrie de transactions importante 620 testeurs ont souscrit à Talk To Pay - 325 collaborateurs - 295 clients 11 500 authentifications ont été effectuées avec succès 4 100 paiements ont été réalisés. sur 1332 sites e-commerce différents De nombreux retours clients : - ~300 commentaires ont été postés sur notre Lab Client - Plus de 310 mails ont été envoyés au service d information dédié Talk To Pay qui a permis d éprouver la solution Solution techniquement fiable et robuste : - Stabilité des applicatifs sur toute la période du pilote (serveur, extension web ) - Validation des processus de paiement (enregistrement de la voix, installation de l extension, remplissage du formulaire, vérification du CVVd ) sur un nombre important de transactions Achats réalisés sur un panel représentatif de site e-commerce (dont à l étranger) et PSP démontrant l universalité de la solution Retours clients très positifs Excellente prise en main du service par les clients : peu d assistance nécessaire pour les accompagner avant et pendant le pilote Plusieurs mois après la fin de l animation du pilote, les testeurs utilisent toujours la solution (entre 20 et 30% d utilisateurs actifs chaque mois) 10 19/09/2014 Banque et Innovation

Retours d expériences sur le pilote Talk To Pay (2/3) Principaux enseignements de l étude client La Banque Postale Etude client réalisée sous la responsabilité du «Pôle Etude» Globalement, 86% des répondants sont (très) satisfaits de l utilisation du service La quasi-totalité estiment que la procédure d enregistrement de la voix est simple L installation et l utilisation de l extension sont perçues comme simples et intuitives 11 19/09/2014 Banque et Innovation

Retours d expériences sur le pilote Talk To Pay (3/3) Principaux enseignements de l étude client La Banque Postale Des bénéfices produits bien compris par les testeurs : 84% estiment que T2P est la solution la plus sûre du marché : 82% souhaitent continuer à utiliser le service sur le long terme : 12 19/09/2014 Banque et Innovation

Merci @aurel_lachaud

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back