AVANTGARD Universwiftnet 2015 Comment sécuriser la validation de vos paiements? 17 Mars 2015
Agenda» Pourquoi signer les paiements?» Comment signer les paiements?» Avantages et inconvénients?» Tendances? 2
3
Pourquoi signer les paiements» Signer? Allégorie datant de l époque du tout papier» Signature électronique? Ou simplement un processus d approbation?» Combien, qui, quand? Soumission Signature Envoi 4
Approbation des paiements» Approbation comptable Facture, prestation, conditions» Approbation de trésorerie Cash impact, compte, cut-off» Prévention de la fraude Un filtre de plus Filtre au plus tard, juste avant le tuyau sécurisé» Contrainte Réglementaire? Audit interne? Banque? 5
Sécurisation des flux vers la banque» Sécurisation de bout en bout Signature digitale (SWIFT PDI/3SKey) PGP, alternative à 3SKey?» Identification personnelle Signature digitale (SWIFT PDI/3SKey) Seulement en France? Et même en France, qui vérifie vraiment?
Comment signer? 7
L authentification Par login / mot de passe Avantages Simple à mettre en place Règles compatibles SOX Inconvénients Contraignant pour les utilisateurs Ne permet pas une authentification forte Ne permet pas d effectuer de la signature électronique 8
L authentification dans SWAPS» Par login / mot de passe» Avec quelques règles 9
Authentification forte» Protège les deux parties Personne ne peut faire à ma place ce que je suis seul habilité à faire (habilitation) Je ne peux prétendre ne pas avoir fait quelque chose que j ai fait (non-répudiation)» Un bon mot de passe peut suffire pour une habilitation correcte Pas pour la non-répudiation» Authentification multi-facteur 10
L authentification Par l utilisation de tokens One Time Password (type RSA SecurID) Avantages Rien à déployer sur le poste utilisateur Permet une authentification forte à deux facteurs Inconvénients Gestion des tokens (souvent un token par application, la pile ne peut être changée, les tokens peuvent être perdus, ) Ne permet pas d effectuer de la signature électronique 11
L authentification dans SWAPS» Utilisation d un token SecurID» Authentification à deux facteurs : mot de passe de l utilisateur + code calculé par le token 12
L authentification Par l utilisation de certificats Avantages Authentification forte à deux facteurs (PIN + token physique) Permet d effectuer de la signature électronique Inconvénients Drivers à déployer sur les postes utilisateurs (parfois soucis de navigateur et de version de Java) Gestion des tokens (activation, renouvellement, etc ) 13
L authentification dans SWAPS» Utilisation d un certificat» Qu importe la méthode de stockage du certificat (fichier, carte à puce, 3SKey, ) 14
Single Sign On» Login automatique» Peut réclamer une authentification forte» Peu compatible avec une ré-authentification à la signature» SAML2 Identity Providers
Workflow de validation des paiements Workflow avec des étapes de signature Re-saisie de mot de passe (si pas de certificat) Pas de transport de signature à la banque La signature électronique est générée à partir d un certificat (3SKey par exemple) Les signatures sont transportées à la banque (FileAct uniquement) Toutes les banques n acceptent pas la signature électronique 16
Avantages et inconvénients 17
Sécurité vs utilisabilité» Rendre difficile les accès non autorisés» doit-il toujours rendre difficile les accès autorisés?» SWIFT PDI (3SKey) Authentification forte Authentification partagée avec la banque Multi-banque Mais Il requiert un PC Il ne marche que pour la signature bancaire Qui vérifie vraiment les pouvoirs?» La quête n est pas finie 18
Quid du Wysiwys? 19
20
Le rêve? 21
Tendances 22
23
» Mot de passe > Déclin (enfin)?» One Time Passwords > Maturité» SSO / SAML 2 > Croissance» Mobilité > Croissance» Biométrie > Lancement» Identité unique > Lancement» PKI et certificats > Croissance ou Déclin??? 24
La mobilité 25
La mobilité SWIFT travaille sur la mise à disposition d un token 3SKey pour mobiles et tablettes Prototype effectué avec SunGard fin 2014 pour ios Pas de date de mise à disposition pour le moment 26
Témoignage 27
Arcelor Mittal Treasury & SWIFTNet ArcelorMittal subsidiaries In House Financial Services Banks Intranet- Gateway SWIFTNet ERP MISYS KTP Treasury Mgnt system SWAPS Payment signature Group Treasury 28
Questions / Réponses 29