L’industrie du paiement à l’épreuve de la cybersécurité

Vie des Entreprises

Dossier : Vie des entreprisesMagazine N°795 Mai 2024Par Dounya EL BAKAL

Le monde de paiement est fortement exposé aux risques cyber. Mastercard, acteur emblématique d’envergure internationale, se mobilise en misant sur l’innovation et en développant des partenariats, afin de contribuer à sécuriser cet écosystème et l’ensemble de ses composantes. Dounya El Bakal, directrice en charge des Produits et Solutions Cybersécurité & Intelligence, nous en dit plus.

Quelle place occupe la cybersécurité dans votre secteur d’activité et comment ce risque a‑t-il évolué au cours des dernières années ?

Depuis plusieurs années, le secteur des paiements est très dynamique et en constante évolution. Le large choix d’offres de paiement, le développement du paiement mobile et sans-contact, l’explosion du e‑commerce, les innovations et les cas d’usage toujours plus nombreux entraînent de nouveaux défis pour les acteurs de l’industrie alors que les exigences en matière de sécurité ne cessent de se renforcer.
La mondialisation et la sophistication de la cybercriminalité dans l’écosystème des paiements exigent une taille critique et une collaboration à l’échelle internationale des acteurs privés et publics pour rester à la pointe de la cybersécurité. En parallèle, les nouveaux cas d’usage, les wallets, et l’explosion des objets connectés ont multiplié à l’infini le nombre d’interactions et contribué à élargir la surface d’attaque.
Plus que jamais, la confiance est devenue essentielle dans l’industrie du paiement. Dans ce contexte, la marque Mastercard reste un gage de sécurité pour payer en France et dans le monde. Cette confiance est un capital précieux que nous préservons au travers d’investissements massifs en matière de cybersécurité. En 2023, plus de 3,3 milliards de cartes Mastercard et 143 milliards de transactions dans le monde ont été protégées par nos différents dispositifs de cybersécurité. Dotés des technologies les plus avancées en matière d’Intelligence Artificielle et de Machine Learning depuis plus de 10 ans, nous avons ainsi évité près de 35 milliards d’euros de fraude les 3 dernières années.

Comment un acteur comme Mastercard appréhende ce risque dans sa stratégie ?

La cybersécurité est un des piliers fondamentaux de notre stratégie, car notre rôle est avant tout de garantir une expérience de paiement la plus fluide et la plus sécurisée possible. Fournisseurs d’une infrastructure mondiale de réseau, nous connectons plus de 23 000 institutions financières à des millions de consommateurs, marchands, entreprises ou institutions publiques, et développons des solutions qui protègent « par défaut » les données de nos utilisateurs. Ce principe de « Security by Design » est non seulement au cœur de notre philosophie, mais est mis en œuvre dès la phase de conception pour prévenir, identifier et détecter les risques. Nous faisons régulièrement évoluer nos standards et solutions pour accompagner nos partenaires dans leurs nouveaux besoins de cybersécurité, au-delà des transactions de paiement. La réglementation DPS2 avec l’obligation d’authentification forte a permis de réduire la fraude des paiements digitaux. Très créatifs, les fraudeurs contournent néanmoins ces dispositifs en exploitant les vulnérabilités bien en amont du parcours de paiement. Ils récupèrent ainsi des données sensibles pour bâtir des campagnes ciblées d’ingénierie sociale et contourner les dispositifs de sécurité pour accéder à la banque en ligne, opérer des paiements, des virements ou ouvrir des comptes en usurpant l’identité des utilisateurs et contracter des crédits.
La protection des paiements passe donc par une meilleure protection de l’ensemble de l’écosystème et, plus particulièrement de l’environnement IT de nos partenaires. C’est, par ailleurs, l’objet du règlement européen Dora (Digital Operational Act) qui entrera en vigueur en janvier 2025 et qui vise à renforcer la cyberrésilience du secteur financier.

Dans ce cadre, quelles sont les grandes lignes de votre offre en matière de cybersécurité ? À quels niveaux intervenez-vous et qui sont vos partenaires ?

Nous intervenons tout au long du cycle de vie d’une transaction, mais aussi au niveau de l’identification des vulnérabilités de la Supply Chain et des fournisseurs de nos partenaires, qui sont souvent la première porte d’entrée des cyberattaques. Nos modèles puissants d’IA et de Machine Learning nous permettent d’évaluer en temps réel le risque lié à une transaction et de transmettre un score « Decision Intelligence » à nos partenaires bancaires qui l’intègrent dans leur modèle et ajustent leurs règles de fraude selon les cas d’usage.
Nous intervenons au niveau du réseau, avec Safety Net, via une seconde couche de protection pour prévenir les attaques à grande échelle. Nous identifions les comportements anormaux ou suspicieux sur un site marchand, une carte, un canal de paiement, un pays, une région et les prévenons pour agir, alerter ou bloquer ces attaques avant qu’elles n’atteignent leur système. Nos modèles analysent tous les signaux de manière isolée et à l’échelle internationale, et font des rapprochements pour repérer les menaces. Nous simulons des scénarios d’attaques connus sur les serveurs pour tester les failles et la capacité des banques à se protéger.

Avec nos technologies d’IA, nous scannons aussi l’environnement digital global de nos partenaires pour identifier avec RiskRecon les vulnérabilités des fournisseurs, portes d’entrée des hackers avec des effets de cascade systémiques aux conséquences désastreuses. Cela contribue, par ailleurs, à leur mise en conformité avec le règlement Dora.
Avec Systemic Risks Assessment, les Directions Achats et Directions des Risques peuvent monitorer en continu les risques fournisseurs (Tiers 1, 2 et 3) sur les volets opérationnels, financiers, géopolitiques et ESG. Enfin, nous accompagnons les institutions financières dans leur lutte anti-blanchiment dont les sanctions liées à des infractions se sont élevées à près de 5 milliards de dollars en 2022, soit +50 % par rapport à 2021.

Quels sont les principaux enjeux qui persistent en matière de cybersécurité ?

Alors que les attaques visent toujours le maillon le plus faible, l’humain reste la principale porte d’entrée pour mener des cyberattaques. À partir de là, il s’agit de continuer à sensibiliser de manière collective le grand public aux risques cyber. La campagne sur Instagram « FraudeFightClub » menée avec cybermalveillance.gouv.fr, la Banque de France et nos partenaires bancaires est un exemple de partenariat public-privé visant à sensibiliser le jeune public âgé de 18 à 25 ans sur les réflexes à adopter pour repérer les signaux de risques et adopter les bons réflexes face aux attaques d’ingénierie sociale.

En parallèle, les PME restent également la cible privilégiée des cyberattaques en France. Plus vulnérables et dotés de moins de moyens et de ressources que les grandes entreprises, ces acteurs clés du tissu économique doivent être davantage accompagnés. Nous adaptons ainsi certaines de nos solutions et les leur proposons à un tarif adapté. Nous participons à des programmes de sensibilisation via des formations avec la Chambre de Commerce d’Île-de-France et mettons à leur disposition le Mastercard Trust Center pour fournir du contenu pédagogique gratuit que nous proposons, d’ailleurs, aux entreprises de toute taille.

Pour rester à la pointe en matière de cybersécurité, un univers en constante évolution, il faut être en mesure d’adopter et de déployer rapidement les technologies émergentes. Cela représente un enjeu stratégique pour le monde bancaire dont les infrastructures sont parfois vieillissantes. Cet enjeu va de pair avec le besoin de faire évoluer les compétences, de recruter de nouveaux profils à même d’appréhender les nouveaux risques, et développer une culture de la cyberrésilience au sein de l’entreprise.

Aujourd’hui, comment vous projetez-vous ?

J’ai la conviction forte que c’est par la convergence de nos forces avec nos partenaires en France que nous parviendrons à maintenir la confiance et à faire face aux nouveaux défis de cybersécurité. Dans cette logique, Mastercard élargit l’accès à l’innovation aux transactions d’autres réseaux de cartes et à d’autres rails de paiement. En ouvrant l’accès à nos technologies, traditionnellement réservées aux transactions traitées par notre réseau Mastercard, nous nous attaquons aux défis de coût, de scalabilité, de vitesse et de sécurité.
Aujourd’hui, si l’IA générative offre de nouvelles opportunités en matière de cybersécurité, elle nécessite des investissements importants et une mise à l’échelle complexe et difficile.

Totalement agnostique, notre approche d’IA collaborative donne, via une connexion unique à Mastercard Access, l’accès à notre réseau de services Mastercard tels la marque de la transaction ou le mode de paiement. Les banques peuvent étendre l’utilisation de scoring IA Decision Intelligence en temps réel à leurs transactions domestiques non traitées par Mastercard ou l’usage de Safety Net contre les attaques à grande échelle au bénéfice de leur réseau domestique non Mastercard sans modifier leur infrastructure existante. À partir de là, notre ambition est aussi de réduire le coût de l’innovation pour nos partenaires afin de pérenniser leur écosystème.