Siège de la BCE

Les enjeux de sécurité à venir

Dossier : Les moyens de paiementMagazine N°724 Avril 2017
Par Alexandre STERVINOU

L’Europe s’est dotée de cadres de régle­men­ta­tion et de gou­ver­nance pour assu­rer la sécu­ri­té des nou­veaux moyens de paie­ment, pro­té­ger le consom­ma­teur et accroître la concur­rence. La prio­ri­té est de géné­ra­li­ser l’au­then­ti­fi­ca­tion forte et de sécu­ri­ser l’ac­cès aux comptes de paie­ment (pro­tec­tion des don­nées tran­si­tant entre teneurs de comptes). 

Au niveau euro­péen, un nou­veau cadre de gou­ver­nance des moyens de paie­ment a été mis en place en décembre 2013, avec la créa­tion de l’ERPB (Euro Retail Pay­ments Board), dont l’objectif est de créer un mar­ché inté­gré et com­pé­ti­tif pour les paie­ments scrip­tu­raux de détail en euros. 

L’ERPB, pla­cé sous l’égide de la BCE avec la par­ti­ci­pa­tion des banques cen­trales natio­nales dont la Banque de France, réunit des repré­sen­tants de l’offre (banques, nou­veaux acteurs) et de la demande (entre­prises, admi­nis­tra­tions, consom­ma­teurs) afin de favo­ri­ser l’innovation et l’émergence de solu­tions paneu­ro­péennes inter­opé­rables dans le domaine des paie­ments de détail. 

REPÈRES

Le marché des paiements s’inscrit aujourd’hui dans un contexte de très forte innovation marqué par l’émergence de nouveaux modes d’initiation et d’acceptation des paiements (en particulier sur smartphone) ; par l’apparition de nouveaux services afin de faciliter les paiements comme les portefeuilles électroniques ; et enfin par l’entrée de nouveaux acteurs sur le marché des paiements, aidés en cela par l’ouverture réglementaire souhaitée par le législateur européen.

DE NOUVEAUX ESPACES DE DIALOGUE EN EUROPE ET EN FRANCE

La sécu­ri­té est un enjeu majeur du déve­lop­pe­ment de moyens de paie­ment inno­vants et effi­caces, car elle per­met de garan­tir la confiance tant dans leur uti­li­sa­tion que dans leur accep­ta­tion comme mode de règlement. 

La BCE et l’ABE (Auto­ri­té ban­caire euro­péenne) ont donc déci­dé dès 2011 de créer et copré­si­der un espace de dia­logue réunis­sant sur ce sujet ban­quiers cen­traux et super­vi­seurs ban­caires : le forum euro­péen SecuRe Pay (Secu­ri­ty of REtail Payments). 

“ Créer un marché intégré et compétitif pour les paiements scripturaux de détail en euros ”

Ce forum a pour objec­tif d’émettre des recom­man­da­tions dans le domaine de la sécu­ri­té des paie­ments de détail et d’être force de pro­po­si­tion dans le cadre des tra­vaux régle­men­taires euro­péens menés en la matière. 

Au niveau fran­çais, une concer­ta­tion a été ini­tiée en 2014 par le gou­ver­ne­ment pour éla­bo­rer une stra­té­gie per­met­tant de mieux répondre aux besoins des uti­li­sa­teurs, de déve­lop­per à la fois inno­va­tion et com­pé­ti­ti­vi­té dans l’industrie fran­çaise des paie­ments, de ren­for­cer la sécu­ri­té et d’améliorer la gou­ver­nance des paie­ments de détail. Cette concer­ta­tion a abou­ti en avril 2016 à la créa­tion du Comi­té natio­nal des paie­ments scrip­tu­raux (CNPS), pré­si­dé par la Banque de France. 

Tout comme l’ERPB avec lequel il assure le lien, le CNPS garan­tit une repré­sen­ta­tion équi­li­brée de l’offre et de la demande et a pour mis­sion prin­ci­pale de mettre en œuvre la stra­té­gie natio­nale des paiements. 

D’autre part, l’Observatoire de la sécu­ri­té des cartes de paie­ment (OSCP) créé par la loi en 2001 a été élar­gi aux autres moyens de paie­ment scrip­tu­raux fin décembre 2016. Il devient l’Observatoire de la sécu­ri­té des moyens de paie­ment (OSMP) et a pour mis­sion d’assurer un sui­vi de la fraude et d’émettre des recom­man­da­tions de sécu­ri­té aux acteurs du domaine des paiements. 

En conclu­sion, tant aux niveaux euro­péen que fran­çais, la gou­ver­nance est désor­mais à même de déter­mi­ner les orien­ta­tions poli­tiques majeures pour l’émergence de moyens de paie­ment inno­vants et effi­caces, et d’assurer leur sécu­ri­té, condi­tion indis­pen­sable à leur développement. 

DES TEXTES POUR PROTÉGER LE CONSOMMATEUR ET ACCROÎTRE LA CONCURRENCE

L’Europe dis­pose depuis 2007 avec la Direc­tive sur les ser­vices de paie­ment, com­plé­tée en 2009 avec la deuxième Direc­tive sur la mon­naie élec­tro­nique, d’un cadre juri­dique har­mo­ni­sé concer­nant la pres­ta­tion de ser­vices de paie­ment autour des moyens de paie­ment que sont la carte, le vire­ment et le prélèvement. 


La BCE et l’ABE (Auto­ri­té ban­caire euro­péenne) ont déci­dé dès 2011 de créer et copré­si­der le forum euro­péen SecuRe Pay (Secu­ri­ty of REtail Pay­ments). © GOODSTOCK / FOTOLIA.COM

En paral­lèle de la volon­té d’accroître la concur­rence dans le sec­teur en favo­ri­sant de nou­veaux entrants, ces direc­tives ont intro­duit des dis­po­si­tions par­ti­cu­liè­re­ment pro­tec­trices pour le consom­ma­teur, avec notam­ment, lors d’une contes­ta­tion d’un client, le rem­bour­se­ment immé­diat des opé­ra­tions non auto­ri­sées (jusqu’à treize mois après l’événement) et la res­pon­sa­bi­li­té de la preuve confiée au pres­ta­taire de ser­vices de paiement. 

La deuxième Direc­tive sur les ser­vices de paie­ment (DSP2), publiée en jan­vier 2016 et qui sera trans­po­sée en droit natio­nal en jan­vier 2018, a confir­mé cette approche, en intro­dui­sant tout d’abord une nou­velle caté­go­rie d’entrants, les ini­tia­teurs de paie­ment et les agré­ga­teurs d’information.

Les pre­miers sont des inter­mé­diaires qui ont la capa­ci­té d’initier des paie­ments, le plus sou­vent des vire­ments, depuis le compte de banque en ligne du client, et pro­posent ces offres de paie­ment aux com­mer­çants en ligne comme une alter­na­tive pos­sible au paie­ment par carte ou par por­te­feuille électronique. 

Les seconds pro­posent un ser­vice de conso­li­da­tion des infor­ma­tions des dif­fé­rents comptes de paie­ment qu’un client peut déte­nir auprès d’autres pres­ta­taires de ser­vices de paie­ment. En paral­lèle de cette ouver­ture de l’accès aux comptes de paie­ment par un tiers, la Direc­tive défend un objec­tif d’amélioration de la sécu­ri­té des paie­ments, arti­cu­lé autour de deux axes : la géné­ra­li­sa­tion des dis­po­si­tifs d’authentification forte du payeur, et la sécu­ri­sa­tion de l’accès aux comptes de paie­ment par les nou­veaux acteurs. 

GÉNÉRALISER L’AUTHENTIFICATION FORTE

La DSP2 vise en effet à sys­té­ma­ti­ser le recours à un dis­po­si­tif d’authentification forte du client lors de l’accès à un compte ou d’une opé­ra­tion de paie­ment élec­tro­nique, qu’elle soit réa­li­sée à dis­tance (sur Inter­net) ou en proxi­mi­té. Cette authen­ti­fi­ca­tion consiste par exemple à deman­der un code non rejouable par SMS à un client lorsqu’un vire­ment en ligne est effec­tué depuis son compte ou lors d’un achat par carte sur Internet. 

“ Les initiateurs de paiement et les agrégateurs d’information forment une nouvelle catégorie d’entrants ”

Cette approche de sécu­ri­sa­tion des accès et paie­ments sur Inter­net n’est en réa­li­té pas nou­velle : grâce aux tra­vaux de l’OSCP, un état des lieux pré­cis de la fraude a pu très tôt être éta­bli pour la carte, en consta­tant que les paie­ments à dis­tance repré­sentent la majo­ri­té de la fraude totale pour cet instrument. 

La France a ain­si pu être force de pro­po­si­tion au niveau euro­péen pour pro­mou­voir le recours à l’authentification forte du por­teur pour les paie­ments en ligne, stra­té­gie prô­née par l’OSCP dès 2009, reprise au niveau euro­péen par le forum SecuRe Pay en 2013 puis l’ABE en 2014 et au cœur des dis­po­si­tions de la DSP2. 

SÉCURISER L’ACCÈS AUX COMPTES DE PAIEMENT

Concer­nant la sécu­ri­sa­tion des nou­veaux ser­vices d’agrégation d’information et d’initiation des paie­ments, la DSP2 défi­nit des exi­gences tech­niques quant aux com­mu­ni­ca­tions et aux don­nées tran­si­tant entre les teneurs de comptes, les nou­veaux entrants et leurs clients. 

Ces exi­gences consti­tuent le cahier des charges de ce qui est com­mu­né­ment appe­lé une inter­face de com­mu­ni­ca­tion sécu­ri­sée entre les acteurs tiers et les éta­blis­se­ments teneurs de comptes. 

METTRE EN ŒUVRE DE NOUVELLES RÈGLES

Les tra­vaux de défi­ni­tion régle­men­taire de ces deux dis­po­si­tions de sécu­ri­té, authen­ti­fi­ca­tion forte et inter­face de com­mu­ni­ca­tion sécu­ri­sée, ne sont tou­te­fois pas achevés. 

“ Mettre en œuvre des mesures de sécurité réglementaires – dans un contexte où celles-ci ne sont pas encore stabilisées ”

La Direc­tive pré­voit l’élaboration d’un texte de deuxième niveau confiée à l’ABE et venant pré­ci­ser les prin­cipes avan­cés au sein de la DSP2. En ce qui concerne l’authentification forte, un cer­tain nombre de déro­ga­tions devraient ain­si être pos­sibles, notam­ment en pre­nant appui sur une ana­lyse de risque de la tran­sac­tion et sur des seuils en des­sous des­quels cette sécu­ri­sa­tion ne sera pas obligatoire. 

Publié par l’ABE en février 2017, ce texte doit tou­te­fois encore être vali­dé par la Com­mis­sion mais aus­si le Par­le­ment et le Conseil euro­péens cou­rant 2017. Une fois approu­vées, ces dis­po­si­tions seront appli­cables aux pres­ta­taires de ser­vices de paie­ment au terme de dix-huit mois, ce qui à ce stade signi­fie vrai­sem­bla­ble­ment fin 2018, début 2019. 

De ce fait, la mise en œuvre com­plète des dis­po­si­tions de sécu­ri­té pré­vues par la DSP2 sou­lève deux pro­blé­ma­tiques majeures : d’une part, la capa­ci­té du mar­ché à se pré­pa­rer à la mise en œuvre des mesures de sécu­ri­té règle­men­taires – dans un contexte où celles-ci ne sont pas encore sta­bi­li­sées ; d’autre part, le régime tran­si­toire appli­cable entre les entrées en appli­ca­tion de la DSP2 en jan­vier 2018 et des exi­gences de sécu­ri­té défi­nies par des textes régle­men­taires de second niveau, ce second point étant par­ti­cu­liè­re­ment sen­sible en ce qui concerne les condi­tions d’exercice des acteurs tiers durant cette période. 

UN DÉFI POUR LES INSTANCES EUROPÉENNES ET NATIONALES

Face aux enjeux induits par la DSP2, les ins­tances de gou­ver­nance euro­péennes et fran­çaises auront un rôle cen­tral à jouer tout au long des deux années à venir pour évi­ter une frag­men­ta­tion du mar­ché et assu­rer la mise en œuvre de l’authentification forte par les acteurs de marché. 

Parlement européen à Bruxelles
Face aux enjeux induits par la DSP2, les ins­tances de gou­ver­nance euro­péennes et fran­çaises auront un rôle cen­tral à jouer.
© ARTJAZZ / FOTOLIA.COM

L’émergence des ini­tia­teurs et agré­ga­teurs de paie­ment, cou­plée à l’obligation de mise en œuvre d’interfaces sécu­ri­sées par les éta­blis­se­ments teneurs de comptes pour sup­por­ter les échanges avec ces nou­veaux acteurs, sou­lève un risque de frag­men­ta­tion : dans l’hypothèse où un grand nombre d’interfaces dif­fé­rentes, res­pec­tant toutes les prin­cipes de sécu­ri­té éta­blis, venaient à être déployées, la capa­ci­té pour les acteurs tiers d’opérer au niveau paneu­ro­péen pour­rait être obérée. 

L’ERPB se doit par consé­quent de coor­don­ner l’action des par­ties pre­nantes et de déve­lop­per une approche paneu­ro­péenne sur le sujet. Des tra­vaux en ce sens ont d’ailleurs été enga­gés depuis début 2017 et le CNPS s’inscrira dans leur pro­lon­ge­ment au niveau français. 

Concer­nant les règles appli­cables à l’authentification, SecuRe Pay, via les échanges entre ses membres, a la capa­ci­té d’accompagner les acteurs de mar­ché afin qu’ils puissent offrir des solu­tions de sécu­ri­sa­tion conformes au niveau atten­du par la Direc­tive. Au niveau fran­çais, l’OSMP dis­pose d’un atout sup­plé­men­taire puisqu’il réunit jus­te­ment les prin­ci­paux acteurs de mar­ché autour de ces enjeux. 

Ce sera donc l’opportunité d’apporter un éclai­rage aux tra­vaux euro­péens en la matière. La Banque de France, de par sa par­ti­ci­pa­tion aux ins­tances euro­péennes d’une part, en tant que pré­si­dente du CNPS et assu­rant le secré­ta­riat de l’OSMP d’autre part, est réso­lu­ment enga­gée à contri­buer effi­ca­ce­ment à l’ensemble de ces tra­vaux à venir en lien avec la mise en œuvre de la DSP2 en Europe, en étroite concer­ta­tion avec l’ensemble des par­ties concernées.

Poster un commentaire