L’industrie du paiement à l’épreuve de la cybersécurité

Le monde de paie­ment est for­te­ment expo­sé aux risques cyber. Mas­ter­card, acteur emblé­ma­tique d’envergure inter­na­tio­nale, se mobi­lise en misant sur l’innovation et en déve­lop­pant des par­te­na­riats, afin de contri­buer à sécu­ri­ser cet éco­sys­tème et l’ensemble de ses com­po­santes. Dou­nya El Bakal, direc­trice en charge des Pro­duits et Solu­tions Cyber­sé­cu­ri­té & Intel­li­gence, nous en dit plus.

Quelle place occupe la cybersécurité dans votre secteur d’activité et comment ce risque a‑t-il évolué au cours des dernières années ?

Depuis plu­sieurs années, le sec­teur des paie­ments est très dyna­mique et en constante évo­lu­tion. Le large choix d’offres de paie­ment, le déve­lop­pe­ment du paie­ment mobile et sans-contact, l’explosion du e‑commerce, les inno­va­tions et les cas d’usage tou­jours plus nom­breux entraînent de nou­veaux défis pour les acteurs de l’industrie alors que les exi­gences en matière de sécu­ri­té ne cessent de se renforcer.
La mon­dia­li­sa­tion et la sophis­ti­ca­tion de la cyber­cri­mi­na­li­té dans l’écosystème des paie­ments exigent une taille cri­tique et une col­la­bo­ra­tion à l’échelle inter­na­tio­nale des acteurs pri­vés et publics pour res­ter à la pointe de la cyber­sé­cu­ri­té. En paral­lèle, les nou­veaux cas d’usage, les wal­lets, et l’explosion des objets connec­tés ont mul­ti­plié à l’infini le nombre d’interactions et contri­bué à élar­gir la sur­face d’attaque.
Plus que jamais, la confiance est deve­nue essen­tielle dans l’industrie du paie­ment. Dans ce contexte, la marque Mas­ter­card reste un gage de sécu­ri­té pour payer en France et dans le monde. Cette confiance est un capi­tal pré­cieux que nous pré­ser­vons au tra­vers d’investissements mas­sifs en matière de cyber­sé­cu­ri­té. En 2023, plus de 3,3 mil­liards de cartes Mas­ter­card et 143 mil­liards de tran­sac­tions dans le monde ont été pro­té­gées par nos dif­fé­rents dis­po­si­tifs de cyber­sé­cu­ri­té. Dotés des tech­no­lo­gies les plus avan­cées en matière d’Intelligence Arti­fi­cielle et de Machine Lear­ning depuis plus de 10 ans, nous avons ain­si évi­té près de 35 mil­liards d’euros de fraude les 3 der­nières années.

Comment un acteur comme Mastercard appréhende ce risque dans sa stratégie ?

La cyber­sé­cu­ri­té est un des piliers fon­da­men­taux de notre stra­té­gie, car notre rôle est avant tout de garan­tir une expé­rience de paie­ment la plus fluide et la plus sécu­ri­sée pos­sible. Four­nis­seurs d’une infra­struc­ture mon­diale de réseau, nous connec­tons plus de 23 000 ins­ti­tu­tions finan­cières à des mil­lions de consom­ma­teurs, mar­chands, entre­prises ou ins­ti­tu­tions publiques, et déve­lop­pons des solu­tions qui pro­tègent « par défaut » les don­nées de nos uti­li­sa­teurs. Ce prin­cipe de « Secu­ri­ty by Desi­gn » est non seule­ment au cœur de notre phi­lo­so­phie, mais est mis en œuvre dès la phase de concep­tion pour pré­ve­nir, iden­ti­fier et détec­ter les risques. Nous fai­sons régu­liè­re­ment évo­luer nos stan­dards et solu­tions pour accom­pa­gner nos par­te­naires dans leurs nou­veaux besoins de cyber­sé­cu­ri­té, au-delà des tran­sac­tions de paie­ment. La régle­men­ta­tion DPS2 avec l’obligation d’authentification forte a per­mis de réduire la fraude des paie­ments digi­taux. Très créa­tifs, les frau­deurs contournent néan­moins ces dis­po­si­tifs en exploi­tant les vul­né­ra­bi­li­tés bien en amont du par­cours de paie­ment. Ils récu­pèrent ain­si des don­nées sen­sibles pour bâtir des cam­pagnes ciblées d’ingénierie sociale et contour­ner les dis­po­si­tifs de sécu­ri­té pour accé­der à la banque en ligne, opé­rer des paie­ments, des vire­ments ou ouvrir des comptes en usur­pant l’identité des uti­li­sa­teurs et contrac­ter des crédits.
La pro­tec­tion des paie­ments passe donc par une meilleure pro­tec­tion de l’ensemble de l’écosystème et, plus par­ti­cu­liè­re­ment de l’environnement IT de nos par­te­naires. C’est, par ailleurs, l’objet du règle­ment euro­péen Dora (Digi­tal Ope­ra­tio­nal Act) qui entre­ra en vigueur en jan­vier 2025 et qui vise à ren­for­cer la cyber­ré­si­lience du sec­teur financier.

Dans ce cadre, quelles sont les grandes lignes de votre offre en matière de cybersécurité ? À quels niveaux intervenez-vous et qui sont vos partenaires ?

Nous inter­ve­nons tout au long du cycle de vie d’une tran­sac­tion, mais aus­si au niveau de l’identification des vul­né­ra­bi­li­tés de la Sup­ply Chain et des four­nis­seurs de nos par­te­naires, qui sont sou­vent la pre­mière porte d’entrée des cybe­rat­taques. Nos modèles puis­sants d’IA et de Machine Lear­ning nous per­mettent d’évaluer en temps réel le risque lié à une tran­sac­tion et de trans­mettre un score « Deci­sion Intel­li­gence » à nos par­te­naires ban­caires qui l’intègrent dans leur modèle et ajustent leurs règles de fraude selon les cas d’usage.
Nous inter­ve­nons au niveau du réseau, avec Safe­ty Net, via une seconde couche de pro­tec­tion pour pré­ve­nir les attaques à grande échelle. Nous iden­ti­fions les com­por­te­ments anor­maux ou sus­pi­cieux sur un site mar­chand, une carte, un canal de paie­ment, un pays, une région et les pré­ve­nons pour agir, aler­ter ou blo­quer ces attaques avant qu’elles n’atteignent leur sys­tème. Nos modèles ana­lysent tous les signaux de manière iso­lée et à l’échelle inter­na­tio­nale, et font des rap­pro­che­ments pour repé­rer les menaces. Nous simu­lons des scé­na­rios d’attaques connus sur les ser­veurs pour tes­ter les failles et la capa­ci­té des banques à se protéger.

Avec nos tech­no­lo­gies d’IA, nous scan­nons aus­si l’environnement digi­tal glo­bal de nos par­te­naires pour iden­ti­fier avec Ris­kRe­con les vul­né­ra­bi­li­tés des four­nis­seurs, portes d’entrée des hackers avec des effets de cas­cade sys­té­miques aux consé­quences désas­treuses. Cela contri­bue, par ailleurs, à leur mise en confor­mi­té avec le règle­ment Dora.
Avec Sys­te­mic Risks Assess­ment, les Direc­tions Achats et Direc­tions des Risques peuvent moni­to­rer en conti­nu les risques four­nis­seurs (Tiers 1, 2 et 3) sur les volets opé­ra­tion­nels, finan­ciers, géo­po­li­tiques et ESG. Enfin, nous accom­pa­gnons les ins­ti­tu­tions finan­cières dans leur lutte anti-blan­chi­ment dont les sanc­tions liées à des infrac­tions se sont éle­vées à près de 5 mil­liards de dol­lars en 2022, soit +50 % par rap­port à 2021.

Quels sont les principaux enjeux qui persistent en matière de cybersécurité ?

Alors que les attaques visent tou­jours le maillon le plus faible, l’humain reste la prin­ci­pale porte d’entrée pour mener des cybe­rat­taques. À par­tir de là, il s’agit de conti­nuer à sen­si­bi­li­ser de manière col­lec­tive le grand public aux risques cyber. La cam­pagne sur Ins­ta­gram « Frau­de­Fight­Club » menée avec cybermalveillance.gouv.fr, la Banque de France et nos par­te­naires ban­caires est un exemple de par­te­na­riat public-pri­vé visant à sen­si­bi­li­ser le jeune public âgé de 18 à 25 ans sur les réflexes à adop­ter pour repé­rer les signaux de risques et adop­ter les bons réflexes face aux attaques d’ingénierie sociale.

En paral­lèle, les PME res­tent éga­le­ment la cible pri­vi­lé­giée des cybe­rat­taques en France. Plus vul­né­rables et dotés de moins de moyens et de res­sources que les grandes entre­prises, ces acteurs clés du tis­su éco­no­mique doivent être davan­tage accom­pa­gnés. Nous adap­tons ain­si cer­taines de nos solu­tions et les leur pro­po­sons à un tarif adap­té. Nous par­ti­ci­pons à des pro­grammes de sen­si­bi­li­sa­tion via des for­ma­tions avec la Chambre de Com­merce d’Île-de-France et met­tons à leur dis­po­si­tion le Mas­ter­card Trust Cen­ter pour four­nir du conte­nu péda­go­gique gra­tuit que nous pro­po­sons, d’ailleurs, aux entre­prises de toute taille.

Pour res­ter à la pointe en matière de cyber­sé­cu­ri­té, un uni­vers en constante évo­lu­tion, il faut être en mesure d’adopter et de déployer rapi­de­ment les tech­no­lo­gies émer­gentes. Cela repré­sente un enjeu stra­té­gique pour le monde ban­caire dont les infra­struc­tures sont par­fois vieillis­santes. Cet enjeu va de pair avec le besoin de faire évo­luer les com­pé­tences, de recru­ter de nou­veaux pro­fils à même d’appréhender les nou­veaux risques, et déve­lop­per une culture de la cyber­ré­si­lience au sein de l’entreprise.

Aujourd’hui, comment vous projetez-vous ?

J’ai la convic­tion forte que c’est par la conver­gence de nos forces avec nos par­te­naires en France que nous par­vien­drons à main­te­nir la confiance et à faire face aux nou­veaux défis de cyber­sé­cu­ri­té. Dans cette logique, Mas­ter­card élar­git l’accès à l’innovation aux tran­sac­tions d’autres réseaux de cartes et à d’autres rails de paie­ment. En ouvrant l’accès à nos tech­no­lo­gies, tra­di­tion­nel­le­ment réser­vées aux tran­sac­tions trai­tées par notre réseau Mas­ter­card, nous nous atta­quons aux défis de coût, de sca­la­bi­li­té, de vitesse et de sécurité.
Aujourd’hui, si l’IA géné­ra­tive offre de nou­velles oppor­tu­ni­tés en matière de cyber­sé­cu­ri­té, elle néces­site des inves­tis­se­ments impor­tants et une mise à l’échelle com­plexe et difficile.

Tota­le­ment agnos­tique, notre approche d’IA col­la­bo­ra­tive donne, via une connexion unique à Mas­ter­card Access, l’accès à notre réseau de ser­vices Mas­ter­card tels la marque de la tran­sac­tion ou le mode de paie­ment. Les banques peuvent étendre l’utilisation de sco­ring IA Deci­sion Intel­li­gence en temps réel à leurs tran­sac­tions domes­tiques non trai­tées par Mas­ter­card ou l’usage de Safe­ty Net contre les attaques à grande échelle au béné­fice de leur réseau domes­tique non Mas­ter­card sans modi­fier leur infra­struc­ture exis­tante. À par­tir de là, notre ambi­tion est aus­si de réduire le coût de l’innovation pour nos par­te­naires afin de péren­ni­ser leur écosystème.

---

Articles similaires :

Sécu­ri­ser le cloud, par le cloud Avec Mithril Secu­ri­ty, les entre­prises peuvent uti­li­ser l’IA en toute sécurité Cyber­sé­cu­ri­té : et si les machines met­taient les humains en quarantaine ? Intel­li­gence arti­fi­cielle et cyber­sé­cu­ri­té : une réa­li­té dès aujourd’hui BCG GAMMA : « Il faut agir et agir vite ! »