Open Banking, ou comment la DSP2 chamboule l’écosystème du paiement

DSP2 : la directive qui encourage l’Open Banking ?

L’authentification forte est obligatoire dans le cadre des transactions de paiement. Ces dernières méritent en effet un haut niveau de sécurité. Cependant, la DSP2 ne prévoit pas que cet élément lié à la sécurité. La directive sur les services de paiement porte également sur les communications sécurisées entre les banques et les services tiers. Le champ d’application de la DSP2 s’étend désormais à d’autres services. Par exemple, ceux des paiements innovants et des nouveaux fournisseurs sur le marché… Tel que les sociétés de technologie financières (aussi appelé Fintechs). Ce n’est pas visible pour le grand public, pourtant, ces nouvelles exigences bouleverse tout l’écosystème de paiement. Qui ainsi se tourne vers l’Open Banking !

Les normes réglementaires techniques prévues par la DSP2 s’appellent pareillement RTS – Regulatory Technical Standards. Elles suivent les exigences détaillées par l’Autorité Bancaire Européenne (ABE). Une collaboration existe entre la Banque Centrale Européenne (BCE) et les banques centrales nationales. Divers RTS sont prévus par la directive pour en harmoniser la mise en œuvre opérationnelle. L’entrée en application des RTS sur les règles d’authentification forte et sur la mise en service des API DSP2 eut lieu en septembre 2019.

Encourager la concurrence et l’innovation

Quel est le lien entre DSP2 et Open Banking ? L’un des objectifs principaux de la DSP2 est d’encadrer les nouveaux acteurs de paiements. La directive cherche notamment à stimuler la concurrence et l’innovation dans le secteur bancaire en favorisant l’arrivée de nouveaux acteurs (Third Party Providers, TPP).

La directive identifie de nouveaux types d’acteurs tiers (TPP) :

Les émetteurs d’instruments de paiement.

Ces prestataires (Payment Instrument Issuer Service Provider – PIISP) fournissent des cartes de paiement qui sont reliés au compte bancaire. Lorsqu’un usager effectue une transaction, le PIISP doit s’assurer de la disponibilité des fonds auprès de l’AISP.

Les prestataires de services d’initiation de paiement (PISP – Payment Initiation Service Provider).

Les services d’initiation de paiement sont définis par le directive comme suit : un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement.

Les prestataires de services d’information sur les comptes (AISP – Account Information Service Provider).

Aussi appelé agrégateur de comptes bancaires, ce prestataire permet à un usager de regrouper sur une seule interface les informations sur les soldes et les opérations réalisées sur plusieurs ou l’ensemble de ses comptes.

Une mutation en profondeur du secteur bancaire

Pourquoi peut-on voir les mesures de sécurité prévues par la DSP2 comme une véritable révolution pour le secteur bancaire. Tout simplement parce que les banques traditionnelles responsables jusqu’alors de la tenue de compte, sont avec DSP2 « forcées » d’ouvrir l’accès aux informations de compte par le biais d’APIs. La DSP2 s’attache donc à organiser le droit d’accès aux informations de compte par les prestataires de paiement. C’est l’objet de cet article, l’Open Banking.

Les nouvelles exigences de la DSP2, qui entrent en application à compter de septembre 2019, permettront de renforcer la collaboration et d’améliorer l’interopérabilité entre les institutions financières et les nouveaux acteurs de la banque et du paiement.

Dans une étude récente, Deloitte explique que la révolution Open Banking incite les banques à ouvrir leurs systèmes d’information et à partager avec leurs concurrents une partie de leurs données clients. Un phénomène qui ne cesse de prendre de l’ampleur, notamment avec l’entrée en vigueur de la DSP2.

L’Open Banking : le monde bancaire de demain

Mais qu’entend-on par Open Banking ?

« L’Open Banking repose sur l’ouverture des systèmes d’information des banques et le partage de données de leurs clients à des tiers. L’API (Application Programming Interface) est au cœur de ce modèle », a expliqué le cabinet d’audit. « Cette avancée technologique permet aux développeurs d’intégrer les données et les services de tierces-parties au sein de leurs applications ». Deloitte précise que cette solution permet à tous les acteurs du marché de se connecter aux services des banques traditionnelles pour y développer leurs propres applications.

Open Banking : un besoin d’adaptation pour les acteurs du secteur

La DSP2 reconnaît et réglemente les prestataires de services de paiement tiers qui sont autorisés à accéder aux comptes, à agréger leurs données et à initier les services de paiement et dont le rôle est d’accepter le paiement en ligne. La directive prévoit que les commerçants, les fintechs et les banques puissent communiquer via des API. Les banques devront proposer ce canal de communication sécurisé aux prestataires de services de paiement tiers souhaitant agréger les données des comptes bancaires et/ou initier des services de paiement.

Quelles obligations pour les banques avec l’Open Banking ?

Désormais, les clients souhaitent pouvoir disposer de leurs données bancaires partout et tout le temps, et simplement. Les banques sont donc contraintes de les mettre à disposition d’établissements financiers tiers, au travers d’interfaces de programmation (API). Nous sommes donc au coeur de l’Open Banking. L’objectif de cette mutation du secteur est de stimuler la concurrence et l’innovation.

Le site de Red Hat définit une API comme un ensemble d’outils, de définitions et de protocoles qui facilite la création et l’intégration de logiciels d’applications. Elle permet à un produit ou à un service de communiquer avec d’autres produits et services sans connaître les détails de leur mise en œuvre. D’après l’éditeur mondial de solutions logicielles Open Source, les API « constituent un moyen simplifié de connecter votre propre infrastructure au travers du développement d’applications natives pour le cloud. Elles vous permettent également de partager vos données avec vos clients et d’autres utilisateurs externes ».

Côté back-end, cela signifie que les communications entre les serveurs des différents acteurs de la chaine sont protégées grâce à des certificats électroniques.

Certifications électroniques : une obligation de s’équiper

Pour assurer le niveau de sécurité requis par la DSP2, les banques et les PSP doivent s’équiper de deux certificats électroniques :

Le certificat eIDAS QWAC (Qualified Website Authentication Certificate). Il permet aux serveurs d’un PSP et d’une banque de s’authentifier mutuellement et de maintenir les communications chiffrées.
Le certificat eIDAS QSEAL (Quailified electronic Seal Certificate). Il permet aux serveurs d’un PSP et d’une banque de sceller le contenu d’une transaction.

Ces certificats permettent aux banques et aux prestataires de services de paiement de sécuriser les transactions. Mais ce n’est pas tout. Ils permettent de protéger les données des comptes de paiement tout en garantissant la conformité avec la directive européenne. En outre, sécuriser les transactions entre les banques et les PSP assure la traçabilité des échanges et garantit une authentification mutuelle entre les deux parties.

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

HTTPS, SSL, TLS, certificat de chiffrement : Le guide pour y voir plus clair !

Certificats SSL, TLS, HTTPS, certificat de chiffrement : Le guide pour y voir plus clair !

Difficile d’y voir clair parmi les sigles et les termes qui peuplent le monde de la certification numérique. Certificats SSL, certificats TLS, HTTPS, chiffrement, authentification… Ce guide a pour but de vous simplifier la vie en matière de sécurisation de site web.

Les usagers sont plus attentifs que jamais à la protection des données : 9 Français sur 10 se disent préoccupés par l’utilisation de leurs informations personnelles sur le web. Garantir la sécurité des internautes quand ils naviguent sur votre site Internet n’est donc plus une option. Problème : le monde de la cybersécurité ressemble à un mauvais film de science-fiction, avec son jargon sibyllin et ses sigles énigmatiques (certificat SSL, certificat TLS, HTTPS…). Au risque de vous faire passer à côté de l’essentiel. Ce guide est là pour vous aider à y voir plus clair, à travers un focus sur trois notions essentielles.

Le certificat de chiffrement et d’authentification

Vous y avez sans doute prêté attention : la barre d’adresse d’un navigateur web fournit des informations sur le niveau de sécurité des sites visités. On connaît notamment le petit cadenas qui s’affiche à côté de l’URL, signe que le détenteur du site a adopté le protocole de sécurité HTTPS (nous y reviendrons plus tard).

Cette sécurisation des serveurs (et donc des sites web) passe par des algorithmes de chiffrement. Ceux-ci consistent en la génération d’une clé cryptographique qui permet :

D’assurer la confidentialité des données échangées entre un poste client et un serveur. Dès qu’il est activé, seules ces deux entités peuvent déchiffrer les informations qui circulent entre elles.
De garantir l’intégrité des données.
D’authentifier le serveur web avec lequel l’utilisateur communique. Car une simple clé de chiffrement ne garantit aucunement l’identité de son détenteur !

Pour bénéficier de cette protection, un site web utilise un certificat de chiffrement – un certificat SSL ou TLS – relié au protocole HTTPS. Il est délivré par une Autorité de Certification (AC), chacune proposant des niveaux différents de fiabilité.

Le protocole HTTPS

Deux protocoles permettent de se connecter à un serveur web : le HTTP et le HTTPS. Entre les deux, une seule lettre de différence, mais un véritable gouffre en matière de sécurité.

Le protocole HTTP (pour HyperText Transfer Protocol) permet le transfert des données sur le web. C’est, en quelque sorte, le mode d’emploi d’une requête envoyée par le navigateur au serveur, préalable indispensable aux échanges d’informations. Le hic, c’est que ce type de connexion n’offre aucune sécurité. N’importe qui peut intercepter les données.

C’est là qu’intervient le HTTPS (avec le « S » de Secure en plus), qui adjoint au HTTP classique un protocole SSL / TLS. Celui-ci assure le chiffrement des données grâce à une clé de cryptage asymétrique, rendant les informations échangées illisibles pour une personne tierce et sécurisant la connexion. Il prouve également l’identité du détenteur du certificat SSL / TLS correspondant.

L’activation du protocole HTTPS fait apparaître un cadenas à côté de l’URL dans la barre d’adresse, auquel les internautes sont désormais habitués. Il s’affiche lorsqu’un site web est protégé par un certificat SSL ou un certificat TLS – ce qui en revient au même, comme nous allons le voir tout de suite.

Les certificats SSL (ou certificats TLS)

Pour afficher un site web en HTTPS, une entreprise doit d’abord obtenir un certificat SSL. Le SSL (Secure Socket Layer) est la technologie permettant de sécuriser les échanges de données entre le navigateur et le serveur. Il est particulièrement indiqué lorsqu’un utilisateur souhaite fournir des données confidentielles à un site web, par exemple pour effectuer un paiement. L’obtention d’un certificat SSL conduit à activer le protocole SSL, autorisant le site à ouvrir une connexion en HTTPS.

Le certificat TLS est le successeur du certificat SSL. Le TLS (Transport Layer Security) est une version plus sûre du SSL fonctionnant sur le même principe. Si votre site web utilise encore un ancien protocole SSL (2.0 ou 3.0), l’utilisateur en est prévenu par la présence d’un cadenas (ou du préfixe HTTPS) barré dans l’URL. Mais attention : par convention, on parle encore de certificat SSL plutôt que de certificat TLS, même si le protocole utilisé est bien le TLS. Vérifiez bien avant de changer quoi que ce soit !

Certificats SSL, TLS et HTTPS : une sécurisation indispensable

SSL, TLS et HTTPS : une sécurisation indispensable

Vous l’aurez compris : ces différents termes et sigles (certificats, SSL, TLS, HTTPS) englobent une seule et même chose, à savoir des protocoles de sécurisation des échanges entre les internautes et les sites web.

En quelques mots, l’affichage de votre site en HTTPS suppose de passer par le protocole TLS, lui-même nécessitant l’obtention d’un certificat SSL.

Le passage au HTTPS n’est plus une option. La protection des données est devenue un enjeu majeur pour les utilisateurs – notamment depuis la révélation des écoutes de la NSA – autant que pour Google. Afin d’inciter les acteurs du web à sécuriser leurs sites, le leader des moteurs de recherche a agi en trois temps :

À partir de 2014, en favorisant le positionnement des sites en HTTPS dans les résultats.
À partir de 2015, en pénalisant progressivement les sites non sécurisés par le biais d’un positionnement moins avantageux.
À partir de début 2018, en affichant un label « non sécurisé » sur les pages en HTTP.

Aujourd’hui, 70 % des pages web s’affichent en HTTPS, contre seulement 40 % en 2015. Un pourcentage qui n’ira qu’en augmentant. Car, à la suite de Google, d’autres plateformes en appellent à l’adoption d’un certificat SSL : depuis 2017, WordPress propose par exemple des fonctionnalités uniquement accessibles à des hôtes HTTPS.

Il est donc urgent de franchir le pas pour assurer la visibilité de son site et de sa marque, d’autant plus que cela participe au déploiement d’un Internet plus respectueux des droits des internautes !

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Certificats DSP2 : la solution pour un écosystème Open Banking de confiance ?

DSP2 : un niveau de sécurité accru pour le services de paiement

La Directive sur les Services de Paiement 2 (DSP2) est en application depuis le 13 janvier 2018. Elle vise à harmoniser la réglementation sur les paiements au sein de l’Union européenne (UE). Elle doit permettre d’élargir et d’améliorer le choix des consommateurs sur le marché des paiements de détail. Dans le même temps, elle instaure des normes de sécurité plus strictes pour les paiements en ligne.

DSP1 : une première étape

DSP2 est la deuxième version d’une directive européenne adoptée en 2007 et transposée en droit français en juillet 2009. La DSP1 a introduit un changement important dans le monde de la banque. En effet, l’entrée en vigueur de la directive est une opportunité pour les organismes qui ne sont pas des banques. Ils ont la possibilité de proposer la fourniture de certains moyens de paiement. Par exemple les cartes, virements, portes monnaies électroniques, services de paiement par le téléphone ou par internet, etc.

La nouvelle version de la directive (DSP2) vise à harmoniser davantage la réglementation sur les paiements. Pour cela, elle prend en compte les avancées technologiques. Elle introduit notamment de nouvelles exigences en matière de sécurité. Pour l’initiation, le traitement des paiements électroniques, ainsi que la protection des données financières des consommateurs.

Qu’est ce qui change avec la DSP2 ?

DSP2 porte sur trois sujets principaux, à commencer par le renforcement des droits des consommateurs. Cela concerne notamment le remboursement sans délai des opérations contestées ou encore l’interdiction des surfacturations. Le second volet touche quant à lui l’authentification forte pour la consultation des comptes et les opérations de paiement électronique.

L’authentification forte est la combinaison de deux facteurs d’authentification. Cela peut être plus, mais pas moins. Les méthodes sont parmi les trois catégories suivantes : possession, connaissance et inhérence.

Possession : smartphone, appareil connecté, etc
Connaissance : mot de passe, question secrète, etc
Inhérence : empreinte digitale, reconnaissance faciale, etc

L’authentification numérique, et en particulier l’authentification forte, permet de créer ce socle de confiance. Elle apporte un niveau de garantie élevé quant à la personne (physique ou morale) rattachée à une identité numérique. C’est ce qui la différencie d’une authentification dite « faible ». Contrairement à elle, elle participe à la création d’une identité qui réduit les risques d’usurpation. Cela rend les transactions électroniques plus sûres.

DSP2 : ouvrir le marché à de nouveaux acteurs

Le troisième sujet sur lequel porte DSP2 concerne les communications sécurisées entre les banques et des services tiers. En effet, le champ d’application de la directive s’étend aux services de paiement innovants et aux nouveaux fournisseurs sur le marché, tels que les sociétés de technologie financières (les Fintechs).

La directive européenne réglemente les prestataires de services de paiement tiers (PSP tiers). Ils peuvent accéder aux comptes, agréger leurs données et initier les services de paiement. Cet élément est une véritable révolution pour le marché des paiements. La DSP2 cherche ainsi à favoriser la concurrence, la transparence et l’innovation.

Les PSP tiers comprennent :

Les Prestataires de Services d’Initiation de Paiement (PSIP) qui offrent d’initier les paiements pour le compte de clients, donnant ainsi l’assurance aux détaillants que l’argent est en route.

Les agrégateurs et Prestataires de Services d’Information sur les Comptes (PSIC) qui fournissent à leurs clients une vue d’ensemble des comptes et soldes disponibles.

Donner accès aux données via un canal de communication sécurisé

DSP2 prévoit que les commerçants, les fintechs et les banques puissent communiquer via des API (Interface de Programmation Applicative). En ce qui concerne les banques, elles devront donc proposer ce canal de communication sécurisé. Et cela d’ailleurs aux prestataires de services de paiement tiers souhaitant agréger les données des comptes bancaires. Ainsi qu’initier des services de paiement. Cela permettra de renforcer la collaboration entre eux. Mais également d’améliorer l’interopérabilité entre les institutions financières et les nouveaux acteurs de la banque et du paiement.

Les API doivent être mises en place par les banques dans le respect des standards techniques (RTS -Regulary Technical Standards). L’Autorité Bancaire Européenne (ABE) était chargée de la rédaction de ces normes techniques. La Commission européenne les a ensuite validées. Le Journal officiel de la Commission européenne a publié le règlement européen relatif aux normes techniques réglementaires. Les mesures de sécurisation des données spécifiées par ces RTS sont applicables depuis septembre 2019.

Les certificats eIDAS DSP2, pour renforcer la sécurité

Pour assurer le niveau de sécurité requis par la DSP2, les banques et les PSP doivent s’équiper de deux certificats électroniques :

Le certificat eIDAS QWAC (Qualified Website Authentication Certificate) qui permet aux serveurs d’un PSP et d’une banque de s’authentifier mutuellement et de maintenir les communications chiffrées.

Le certificat eIDAS Qseal (Qualified electronic Seal Certificate) qui permet aux serveurs d’un PSP et d’une banque de sceller le contenu d’une transaction.

Ces certificats permettent aux banques et aux prestataires de services de paiement de sécuriser les transactions, de protéger les données de comptes de paiement tout en garantissant la conformité avec la directive européenne. En outre, sécuriser les transactions entre les banques et les PSP permet d’assurer la traçabilité des échanges et de garantir une authentification mutuelle entre les deux parties.

Pourquoi des certificats eIDAS dans la DSP2 ?

Les certificats qualifiés eIDAS fournissent le plus haut niveau de garantie et de sécurité. Ils permettent d’obtenir un certain nombres d’informations comme le numéro d’agrément délivré par l’autorité nationale compétente (ACPR pour la France). Autre élément très important : ces certificats mettent en exergue les rôles tenus par les entités (services d’initiation de paiement, services d’initiation de paiement, services d’information sur les comptes et/ou émission d’instruments de paiement).

Ces 2 types de certificats doivent être émis par un QTSP (Qualified Trust Service Provider), c’est-à-dire un prestataire de services de confiance qualifié eIDAS ayant été auditée pour la norme ETSI TS 119 495. Le règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques. L’enjeu du règlement eIDAS est de créer un cadre européen de reconnaissance mutuelle et d’interopérabilité pour l’identification électronique et les services de confiance.

Le règlement eIDAS concerne principalement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union Européenne. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Il couvre notamment le sujet de la signature électronique et abroge la directive 1999/93/CE. L’ANSSI est l’organisme chargé de la mise en œuvre de ce règlement en France. eIDAS est applicable depuis le 1er juillet 2016 pour la majorité de ses dispositions, incluant celles relatives aux « services de confiance ».

Qu’entend-on par prestataire de confiance au sens d’eIDAS ?

Un prestataire de services de confiance qualifié est un prestataire de services de confiance offrant au moins un service de confiance qualifié. Le règlement européen formule des exigences générales applicables à l’ensemble des prestataires de services de confiance qualifiés, ainsi que des exigences spécifiques à chaque service de confiance qualifié.Un prestataire de services de confiance qualifié doit avoir fait l’objet d’une évaluation de la conformité aux exigences du règlement, avoir obtenu son statut qualifié de l’organe de contrôle désigné par l’Etat membre dans lequel il est établi, et être identifié sur la liste de confiance avant de pouvoir commencer à fournir des services qualifiés.

Construire un écosystème Open Banking

Avec les nouvelles règles mises en place par DSP2, les acteurs du paiement peuvent désormais construire un écosystème Open Banking qui offre un niveau de sécurité élevé, facilite l’interopérabilité tout en préparant les services de demain.

« L’Open Banking fait enfin apparaitre de nouveaux standards pour l’octroi de crédit et l’accompagnement du consommateur dans sa gestion bancaire et ses finances. Les nouvelles règles permettront notamment de mieux protéger les consommateurs lorsqu’ils effectuent des paiements. Elles encourageront le développement et l’utilisation de modes de paiement mobiles et en ligne innovants et elles rendront les services européens de paiement plus sûrs », a déclaré Béatrice Larregle, Présidente France et Benelux d’Experian, dans une tribune publiée dans Les Echos début 2019.

Les deux types de certificats nécessaires dans le cadre de la DSP2 sont délivrés par des QTSP (Qualified Trust Services Providers). Ce sont des autorités de certification, comme CertEurope, reconnues par l’Europe pour délivrer des certificats eIDAS.

CertEurope est la première autorité de certification en France et Tiers de Confiance, conforme à la réglementation eIDAS, référencé sur la « Trust List » des prestataires qualifiés eIDAS autorisés à fournir des certificats QWAC et QSEAL, ainsi que sur la liste des QSTP de l’Open Banking Europe.

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

DSP2 : la directive qui accompagne la mutation numérique des services de paiement

Directive DSP2 : comment l’écosystème du paiement évolue ?

La directive sur les services de paiement (DSP2) vise à harmoniser la réglementation sur les paiements au sein de l’Union européenne (UE) tout en prenant en compte les avancées technologiques. Le texte a pour objectif également d’introduire de nouvelles exigences en matière de sécurité.

Aujourd’hui, les besoins des utilisateurs sont de plus en plus orientés vers le paiement instantané, mobile ou le sans contact. Cette directive doit ainsi « favoriser l’innovation, la concurrence et l’efficience », selon la Commission européenne. Elle doit également « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide ».

DSP2 : une mutation numérique des services de paiement

DSP2 est la deuxième version de la Directive sur les services de paiement. La 1^ère version de la directive a permis une intégration croissante du marché intérieur des services de paiement. Cependant, le législateur a jugé qu’il fallait aller plus loin, notamment en matière de sécurité. L’UE a adopté le 2nd texte le 25 novembre 2015. Et il est entré en vigueur dans tout l’UE le 13 janvier 2018. Cependant, certaines dispositions n’entreront en vigueur qu’au cours de l’année 2019.

« Le marché des services de paiement de l’UE reste fragmenté et cher, coûtant 130 milliards d’euros par an, soit plus de 1% du PIB de l’UE. L’économie européenne ne peut pas se permettre ces coûts si elle veut rester mondialement compétitive », déclarait en 2015 Antonio Tajani, le député en chargé du dossier, lors du vote de la directive. « Le nouveau cadre réglementaire réduira les coûts, augmentera la sécurité des paiements et facilitera l’arrivée de nouveaux acteurs et de nouvelles méthodes innovantes de paiements mobiles et en ligne ».

Pourquoi une directive sur les services de paiement ?

Dans un communiqué de presse en date de janvier 2018 a expliqué que grâce à cette directive DSP2, les consommateurs vont profiter de tous les avantages qu’offrent les paiements en ligne pour l’achat de biens et de services. Les nouvelles règles rendent ces paiement moins chers, plus simples et plus sûrs. « La directive révisée sur les services de paiement (DSP2) […] vise à moderniser les services de paiement en Europe au profit tant de consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide », précise le communiqué.

Directive DSP2 : de nouveaux enjeux de sécurité

Les principales mesures introduites par la directive DSP2 sont les suivantes :

Interdire la surfacturation
C’est-à-dire l’application de suppléments en cas de paiement par carte de débit ou de crédit. Cela est valable aussi bien dans un commerce physique qu’en ligne.
Ouvrir le marché des paiements de l’UE
Aux entreprises offrant des services de paiement, en leur donnant accès aux informations sur les comptes de paiement.
Instaurer des exigences de sécurité strictes
Pour les paiements électroniques et la protection des données financières des consommateurs. Cela implique par exemple une obligation d’authentification forte pour les paiements en ligne de plus de 30 euros. Le but étant de réduire la fraude dans l’e-commerce.

La sécurité : une priorité de la directive DSP2

La sécurité est l’un des éléments forts de la nouvelle directive DSP2 par rapport à la première version. Un effort important a été fait sur ces questions. Les acteurs du marché ayant besoin de règles claires et précises pour se conformer aux nouvelles exigences, la Commission européenne a adopté des normes techniques de réglementation.

Ces normes techniques instaurent des exigences de sécurité que les prestataires de services de paiement doivent respecter lorsqu’ils traitent des opérations de paiement ou fournissent des services connexes. Ces normes définissent les exigences à remplir pour permettre une authentification forte des clients.

« Un objectif clé est de stimuler la concurrence ainsi que l’innovation sur le marché des paiements de détail. Dans ce contexte, les normes techniques de réglementation incluent deux nouveaux types de services de paiement, à savoir les services d’initiation de paiement et les services d’information sur les comptes », a précisé Bruxelles.

Authentification forte : une obligation dès septembre 2019 avec DSP2

Les règles imposées par la directive intègrent des dispositions strictes en matière de sécurité. L’objectif est d’abord de réduire de manière significative les niveaux de la fraude en matière de paiement. Il s’agit ensuite de protéger la confidentialité des données financières des utilisateurs, particulièrement importante pour les paiements en ligne.

La directive DSP2 définit l’authentification forte comme suit. Il s’agit d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories :
– Connaissance soit quelque chose que seul l’utilisateur connaît
– Possession soit quelque chose que seul l’utilisateur possède
– Inhérence soit quelque chose que l’utilisateur est
Ces éléments doivent être indépendants, c’est-à-dire que la compromission de l’un ne remet pas en question la fiabilité des autres, et est conçue de manière à protéger la confidentialité des données d’authentification.

L’authentification forte (deux facteurs au moins) fait partie des mesures applicables à compter de septembre 2019. Avant la directive, cette technique était seulement recommandée. Elle sera bientôt obligatoire. Dans le but de protéger le consommateur, la directive DSP2 exige des banques la mise en œuvre d’une authentification multi-facteurs. Le but est de vérifier l’identité de l’utilisateur pour toutes les transactions à distance et de proximité, et ce quel que soit le canal utilisé. Avec un objectif clair de renforcer la sécurisation des données, la directive DSP2 impose, côté back-end, que les communications entre les serveurs des différents acteurs de la chaine de valeur soient protégées, en ayant recours aux certificats électroniques.

Directive DSP2 : une amélioration de l’expérience utilisateur

En effet, la directive DSP2 demande aux banques de mettre en place des mesures de sécurité qui sont « compatibles avec le niveau de risque associé aux services de paiement ». Vous connaissez déjà la version une de la DSP : cette page de redirection sur laquelle vous atterrissez après un achat pour saisir un code que votre banque vous envoie par téléphone. La directive DSP2 en est la version ultra-sécurisée et ergonomique pour confirmer votre identité en ligne.

Directive DSP2 : une approche Open Banking

La directive européenne prévoit que les commerçants, les fintechs et les banques puissent communiquer et échanger via des API. C’est pour cette raison que les banques doivent adapter leurs structures informatiques à la directive DSP2 et mettre en place des API. Ce canal de communication sécurisé sera accessible par les prestataires de services de paiement tiers qui souhaitent agréger les données des comptes bancaires et/ou initier des services de paiement.

Les communications entre les serveurs des détenteurs de comptes (les banques), des agrégateurs d’information ou des prestataires de paiement doivent être sécurisées. Concrètement, ces acteurs doivent équiper leur serveur d’un certificat de cachet serveur.

Une nouvelle étape dans la création du marché unique numérique

«Cet acte législatif constitue une nouvelle étape dans la création d’un marché unique numérique dans l’UE. Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l’économie et la croissance. Avec l’entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs deviendra interdite. Les consommateurs de l’UE pourraient ainsi économiser plus de 550 millions d’euros par an. Ils bénéficieront aussi d’une protection accrue lorsqu’ils effectuent des paiements », a déclaré Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l’union des marchés des capitaux.

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Tout savoir sur les certificats SSL ou TLS

Qu’est-ce qu’un certificat TLS ou SSL ?

Respecter la réglementation des appels d’offres et optimiser les process

Un certificat SSL (Secure Sockets Layer) est un certificat numérique que l’on associe à un nom de domaine ou une URL. Egalement nommé certificat TLS (Transport Layer Security), il permet d’établir avec certitude le lien entre le site internet et son propriétaire (entreprise, marchand ou individu). L’authentification du site Internet permet de sécuriser les échanges électroniques avec les utilisateurs qui s’y connectent via Internet.

Le Domain Name System est un service permettant de traduire un nom de domaine en informations, notamment en adresses IP du serveur hébergeant ce nom de domaine.

Un nom de domaine (DN) est l’identifiant d’un site internet (www.monsite.com par exemple).

Un sous-domaine est l’adresse internet d’une partie de votre site internet (par exemple mail.monsite.com)

Le certificat TLS / SSL permet d’instaurer la confiance :

en authentifiant un site
en chiffrant l’ensemble des informations (personnelles, bancaires, etc.) entre ce site et la personne qui s’y connecte. Il garantit ainsi la confidentialité des échanges.

Les visiteurs peuvent ainsi laisser en toute sécurité et confiance leur numéro de carte bancaire ainsi que des informations personnelles. Ce certificat SSL permet en outre de sécuriser les transactions en ligne ; les informations données par le client ne peuvent pas être interceptées, détournées ou déchiffrées par une autre personne.

Comment fonctionne un certificat SSL ?

Sur un plan technique, les identifications numériques ou certificats numériques permettent d’associer une clé publique à son véritable propriétaire. La clé publique du site permet l’échange d’une clé de session secrète ; celle-ci va chiffrer les informations transmises entre le client et ce site Internet. Elle permet également, via un module de contrôle d’intégrité inclus dans les fonctions de chiffrement, de vérifier que le message n’a pas été modifié au cours de son passage sur Internet.

L’Autorité de Certification, l’organisme qui délivre le certificat SSL, agit en quelque sorte comme une Préfecture ou une Mairie qui délivre des cartes d’identité ; Elle engage une série de vérifications selon des règles très strictes, afin d’établir avec certitude l’identité de l’entreprise et du serveur web ; l’Autorité de Certification émet alors le certificat SSL et le retourne à l’administrateur du site web certifié.

Votre certificat TLS / SSL, véritable passeport électronique de votre site web, contient les informations suivantes :

L’url du site à certifier (ex: www.monsite.fr)
Les coordonnées de votre entreprise
Votre clé publique (qui permet le chiffrement des informations)
Le nom de l’Autorité de Certification, qui émet ce passeport électronique
La date d’expiration de ce certificat SSL
La signature de l’Autorité de Certification

Pourquoi a-t-on besoin d’un certificat TLS / SSL ?

Pourquoi a-t-on besoin d’un certificat SSL ?

Les utilisateurs réalisent leurs transactions sur les sites qu’ils savent certifiés et sécurisés ; ils s’assurent ainsi que l’activité de l’entreprise est réelle et que les communications chiffrées, de manière à rester confidentielles.

Les certificats SSL permettent également de prouver l’identité du propriétaire du site web aux utilisateurs qui se connectent, et empêcher un site malveillant d’usurper l’identité de celui-ci et détourner ses clients ou visiteurs.

L’Autorité de certification s’engage sur une série de vérifications selon des règles très strictes, afin d’établir avec certitude l’identité d’une entreprise et de son serveur web. Le certificat SSL, une fois fabriqué, donnera aux clients les assurances suivantes :

La preuve de l’identité de l’entreprise : un passeport électronique unique est délivré pour un site Internet, assurant aux clients l’authenticité du site, permettant le chiffrement et garantissant ainsi la confidentialité des communications.
Une forte sécurité : reposant sur le modèle de chiffrement à « clé publique », dérivé des technologies militaires, les certificats SSL, procurent un très haut niveau de sécurité. La technologie de chiffrement SSL étant déjà implémentée sur un serveur, l’entreprise doit se procurer un certificat SSL.
Une utilisation simple : Transparence pour les clients

Qu’est-ce que le protocole SSL ?

Pourquoi a-t-on besoin d’un certificat SSL ?

Secure Socket Layer – SSL – est un protocole d’authentification et de chiffrement de sessions Internet, également appelé aujourd’hui Transport Layer Security – TLS.

Netscape a développé cette technologie. Tous les fabricants de matériels informatiques et les logiciels d’accès à l’Internet, en particulier, tous les serveurs web et navigateurs courants du marché ont aujourd’hui adopté ce standard.

Ce protocole permet les fonctions essentielles :

D’authentification du serveur web et, le cas échéant, des personnes qui s’y connectent
De chiffrement
De contrôle d’intégrité des données, afin de sécuriser les informations qui transitent sur internet

Qui utilise un certificat TLS / SSL ?

Qui utilise des certificats SSL ?

De plus en plus d’entreprises utilisent un certificat TLS / SSL afin de sécuriser leur site internet. Cela et de susciter la confiance de l’internaute.

Les premiers certificats déjà émis ont concerné en premier lieu :

Les sites de commerce électronique pour sécuriser les transactions de vente sur Internet
Les banques qui offrent à leurs clients un accès sécurisé à leurs informations (compte bancaire, portefeuille boursier, …)
Les administrations pour leurs échanges internes ou pour des applications de téléprocédures
Les sociétés industrielles qui sécurisent leurs intranets, extranets, applications EDI, …
Les services de messagerie web et les réseaux sociaux (Google, Yahoo, Facebook,…)

En effet, le certificat TLS / SSL sert notamment à :

Chiffrer des informations confidentielles et stratégiques :
- envoyées par un client vers un site marchand (informations client, numéros de carte bancaire, etc.) ;
- qu’une entreprise transmet à ses partenaires ou à ses employés distants connectés à Internet ;
- présentes et les échanges sur l’intranet d’une entreprise ;
Sécuriser les échanges et les transactions sur les services de messagerie ;
Donner confiance aux utilisateurs connectés grâce à l’authentification et à l’exactitude du contenu des informations présentes : serveur d’informations, de banque, d’administration, d’intranet ou d’extranet, de vente en ligne, etc.

Les certificats SSL, plusieurs choix possibles :

En fonction de la configuration de vos serveurs web et de vos sites internet il existe plusieurs types de certificats:

Il existe 4 types de certificats SSL :

DV : “Domain validated” permet de sécuriser un site internet. (Pas fourni par CertEurope)
OV : “Organisation validated” sécurise le site internet institutionnel de votre organisation.
EV : “Extended validated” permet une sécurité renforcée de votre site par la présence d’une barre verte sur la ligne d’URL du browser
Certificat RGS* : Ce certificat s’adresse aux organisations du secteur public. Il respecte la norme RGS et est reconnu par l’administration française.

Les options Wilcard ou SAN : Si vous avez plusieurs noms de domaines à protéger, vous avez la possibilité de choisir entre l’option Wildcard ou l’option SAN. Ces options vous permettent d’inclure dans un même certificat plusieurs noms de domaines.

L’option “wildcard” (*. avant votre nom de domaine) permet de sécuriser l’ensemble des sous domaines de votre site internet avec le même certificat.

Par exemple, si le nom de domaine est https://www.monsite.fr, il est possible de positionner dans un certificat Wildcard les adresses URL suivantes :

https://intranet.monsite.fr
https://secure.monsite.fr
https://webmail.monsite.fr

L’option SAN (Subject Alternative Name) permet de sécuriser plusieurs noms de domaines différents appartenant à mon organisation.

Par exemple, si le nom de domaine est https://www.monsite.fr, il est possible de positionner dans un même certificat les adresses suivantes :

https://www.monsite.com
https://www.monsite2.com

Quelle est la différence entre un certificat SSL DV et un certificat SSL OV ?

Les caractéristiques techniques du certificat restent les mêmes que ce soit pour un DV ou un OV ; à savoir un niveau de sécurité maximal de 256 bits avec une clé RSA de 2048 bits et un algorithme de hachage SHA-2.

La différence repose sur les vérifications effectuées par l’Autorité de Certification ; dans le cas d’un certificat SSL DV, l’équipe de production dédiée vérifie que le demandeur de certificat est bien propriétaire du nom de domaine donné, à l’aide des informations figurant dans le WHOIS. Pour émettre un certificat SSL OV, l’équipe de production dédiée vérifie non seulement que le demandeur du certificat est bien propriétaire du nom de domaine mais également propriétaire de l’entreprise. L’entreprise doit figurer dans la base de données du registre du commerce correspondant. Qui plus est, le nom de l’entreprise apparaîtra dans l’intitulé même du certificat SSL OV.

Quelle est la différence entre un certificat SSL OV et un certificat SSL EV ?

Pour émettre un certificat SSL EV, l’équipe de production dédiée procède à un audit poussé de l’entreprise assurant ainsi le niveau de fiabilité le plus élevé. Le certificat SSL EV est en général utilisé par les leaders mondiaux du commerce électronique. Avec ce certificat, la barre de navigateur s’affiche en vert ce qui garantit une sécurité et une légitimité maximale pour un site. L’acquisition d’un certificat SSL EV n’est pas plus complexe qu’un certificat SSL OV. Il renforce néanmoins la confiance des internautes quant à la sécurité de votre site web, ce qui peut favoriser la hausse de vos ventes en ligne.

Que veut dire « clé de 256 ou de 2048 bits »?

Une clé est un nombre ou un couple de nombres. Le nombre de bits d’une clé correspond à la taille de la clé, c’est à dire la grandeur du nombre. Plus la taille d’une clé est importante, plus le niveau de sécurité est élevé.

Il y a deux types de clé, utilisable chacune pour un type d’algorithme bien précis : symétrique ou asymétrique.

Lorsque l’on parle de clés de 256 bits, il s’agit de « clés de session », symétriques, qui chiffrent les informations confidentielles selon un algorithme symétrique – les plus fréquents sont les algorithmes AES. On parle alors de « clé AES de 256 bits ».

Lorsque l’on parle de clés de 2048 bits, il s’agit de « clés de signature » ou de « clés de chiffrement de clés de session », utilisées par des algorithmes asymétriques – le plus fréquent est RSA. On parle alors de « clé RSA de 2048 bits ».

En effet, pour des raisons de performance, il est plus rapide de chiffrer un message avec une clé symétrique qu’avec une clé asymétrique de résistance comparable. Il faut donc pouvoir transmettre en toute confidentialité la clé symétrique à son interlocuteur ; la clé symétrique sert en effet à la fois au chiffrement et au déchiffrement du message. C’est au moyen de la clé publique du destinataire que la clé de session est chiffrée et transmise au destinataire en toute confidentialité. La sécurisation d’un site internet au moyen d’un certificat SSL devient alors essentielle et un incontournable du marché.

Qui délivre un certificat TLS / SSL ?

Qui délivre des certificats SSL ?

Un tiers de confiance certifié comme CertEurope peut émettre un certificat. Acteur du développement de la confiance dans le monde numérique, il intervient dans la protection de l’identité, des documents, des transactions et de la mémoire numérique. Il engage sa responsabilité juridique dans les opérations qu’il effectue pour le compte de son client.

Les organismes qui produisent les certificats SSL sont appelés des Autorités de Certification (AC ou CA en anglais pour Certification Authority).

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Identité numérique d’entreprise : quels sont les risques et comment s’en prémunir ?

À de nombreux égards, l’identité numérique est une force pour l’entreprise. En effet, elle témoigne d’une image de marque bien établie et d’un nom reconnaissable. Et cela qu’il s’agisse de vendre des produits/services ou d’échanger des documents. Mais, faute de maîtrise, cette identité immatérielle peut rapidement se transformer en faiblesse. Ce qui fragilise ce que l’organisation a mis des années à forger – le socle de confiance sur lequel repose sa pérennité. Vol de données, modification ou altération de documents, pillage d’informations sensibles ou de secrets de fabrication, manipulation ou usurpation d’identité… Les risques nombreux que font peser la numérisation de l’identité sur l’entreprise doivent être pris au sérieux. Quels sont-ils ? Comment s’en prémunir ?

Identité numérique de l’entreprise : une définition

Dans Qu’est-ce que l’identité numérique ? (OpenEdition Press, 2013), Olivier Ertzscheid définit l’identité numérique. « La collection des traces (…) que nous laissons derrière nous, consciemment ou inconsciemment, au fil de nos navigations sur le réseau et le reflet de cet ensemble de traces, tel qu’il apparaît “remixé” par les moteurs de recherche ». À cela, il faut ajouter une autre dimension liée à la dématérialisation des échanges. L’identité numérique désigne l’identité assumée, en ligne, par l’émetteur d’un document ou d’un ordre de décision. Cela fonctionne d’ailleurs de la même manière pour les personnes physiques et morales. Par exemple, un DRH qui signe un contrat d’embauche et l’envoie par email à la personne recrutée utilise son identité numérique. À ceci près que, dans une entreprise, chaque collaborateur est garant de l’intégrité de l’identité de l’ensemble de la structure.

Les différentes couches de l’identité numérique

L’identité numérique se constitue d’une succession de trois couches informatives :

La 1^ère couche est l’identité déclarative. Elle englobe les données qui sont partagées par l’entreprise sur les réseaux, de façon volontaire : sur ses supports web (site internet, blog, profils sociaux), sur des supports tiers (sites d’actualités, annuaires professionnels, forums, sites informatifs…), via des photos ou des vidéos, etc. Tous les collaborateurs de l’entreprise participent à la constitution de l’identité numérique déclarative, directement ou indirectement (par exemple, en indiquant sur leur profil LinkedIn qu’ils travaillent pour telle société).
La 2^e couche est l’identité agissante. Elle regroupe toutes les traces laissées par les individus sur les réseaux. Par exemple, la géolocalisation, les habitudes de navigation sur Internet (via les cookies). Mais également les échanges personnels et professionnels (par mail, via une messagerie instantanée, etc.), ou des ressources consultées sur le web (musique, vidéo, etc.). Cette facette de l’identité numérique est uniquement le fait des personnes physiques, mais l’ « empreinte digitale » ainsi laissée peut impacter la notoriété de l’entreprise.
La 3^e couche est l’identité calculée. Elle est forgée par des algorithmes qui interprètent les données collectées pour recomposer les différentes facettes d’une identité individuelle ou collective. Ces outils extrapolent dans le but de prévoir les besoins et d’y répondre de façon anticipée.

Là encore, il est possible d’ajouter une pierre à l’édifice et de compléter le mille-feuille avec une 4^e couche : l’identité légale. Elle désigne à la fois l’identité dématérialisée d’un individu ou d’une entreprise (nom et prénom, ou dénomination sociale) et les outils utilisées pour la justifier légalement (certificat électronique, signature électronique, authentification forte, etc. – voir plus bas).

Les enjeux liés à l’identité numérique des entreprises

Les problématiques qui entourent l’identité numérique de l’entreprise importent. Elles concernent tous les secteurs d’activité, ainsi que toutes les tailles d’entreprises. Toutes les organisations laissent des traces sur le web et sont susceptibles d’envoyer ou de recevoir des documents sensibles. Toutes sont concernées par les enjeux de l’identité digitale, qui se déploient à trois niveaux : branding, notoriété, cybersécurité.

Le branding. L’image que l’entreprise projette d’elle-même à travers ses ressources propres (logo, site web, visuels, publicités) est dépassée par l’image bâtie par les utilisateurs (prospects, clients, partenaires, fournisseurs, concurrents, détracteurs…). Résorber ou, du moins, contrôler l’écart qui existe entre ces deux images est l’un des enjeux majeurs de ce début de XXI^e siècle en termes de maîtrise de l’identité numérique. Le risque étant de laisser la parole aux utilisateurs et de négliger les contenus malveillants et les erreurs d’interprétation.

La notoriété. Si la réputation a toujours été un enjeu déterminant pour les entreprises, l’essor du web a accentué son importance. Avec les réseaux sociaux, notamment, un bad buzz est vite arrivé. Les mauvaises nouvelles se répandent comme une traînée de poudre. Et la prolifération des fake news fait qu’il n’est même plus nécessaire qu’une information soit vraie pour convaincre une large audience. Internet est en fait soumis à la puissance de la rumeur. Avec, à la clé, des dégâts potentiellement irréversibles sur l’entreprise. Son e-réputation étant le socle sur lequel est édifiée la confiance des tiers. Malheureusement, la notoriété ne dépend pas du bon vouloir des organisations, mais de la communauté de leurs défenseurs et de leurs détracteurs. Il est donc essentiel de suivre l’évolution de cette image de marque et d’être prêt à intervenir en cas de situation de crise.

Mais également…

La cybersécurité. Les risques pesant sur la sécurité des systèmes d’information ne cessent d’augmenter. Mettant d’ailleurs en danger à la fois les entreprises et leurs utilisateurs. Le nombre de cyberattaques contre les organisations a augmenté de 25 % en 2019 (1), et quatre sociétés sur cinq en France sont mal préparées à se défendre contre ces risques (2). Partout dans le monde, les attaques contre les grandes entreprises se multiplient. Les hackers profitent de failles de sécurité pour dérober des données personnelles ou lancer des logiciels malveillants, comme par exemple :

Le vol des données personnelles de 106 millions de clients de la banque américaine Capital One. Données d’identification, informations financières, données de transaction, numéros de sécurité sociale, numéros de comptes.
Plus récemment, l’infection du SI d’Edenred (éditeur des Tickets Restaurants) par un malware. L’annonce de l’attaque a fait chuter le titre de 6 % à la Bourse en quelques heures.

Sachant qu’un vol de données, en France, coûte en moyenne 3,54 millions d’euros (3)… et que son impact sur l’image de l’entreprise peut revenir bien plus cher à long terme. Sans même parler d’un autre problème, systématiquement sous-estimé : le vol de données des employés. Alors que l’accès d’une personne malveillante à des informations internes (adresses mail, conversations, fiches de paie, numéros de sécurité sociale….) peut avoir des conséquences majeures. Notamment en donnant par la suite accès aux SI lui-même via les mots de passe dérobés (4).

Les risques cyber qui pèsent sur les entreprises

Les institutions montent au créneau pour contraindre les organisations à prendre les mesures qui s’imposent. C’est le cas à travers deux directives européennes : le RGPD (règlement général sur la protection des données) qui encadre la gestion des données personnelles des utilisateurs, donc leur sécurité. Et le règlement eIDAS (electronic Identification, Authentification and trust Services) qui régit l’identification électronique et les services de confiance à travers un socle sécuritaire commun.

Les risques ? Ils sont de trois ordres :

La manipulation de l’information (avis négatifs, diffusion de fausses informations, rumeurs, campagnes de dénigrement dirigées contre une entreprise spécifique, etc.)
La manipulation de l’identité numérique de l’entreprise (détournement du logo ou du slogan, usurpation ou détournement de marque, usurpation d’identité, fabrication de contrefaçons, vol de données, altération de documents, etc.)
Le vol de données (souvent) sensibles via l’utilisation de brèches de sécurité (manipulation technique).

Les solutions à adopter pour protéger l’identité numérique de l’entreprise

Les enjeux liés à l’identité numérique et les risques relatifs à sa non-maîtrise contraignent les entreprises à prendre des mesures concrètes pour se protéger. On peut distinguer deux grandes familles de solutions à adopter :

Les bonnes pratiques à faire appliquer au quotidien par les collaborateurs de l’entreprise (sous la houlette de la DSI). Garants de l’image de marque de leur employeur, les salariés sont les premiers concernés par les bons gestes à adopter. À la fois pour conserver le contrôle de l’identité numérique de l’entreprise. (attention portée aux publications et aux échanges, maîtrise de l’empreinte numérique, utilisation d’outils sécurisés pour se connecter aux réseaux, veille stratégique pour repérer les contenus négatifs et malveillants). Et pour garantir l’intégrité de cette identité lors des échanges (utilisation de mots de passe complexes changés régulièrement, connexions uniquement depuis des réseaux sécurisés, soin porté aux échanges de documents sensibles, etc.).
Les solutions logicielles et applicatives à implémenter. Par exemple : les certificats SSL pour sécuriser l’accès au site web et aux serveurs. Et ainsi garantir la confidentialité des données échangées entre les utilisateurs et l’entreprise. Les outils de signature électronique qui authentifient les émetteurs et confèrent une valeur légale aux documents digitalisés. En supprimant donc les risques d’altération de ces documents ou d’usurpation d’identité. Ou encore l’utilisation d’un mécanisme d’authentification forte, qui requiert la consécution d’au moins deux facteurs d’identification afin de renforcer la sécurité des accès aux SI de l’entreprise. Tous ces outils sont rattachés à des certificats électroniques délivrés par des tiers de confiance (à l’image de CertEurope).

En somme…

L’identité numérique de l’entreprise doit s’appuyer en simultané sur un ensemble de bonnes pratiques internes et sur l’utilisation d’outils sécurisés et 100 % fiables, adaptés au niveau de risque. C’est la seule façon qu’ont les organisations de reprendre le contrôle de leur identité digitale – pierre angulaire de leur pérennité.

Sources :

(1) https://www.accenture.com/fr-fr/insights/security/invest-cyber-resilience
(2) https://www.globalsecuritymag.fr/Cybersecurite-les-entreprises,20190423,86425.html

La plateforme de signature électronique GoSign

Faites le choix de la seule solution européenne leader du marché pour créer, signer et gérer des parcours de signature.

Selon le processus et le niveau de confiance requis, choisissez le niveau de signature adapté à votre besoin : signature simple, avancée ou qualifiée.

La plateforme de signature électronique GoSign

Faites le choix de la seule solution européenne leader du marché pour créer, signer et gérer des parcours de signature.

Selon le processus et le niveau de confiance requis, choisissez le niveau de signature adapté à votre besoin : signature simple, avancée ou qualifiée.

CSR certificat : l’étape incontournable pour obtenir un certificat SSL

Un certificat SSL vous permet de sécuriser les échanges entre votre site web et les internautes par le biais d’une clé cryptographique. Dans un premier temps, il active le protocole HTTPS et fait apparaître le fameux cadenas de sécurité dans la barre d’adresse du navigateur – un gage de sécurité pour vos utilisateurs. Mais saviez-vous que l’obtention de ce précieux sésame passe par une étape préalable indispensable, appelée « demande de signature de certificat » ? Voici en quoi consiste la CSR certificat et comment l’utiliser pour mettre en place votre certificat SSL.

Qu’est-ce qu’une CSR certificat ?

Une demande de certificat SSL impose donc de suivre un certain nombre d’étapes. La première consiste alors à prendre contact avec une Autorité de Certification (AC) comme CertEurope et à sélectionner le type de certificat qui convient le mieux à vos besoins. La deuxième étape est autrement plus délicate : il s’agit en effet de générer une demande de signature de certificat (ou CSR certificat pour Certificate Signing Request) et de l’adresser à l’AC dans le but d’obtenir un certificat numérique.

En substance, une CSR est donc un message vers une Autorité de Certification par un demandeur, dans le but d’obtenir un certificat d’identité numérique.

Comment s’utilise une CSR ?

La demande de signature de certificat est générée par le demandeur. Celui-ci doit créer une clé publique (qui sera incluse dans la CSR) et une clé privée (qu’il utilisera pour signer numériquement la demande et qu’il gardera secrète).

Quelles sont les informations contenues dans une CSR certificat ?

Dans en second temps, ce sont les informations contenues dans la CSR certificat qui permettent à l’Autorité de Certification de délivrer un certificat en bonne et due forme. Il faut :

Le nom du serveur (CN=);
Le nom de l’entreprise qui génère la demande (O=) ;
L’unité organisationnelle (OU=), sous la forme du numéro de SIREN précédé de « 0002 » ;
La localité (L=) et la région (S=) où est situé le siège social de l’organisation ;
Le pays (C=) sous la forme d’un code ISO à deux lettres ;
L’adresse mail de l’intermédiaire au sein de l’entreprise (le plus souvent, c’est la personne en charge de la gestion des certificats).

Quelles sont les règles à respecter pour une CSR ?

La génération d’une demande de signature de certificat suppose de respecter quelques conventions, notamment :

Créer une clé privée d’une longueur de 2048 bits (clé de type RSA 2018 Bits).
S’assurer de la sécurité de la clé privée(en utilisant un outil de génération de clé suffisamment récent pour ne pas être vulnérable, et en définissant un mot de passe/une liste de contrôle pour en protéger l’accès).
Utiliser un algorithme de signature en SHA256 (SHA 256withRSA) pour la CSR (en vertu des exigences du cahier des charges RGS).

Quelle est la procédure de demande de signature de certificat

La procédure de demande de signature de certificat comprend une partie technique et une partie administrative.

Dans un premier temps, elle consiste donc à générer la CSR certificat et la clé privée. L’utilisation de OpenSSL se recommande, à la fois pour sa simplicité et pour ses performances. Nous allons prendre l’exemple d’une demande de signature de certificat adressée à CertEurope.

Pour générer la clé, vous devez :

- Accéder à la ligne de commande et entrer : openssl genrsa -des3 -out key private/SERVEUR.key 2048 ;

- Choisir un mot de passe PEM (si vous ne souhaitez pas créer de mot de passe, il est toujours possible de supprimer la commande « -des3 », mais votre clé sera vulnérable) ;

- Générer automatiquement une clé privée RSA 2048 bits.

Votre clé se sauvegarde dans le fichier key private/SERVEUR.key.

Comment générer une demande de signature de certificat ?

Pour générer la demande de signature de certificat, il faut ensuite :

- Accéder au fichier de configuration adressé par l’Autorité de Certification en fonction du type de certificat demandé en modifiant les valeurs par défaut par celles de votre organisation.
openssl-OI-Cachet.cnf pour un cachet serveur,
openssl-OI-SAN-authclient.cnf pour un SSL Authentification Client,
openssl-OI-SAN.cnf pour un SSL Authentification Serveur,
openssl-OI-SAN.cnf pour un SSL Quovadis

- Entrer la commande : openssl req -new -out certeurope-seal-2048.csr -key certeurope-seal-2048.key -config [openssl-OI-Cachet.cnf]. Entre crochets : le fichier de configuration de votre profil de certificat.

- Entrer votre mot de passe PEM si vous l’avez configuré.

- Vérifier que les informations sont correctes.

- Entrer la commande : openssl req –in certeurope-seal-2048.csr – noout –text.

Ce qui permet de générer votre CSR certificat. Celle-ci est dans le format PEM encodé en base64, PEM (Privacy Enhanced Mail), format par défaut pour OpenSSL. Il s’agit d’un fichier DER encodé en ASCII et entouré de balises de marquage.

Que se passe-t-il une fois la CSR générée ?

La procédure administrative vient dans un second temps. Elle consiste donc à fournir à l’Autorité de Certification une demande de signature contenant toutes les informations indispensables, ainsi que la clé publique générée.

D’autres informations peuvent alors vous être demandées en fonction du niveau de certification souhaité : l’obtention d’un certificat EV ou OV (à validation étendue ou à validation d’organisation) suppose un contrôle poussé des informations que vous avez fournies au sujet de votre structure. Dans le cas d’un certificat simple (DV, à validation de domaine), pas d’obligation pour effectuer ces vérifications. Quel que soit le niveau choisi, vous devrez tout de même renseigner ces informations dans votre CSR certificat.

Si votre demande de signature de certificat s’accepte, vous recevrez ainsi un certificat d’identité numérique de la part de l’AC et accompagné d’une clé privée.

Les étapes à suivre pour obtenir un certificat SSL

La demande de signature de certificat n’est donc qu’une des étapes nécessaires pour l’obtention d’un certificat SSL. Profitons-en alors pour rappeler quelles sont ces étapes incontournables :

Sélectionnez l’Autorité de Certification qui vous délivrera votre certificat SSL.
Choisissez votre niveau de certification (SSL DV, SSL OV, SSL EV, SSL wildcard) et la période de validité désirée.
Entrez votre CSR certificat en prenant soin de donner de complètes informations viables, après avoir généré l’indispensable paire de clés.
Attendez la validation de votre demande.
Téléchargez votre certificat SSL émis par l’AC, soit depuis le mail qui vous a été envoyé, soit depuis votre Espace client sur le site du prestataire. Placez vos certificats (s’il y en a plusieurs) dans un dossier dédié.
Installez votre certificat et liez-le à votre site web.
Redémarrez votre serveur et testez votre certificat numérique. Utilisez des navigateurs web différents pour vous assurer que le protocole HTTPS est bien activé et que l’icône du cadenas apparaît.

La procédure est en effet quasiment identique quel que soit le serveur utilisé (Apache, par exemple). Pour plus d’informations au sujet de votre demande de CSR certificat et de l’installation de votre certificat final, n’hésitez pas à vous renseigner auprès de votre Autorité de Certification.

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Nouvelle réglementation DSP2 : qui est concerné ?

Nouvelle réglementation DSP2 : qui est concerné

La réglementation DSP 2 est la Directive européenne sur les Services de Paiement, version 2. Aujourd’hui, l’authentification numérique est une étape nécessaire à la validation des paiements électroniques. Elle consiste à vérifier qu’une identité numérique correspond bien à l’identité de la personne physique ou morale attendue (en l’occurrence, consommateur, banque ou prestataire de paiement tiers). Plus l’authentification est dite « forte », et plus la sécurité est grande. Or pour garantir cette sécurité, l’authentification doit répondre aux critères d’exigence de la réglementation DSP2. Quels changements entraîne cette nouvelle réglementation pour chaque acteur dans ce domaine ?

Qu’implique la réglementation DSP2 en matière de sécurité ?

Qu’implique la DSP 2 en matière de sécurité ?

La réglementation DSP2 va plus loin en matière de sécurité que la réglementation en vigueur jusqu’à présent.

Pour les utilisateurs

Du côté des utilisateurs, cette nouvelle réglementation va :

Réduire le nombre de fraudes sur les paiements d’une façon significative ;
Protéger plus efficacement leurs données financières ;
Rendre encore plus simple et rapide l’utilisation et le déroulement de leurs transactions numériques.

Du côté des professionnels

Bien entendu, rien ne changerait sans la participation de professionnels. Il faut bien trouver des solutions adaptées aux besoins des utilisateurs. D’autant que des prestataires de services de paiement (PSP) ont le droit d’accéder aux comptes bancaires, de rassembler les données ou encore d’autoriser des paiements. La nouvelle réglementation a donc pour but de faciliter les échanges d’informations. Mais elle veut aussi encourager l’émergence de nouveaux prestataires de services tiers, ainsi que les innovations en matière de paiements mobiles ou en ligne.

L’intérêt d’une authentification numérique sûre

Revenons un peu dans le temps. Pour encadrer l’authentification en ligne, la Commission européenne a mis en place en 2009 une première réglementation, la DSP 1. Cette directive s’applique à tous les services de paiement en ligne, ainsi qu’aux prestataires de services, dans toute l’Union européenne (UE) ainsi que l’Espace économique européen (EEE).

La DSP 1 se traduit par un système de vérification que vous connaissez bien, maintenant. Après un achat, le site marchand vous redirige sur une page web. Là, vous devez entrer une série de chiffres, transmise par la banque sur votre téléphone sous forme de texto.

Mais en à peine dix ans, les paiements et autres opérations bancaires en ligne se sont grandement répandus, et les acteurs se sont multipliés. Aujourd’hui, les besoins en matière de sécurité sont devenus bien plus grands que lorsque la DSP 1 est entrée en vigueur. D’où les nouvelles précautions mises en place par la DSP2.

L’évolution prévue par la nouvelle réglementation DSP2

L’évolution prévue par la nouvelle réglementation

Cette « version 2 » de la Directive européenne sur les Services de Paiement se fixe trois objectifs principaux :

Renforcer les droits des consommateurs, par exemple en réduisant les délais de remboursements suite à une contestation, ou en interdisant les surfacturations (c’est-à-dire quand vous payez un supplément lors d’un paiement par carte à l’étranger).
Rendre l’authentification toujours plus forte, pour des consultations de comptes et des paiements toujours plus sûrs.
Avec l’émergence de nouveaux services de paiement et de nouveaux fournisseurs, notamment des fintechs (c’est-à-dire des sociétés de technologie financières), l’enjeu consiste enfin à mieux protéger les partages d’informations entre les banques et les opérateurs tiers, comme la validation des opérations de paiement et autres.

Avec la DSP 2, les normes de sécurité à appliquer sont plus strictes pour les banques et les PSP. Mais les mouvements d’argent numérique à travers l’Union européenne et l’EEE sont plus sûrs, plus rapides, et plus simples pour tout le monde.

L’atout d’une authentification forte pour les utilisateurs

La DSP 2 a été adoptée le 25 novembre 2015, pour entrer en vigueur le 13 janvier 2018. Mais un gros changement reste encore à venir à la fin de l’année. Jusqu’à présent, l’authentification forte était seulement une recommandation pour les transactions numériques en Europe. À compter de septembre 2019, elle devient une obligation. Ce renforcement des mesures d’authentification a un double objectif.

Renforcer la sécurité

Elle doit assurer plus de sécurité aux transactions menées par les banques et les PSP. Le client peut ainsi accéder à son compte bancaire ou effectuer des règlements en ligne sans s’inquiéter. Il lui suffit de prouver son identité. Pour cela, la nouvelle directive européenne oblige les banques à recourir à une authentification multi-facteurs, c’est-à-dire la reconnaissance d’au moins deux des trois conditions suivantes :

Un mot de passe ou un code personnel connu de l’utilisateur seul ;
L’appareil utilisé (smartphone, pc portable, tablette, etc.) ;
Une caractéristique de l’utilisateur (via l’usage de la reconnaissance vocale ou faciale, ou encore de son empreinte digitale).

Permettre toujours plus de services

L’enjeu est aussi de multiplier les services et les possibilités. Par exemple, la réglementation de la DSP 2prend dorénavant en compte deux nouveaux types de services de paiement :

Les services d’initiation de paiement, qui proposent donc d’initier les paiements pour le compte des clients ;
Et les services d’information sur les comptes, qui offrent d’avoir sur une seule interface une vue d’ensemble de vos comptes et opérations. Du point de vue des prestataires et des banques, cette prise en compte doit encourager le développement de nouveaux systèmes de paiement, et stimuler la croissance économique.

Grâce à toutes ces nouvelles précautions, la réglementation DSP2 ouvre ainsi la voie à un écosystème open banking toujours plus efficace et transparent en Europe.

Le recours aux certificats électroniques pour les banques et les prestataires

Selon la réglementation DSP2, les échanges doivent maintenant être sécurisés à l’aide de certificats électroniques d’authentification.

Les certificats imposés par la DSP2

Pour garantir l’authentification entre les serveurs des différents acteurs, les banques et les PSP doivent recourir à deux types de certificats électroniques :

Le certificat eIDAS QWAC, pour « Qualified Website Authentication Certificate ». Ces certificats permettent aux serveurs d’une banque et d’un prestataire de services de s’authentifier réciproquement, et de garder leurs échanges chiffrés.
Le certificat eIDAS Qseal, pour « Qualified electronic Seal Certificate ». Celui-ci aux serveurs des deux parties de verrouiller le contenu d’une transaction.

Ces deux certificats sont indispensables.

La certification eIDAS

Vous l’avez remarqué. Tous deux sont certifiés eIDAS (Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques). Ce label est un gage de qualité et de confiance en matière de signature électronique, et donc de confidentialité. Les banques et PSP sont sûres d’avec qui elles communiquent, ainsi que du haut niveau de protection de leurs données.

Ils sont délivrés par des autorités de certification, ou QTSP (pour « Qualified Trust Services Providers »), reconnues par l’Europe. CertEurope est la première autorité en la matière en France, et Tiers de Confiance. CertEurope fait partie de la top liste des prestataires qualifiés et autorisés à délivrer des certificats QWAC et QSEAL. On retrouve également son nom sur la liste des QTSP de l’Open Banking Europe. Une double preuve de confiance.

La réglementation DSP2, une révolution qui profite à tous

La DSP 2, une révolution qui profite à tous

Avec les nouvelles exigences de la réglementation DSP2, les habitudes et les besoins de tout le monde sont positivement impactés :

Les utilisateurs y trouvent une garantie supplémentaire de sécurité, et leurs opérations et paiements sont facilités.
Les banques et les PSP, en respectant les règles de la DSP2, regagnent ainsi la confiance des clients. Ils affirment leur capacité à protéger leurs données financières et à gérer les paiements en ligne.
Certains acteurs (surtout les « Fintechs ») sont lancés dans une course à l’innovation et à la simplification, qui ne peut qu’apporter de nouvelles solutions pour encore plus faciliter les paiements et les opérations de tous.

Encadrés par la nouvelle réglementation de la DSP2, les paiements numériques en UE et dans l’EEE coûtent moins cher, sont plus faciles d’accès et d’utilisation, et franchissent un cap supérieur en matière de sécurité des données.

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

DSP2 et authentification forte : que prévoit la directive européenne ?

La directive européenne DSP2 et authentification forte : que prévoit la directive européenne ?

La directive européenne DSP2 a un impact significatif sur l’écosystème du paiement. Elle impacte les banques, les nouveaux acteurs FinTech du paiement, mais également les consommateurs. Dans cet article, nous nous focaliserons sur la manière et les moyens requis par la directive pour que les consommateurs s’authentifient dans le contexte des transactions de paiement. Avant DSP2, l’authentification forte restait seulement recommandée. Avec DSP2, elle devient obligatoire.

La directive sur les services de paiement (DSP2) a pour objectif de favoriser l’innovation, la concurrence et l’efficience. Elle instaure notamment des normes de sécurité plus strictes pour les paiements en ligne. Et cela afin de renforcer la confiance des consommateurs dans les achats en ligne. La directive européenne DSP2 est applicable depuis le 13 janvier 2018. Sauf en ce qui concerne les mesures de sécurité décrites dans les normes techniques et applicables à compter de septembre 2019.

Les mesures de sécurité énoncées dans les normes techniques de réglementation découlent de deux objectifs clés de la DSP2 :

Assurer la protection des consommateurs
Renforcer la concurrence et garantir des conditions de concurrence équitables dans un marché en mutation rapide.

La directive européenne DSP2, authentification forte : des exigences de sécurité plus strictes

DSP2, authentification forte : des exigences de sécurité plus strictes

Une amélioration de la sécurité des paiements électroniques assure la protection des consommateurs. C’est la raison pour laquelle les normes techniques de réglementation instaurent des exigences de sécurité que les prestataires de services de paiement doivent respecter lorsqu’ils traitent des opérations de paiement ou fournissent des services connexes. Les prestataires de services de paiement incluent les banques et les autres établissements de paiement. Ces normes définissent les exigences à remplir pour permettre une « authentification forte » des clients.

Avant la directive européenne DSP2, l’authentification forte restait seulement recommandée. Avec DSP2, elle devient obligatoire.

Qu’est-ce que l’authentification forte ?

Les normes techniques prévues dans la directive DSP2 font de l’authentification forte la condition de base. Et ce pour que le client puisse accéder à son compte de paiement ou effectuer des paiements en ligne. Cela implique que, pour prouver son identité, l’utilisateur devra répondre au moins à deux des trois conditions suivantes :

Un mot de passe ou un code que seul l’utilisateur connaît
Un appareil (téléphone mobile, carte à puce, etc) que seul l’utilisateur possède
Une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale, ou faciale).

Très concrètement, comment cela se matérialise-t-il dans notre quotidien ? La Banque Centrale Européenne estime à 69,2 milliards le nombre de paiement par carte par an en Europe. Un achat en ligne peut se réaliser au moyen d’un numéro de carte bancaire et de sa confirmation par un code reçu par sms via le dispositif 3D Secure. Ce système constitue un moyen de sécurisation courant utilisé dans le e-commerce. Selon le rapport annuel de l’Observatoire de la sécurité des moyens de paiement pour l’année 2017, 73% des commerçants en avril 2018 en étaient équipés.

Parmi les différents moyens disponibles pour une authentification forte, 3D Secure est sans contexte la double sécurité la plus courante dans l’e-commerce. En avril 2017, ce mécanisme s’applique à 71% des e-commerçants et concerne 35% des paiements, selon l’Observatoire de la sécurité des moyens de paiement.

Vers une amélioration de la sécurité des paiements en ligne

La directive DSP2 rend donc l’authentification forte obligatoire. En rendant l’authentification forte obligatoire, le but de la directive est une vérification de l’identité des utilisateurs. Et ce pour toutes les transactions à distance et de proximité, quel que soit le canal utilisé.

Les banques et autres prestataires de services de paiement doivent désormais mettre en place les infrastructures nécessaires cette l’authentification forte. Le recours à l’authentification forte est rendue obligatoire 18 mois après l’entrée en vigueur des normes techniques de réglementation. C’est-à-dire après leur publication au Journal Officiel de l’Union européenne. L’échéance est le 14 septembre 2019.

La directive européenne prévoit cependant quelques exceptions à la mise en place de l’authentification forte. Des exceptions qui font suites aux craintes soulevées par certains e-commerçants. Bien que cette technique soit efficace contre la fraude, les professionnels du secteur regrettent tout de même qu’elle rallonge le tunnel d’achat et fasse baisser le taux de conversion.

Authentification forte : des exceptions prévues par la directive européenne DS2

Authentification forte : des exceptions prévues par la directive

Voici les exceptions prévues par la directive européenne DSP2 :

Les opérations à faible montant et à risque faible

Il s’agit notamment des montant inférieurs à 30 euros. Quant au niveau de risque il s’évalue en fonction du taux moyen de fraude chez l’émetteur de la carte et de l’acquéreur qui traite la transaction.

Les abonnements et opérations récurrentes

L’authentification forte ne se soumet pas au frais d’abonnements et transactions récurrentes. Cela sera valable dès la deuxième opération. En effet, l’opération initiale nécessite une procédure SCA (Strong Customer Authentication). Si le montant se modifie, l’authentification via 3D Secure sera demandée à chaque changement.

Les listes blanches

Chaque usager a la possibilité de se créer une liste de bénéficiaires de confiance, la liste blanche.

Leur banque conserve cette liste. Ces bénéficiaires de confiance sont des commerçants qui ne sont pas concernés par l’authentification via 3D Secure. Le but avec cette exception est d’éviter aux consommateurs qui achètent régulièrement auprès d’une même enseigne d’entrer des SCA supplémentaires.

Les transactions MOTO

Les commandes de type MOTO (Mail Orders and Telephone Orders) seront systématiquement exemptées d’authentification via 3D Secure. En effet, ce type de transaction n’est pas considéré comme un paiement électronique.

Les transactions inter-régionales

Lorsque l’émetteur d’un paiement ou l’acquéreur de la carte est hors Europe, la transaction s’exempte de l’authentification forte prévue par la DSP2.

Les paiements par carte d’affaires

L’authentification forte le concerne pas les paiements effectués avec une carte professionnelle.

Comment l’authentification forte du client s’inscrit-elle dans le cadre de la directive européenne DSP2 ?

Comment l’authentification forte du client s’inscrit-elle dans le cadre de la directive DSP2 ?

Article 74 paragraphe 2

« Lorsque le prestataire de services de paiement du payeur n’exige pas une authentification forte du client, le payeur ne supporte aucune perte financière éventuelle à moins qu’il ait agi frauduleusement. Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du client, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur ».

Article 97 paragraphe 1

« Les Etats membres veillent à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur :

Accède à son compte de paiement en ligne
Imite une opération de paiement électronique
Exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse »

Article 97 paragraphe 2

« En ce qui concerne l’initiation des opérations de paiement électronique visée au paragraphe 1, point b), les Etats membres veillent à ce que, pour les opérations de paiement électronique, les prestataires de services de paiement appliquent l’authentification forte du client comprenant des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire données ».

Article 97 paragraphe 3

«Eu égard au paragraphe 1, les Etats membres veillent à ce que les prestataires de services de paiement aient mis en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement ».

Article 97 paragraphe 4

« Les paragraphes 2 et 3 s’appliquent également lorsque les paiements sont initiés par l’intermédiaire d’un prestataire de services d’initiation de paiement. Les paragraphes 1 et 3 s’appliquent également lorsque l’information est demandée par l’intermédiaire d’un prestataire de services d’information sur les comptes ».

Article 97 paragraphe 5

« Les Etats membres veillent à ce que les prestataires de services de paiement gestionnaire du compte autorise le prestataire de services d’initiation de paiement et le prestataire de services d’information sur les comptes et se fonder sur les procédures d’authentification prévues par le prestataire de services de paiement gestionnaire du compte à l’intention de l’utilisateur de services de paiement conformément aux paragraphes 1 et 3 et, lorsque le prestataire de services d’initiation de paiement intervient, conformément aux paragraphes 1, 2 et 3 ».

Article 98 paragraphe 1

« L’ABE en étroite coopération avec la BCE et après avoir consulté toutes les parties concernées, y compris sur le marché des services de paiement, représentant tous les intérêts en présence, élabore des projets de normes techniques de réglementation à l’intention des prestataires de services de paiement visés à l’article 1^er, paragraphe 1, de la présente directive, conformément à l’article 10 du règlement (UE) n°1093/2010, précisant :

Les exigences relatives à l’authentification forte du client visée à l’article 97, paragraphe 1 et 2
Les dérogations à l’application de l’article 97, paragraphe 1, 2 et 3, sur la base des critères établis au paragraphe 3 du présent article
Les exigences auxquelles doivent satisfaire les mesures de sécurité, conformément à l’article 97, paragraphe 3, afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées de l’utilisateur de services de paiement
Les exigences applicables aux normes ouvertes communes et sécurisées de communication aux fins de l’identification, de l’authentification, de la notification et de l’information, ainsi que pour la mise en œuvre des mesures de sécurité, entre les prestataires de services de paiement gestionnaires du compte, les prestataires de services d’initiation de paiement, les prestataires de services d’information sur les comptes, les payeurs, les bénéficiaires et d’autres prestataires de services de paiement ».

Article 98 paragraphe 2

Les projets de normes techniques de réglementation visés au paragraphe 1 s’élaborent par l’ABE en vue de garantir :

Un niveau de sécurité approprié pour les utilisateurs de services de paiement et les prestataires de services de paiement par l’adoption d’exigences efficaces et fondées sur les risques.
La sécurité des fonds et des données à caractère personnel des utilisateurs de services de paiement.
Et maintenir une concurrence équitable entre l’ensemble des prestataires de services de paiement.
La neutralité du modèle commercial et des technologies.
Le développement de moyens de paiement innovants, accessibles et faciles à utiliser.

A lire également : l’authentification forte, le fondement de l’identité numérique

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

5 choses à savoir au sujet des Autorités de Certification

Une Autorité de Certification est un tiers de confiance se situe à la base de la chaîne de certification électronique. C’est elle qui délivre et gère les certificats numériques utilisés pour sécuriser les échanges dématérialisés et garantir l’identité des émetteurs. Vous avez déjà demandé un certificat numérique, ou vous envisagez de le faire ? Vous avez certainement croisé ce qualificatif. Mais à quoi sert cette entité, exactement ? Comment fonctionne donc une Autorité de Certification ? Certains certificats électroniques s’utilisent pour la sécurisation des sites web, mais comment une AC s’associe aux navigateurs ? Voici cinq choses à savoir pour devenir incollable sur ce sujet.

À quoi sert une Autorité de Certification ?

En substance, une Autorité de Certification délivre des certificats électroniques. Les certificats électroniques couvrent trois usages principaux : l’authentification, la signature et le chiffrement. Parmi ces certificats, on distingue les certificats SSL qui garantissent la sécurité et l’intégrité des informations échangées entre un site web et un navigateur, par le biais d’une clé cryptographique permettant d’activer une session sécurisée (protocole HTTPS) : ce sont les certificats de chiffrement. D’autres s’utilisent pour valider l’identité des émetteurs dans le cadre d’une procédure d’authentification. Éléments cruciaux de la sécurité des réseaux informatiques : ce sont les certificats d’authentification. D’autres enfin sont pour signer un document, un fichier et pour en garantir l’intégrité : ce sont les certificats de signature.

En somme, une Autorité de Certification valide l’identité d’un demandeur et se porte garante de cette identité par le biais de l’émission d’un certificat électronique. Sa signature électronique, une fois apposée, garantit ainsi que la clé publique appartient bien au demandeur qui l’a générée. Seule la clé publique certifiée peut fonctionner avec la clé privée appartenant au demandeur.

L’AC s’occupe enfin de gérer le cycle de vie des certificats, qu’il s’agisse de les renouveler ou de les révoquer. Cela si les conditions nécessaires au renouvellement ne sont pas réunies. Les certificats électroniques ont une durée de validité limitée.

La suite de cet article présentera le fonctionnement des AC dans le cadre des certificats de chiffrement SSL.

Comment une Autorité de Certification émet-elle un certificat SSL ?

Le processus commence lorsqu’une personne physique ou morale entreprend d’établir une connexion sécurisée pour son site web, ou de créer un système d’authentification pour contrôler les accès à un réseau.

Le demandeur génère une demande de signature de certificat (CSR) contenant une clé cryptographique publique, qu’il envoie à l’Autorité de Certification (AC) de son choix, par exemple CertEurope. Dans le même temps, elle conserve précieusement une autre clé, privée cette fois.

Le tiers de confiance se charge de vérifier l’identité du demandeur via une Autorité d’Enregistrement. Si tout est en ordre, l’AC signe la demande avec sa propre clé privée, avant de délivrer le certificat électronique. Le demandeur n’a alors plus qu’à installer son certificat sur son serveur web.

Quelles sont les vérifications effectuées avant d’émettre un certificat ?

Tout dépend de la nature du certificat électronique demandé. Les vérifications effectuées par l’Autorité de Certification correspondent au niveau de protection souhaité. Le simple fait d’être possesseur du nom de domaine du certificat demandé suffit pour obtenir un certificat à validation de domaine. Mais pour un certificat à validation d’organisation ou à validation étendue, les vérifications sont plus poussées.

Une fois le certificat émis, c’est le navigateur web qui se charge de s’assurer que l’AC existe bien dans sa banque de certificats racines et que les données renseignées sont exactes.

Comment sont choisies les Autorités de Certification ?

Les outils (navigateurs web, systèmes d’exploitation, appareils mobiles, etc.) reconnaissent automatiquement les certificats SSL émis par les Autorités de Certification. Pour ce faire, ces outils intègrent nativement les informations issues des AC « autorisées » : celles-ci placent leur certificat racine dans une base de données dédiée.

Pour que leur certificat racine obtienne acceptation, Les AC doivent répondre à des exigences précises, formulées par les outils web. Prenons un exemple : le navigateur Chrome impose un certain nombre de critères aux Autorités de Certification qui souhaitent enregistrer leur certificat sur cette plateforme. Dès que les AC en sont « membres », Chrome reconnaît d’emblée les certificats émis par leurs soins.

Le choix se fait sur la confiance : ce sont généralement les Autorités de Certification les plus anciennes et les plus réputées qui sont présélectionnées par les navigateurs.

Comment fonctionne une Autorité de Certification ?

Une Autorité de Certification peut être une société privée ou une entité gouvernementale. Dans un cas comme dans l’autre, elle est ainsi composée de plusieurs éléments opérationnels :

Le personnel,
Le matériel de sécurité,
Les équipements,
Les logiciels,
Les réglementations,
Les déclarations relatives aux pratiques de sécurité,
Les rapports d’audit.

Une AC travaille de concert avec une Autorité d’Enregistrement et une Autorité de Dépôt. L’AE sert d’interface entre l’Autorité de Certification d’un côté et l’utilisateur de l’autre : c’est elle qui s’assure du respect des exigences liées à l’émission et à l’usage d’un certificat électronique. Quant à l’AD, sa mission consiste à centraliser, stocker et archiver les certificats, qu’ils soient valides, expirés ou révoqués.

À cette liste, il faut ajouter une composante moins connue mais tout aussi indispensable : l’Autorité de Séquestre, qui garantit le stockage sécurisé des clés de chiffrement dans un but de restauration (en cas d’incident). Sans oublier l’Entité finale, qui n’est autre que l’utilisateur du certificat.

Toutes ces entités forment une infrastructure de clé publique de confiance ou infrastructure de gestion de clé (PKI) en charge de délivrer des certificats électroniques.

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité) et eIDAS

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificats TLS/SSL Client RGS* et eIDAS

Ces certificats sont dédiés aux échanges avec l’administration française, afin d’apporter la preuve de votre identité et de sécuriser les transactions

Certificats TLS/SSL Client RGS* et eIDAS

Ces certificats sont dédiés aux échanges avec l’administration française, afin d’apporter la preuve de votre identité et de sécuriser les transactions

Open Banking, ou comment la DSP2 chamboule l’écosystème du paiement

DSP2 : la directive qui encourage l’Open Banking ?

DSP2 : la directive qui encourage l’Open Banking ?

Encourager la concurrence et l’innovation

Encourager la concurrence et l’innovation

Les émetteurs d’instruments de paiement.

Les prestataires de services d’initiation de paiement (PISP – Payment Initiation Service Provider).

Les prestataires de services d’information sur les comptes (AISP – Account Information Service Provider).

Une mutation en profondeur du secteur bancaire

Une mutation en profondeur du secteur bancaire

L’Open Banking : le monde bancaire de demain

L’Open Banking : le monde bancaire de demain

Mais qu’entend-on par Open Banking ?

Open Banking : un besoin d’adaptation pour les acteurs du secteur

Open Banking : un besoin d’adaptation pour les acteurs du secteur

Quelles obligations pour les banques avec l’Open Banking ?

Certifications électroniques : une obligation de s’équiper

Certifications électroniques : une obligation de s’équiper

Certificat SSL

Certificat DSP2

Certificat SSL

Certificat DSP2

Certificats SSL, TLS, HTTPS, certificat de chiffrement : Le guide pour y voir plus clair !

Le certificat de chiffrement et d’authentification

Le certificat de chiffrement et d’authentification

Le protocole HTTPS

Les certificats SSL (ou certificats TLS)

Certificats SSL, TLS et HTTPS : une sécurisation indispensable

SSL, TLS et HTTPS : une sécurisation indispensable

Certificat SSL

Certificat SSL

Certificats DSP2 : la solution pour un écosystème Open Banking de confiance ?

DSP2 : un niveau de sécurité accru pour le services de paiement

DSP2 : un niveau de sécurité accru pour le services de paiement

DSP1 : une première étape

DSP1 : une première étape

Qu’est ce qui change avec la DSP2 ?

Qu’est ce qui change avec la DSP2 ?

DSP2 : ouvrir le marché à de nouveaux acteurs

DSP2 : ouvrir le marché à de nouveaux acteurs

Donner accès aux données via un canal de communication sécurisé

Donner accès aux données via un canal de communication sécurisé

Les certificats eIDAS DSP2, pour renforcer la sécurité

Les certificats eIDAS DSP2, pour renforcer la sécurité

Pourquoi des certificats eIDAS dans la DSP2 ?

Pourquoi des certificats eIDAS dans la DSP2 ?

Qu’entend-on par prestataire de confiance au sens d’eIDAS ?

Qu’entend-on par prestataire de confiance au sens d’eIDAS ?

Construire un écosystème Open Banking

Construire un écosystème Open Banking

Certificat SSL

Certificat DSP2

Certificat SSL

Certificat DSP2

DSP2 : la directive qui accompagne la mutation numérique des services de paiement

Directive DSP2 : comment l’écosystème du paiement évolue ?

Directive DSP2 : comment l’écosystème du paiement évolue ?

DSP2 : une mutation numérique des services de paiement

DSP2 : une mutation numérique des services de paiement

Pourquoi une directive sur les services de paiement ?

Pourquoi une directive sur les services de paiement ?

Directive DSP2 : de nouveaux enjeux de sécurité

Directive DSP2 : de nouveaux enjeux de sécurité

Interdire la surfacturation

Ouvrir le marché des paiements de l’UE

Instaurer des exigences de sécurité strictes

La sécurité : une priorité de la directive DSP2

La sécurité : une priorité de la directive DSP2

Authentification forte : une obligation dès septembre 2019 avec DSP2

Authentification forte : une obligation dès septembre 2019 avec DSP2

Directive DSP2 : une amélioration de l’expérience utilisateur

Directive DSP2 : une amélioration de l’expérience utilisateur

Directive DSP2 : une approche Open Banking

Directive DSP2 : une approche Open Banking

Une nouvelle étape dans la création du marché unique numérique

Une nouvelle étape dans la création du marché unique numérique

Certificat SSL

Certificat DSP2

Certificat SSL

Certificat DSP2