Quel est le rôle de SecDevOps dans la conformité PSD2?

En ce qui concerne les paiements en ligne et le traitement des cartes de crédit, les détaillants de l'UE se sont vu accorder une suspension. La directive révisée sur les services de paiement de l'Union européenne, connue sous le nom de PSD2, a prolongé sa période de conformité jusqu'en mars 2021, laissant les détaillants et les banques en sécurité pendant que la législation reste dans l'incertitude. Et pourtant, une prolongation du délai ne signifie pas que les entreprises peuvent se reposer sur leurs lauriers. Les consommateurs, les gouvernements et les développeurs s'attendent à ce que les banques et autres services soient prêts à se conformer, idéalement avant la date limite de mars 2021.

À propos de l'auteur

Subho Halder est le co-fondateur et CTO d'Appknox.

Plus important encore, les pirates sont conscients de cette faille de vulnérabilité. Les réglementations DSP2 visent à accroître la concurrence et à offrir plus de choix aux consommateurs, mais également à assurer une sécurité supplémentaire pour les informations bancaires vitales. Laisser ces informations dangereuses est une entreprise risquée pour les criminels. Voyons où nous en sommes aujourd'hui avec ces normes et comment les entreprises impliquées dans le commerce électronique peuvent mettre en œuvre les meilleures pratiques SecDevOps dans leur conformité PSD2.

1: état de l'API

En mars 2019, 41 % des banques de l’UE ne respectaient toujours pas les futures normes PSD2. Même si ce chiffre est inférieur à la moitié et que les pourcentages exacts varient selon les pays, la principale raison pour laquelle les banques traînent les pieds reste la même : les tests API.

La nécessité pour les banques de créer des API pour les données de paiement transactionnelles figure principalement sur la liste de contrôle de conformité DSP2. Ces API devraient fournir, entre autres, un accès en temps réel, une surveillance de la fraude, une authentification multifacteur des utilisateurs et une analyse du comportement des utilisateurs. Avec toutes ces caractéristiques, il n’est pas difficile de comprendre pourquoi certaines institutions tardent à se mettre en conformité.

Cependant, ces API deviendront la base des transactions financières numériques tout au long des années 2020 et au-delà. Les entreprises et les prestataires de services financiers utiliseront les API bancaires pour fournir leurs propres systèmes de paiement, créant éventuellement leurs propres API pour utiliser pleinement les données de paiement et comportementales.

En fait, les banques elles-mêmes pourraient également devenir des fournisseurs tiers (TPP), à la fois en créant et en utilisant les API d'autres parties. L’effet attendu de cette concurrence accrue est d’offrir plus de choix aux consommateurs et donc des prix plus bas, un objectif noble pour tout gouvernement soucieux des citoyens.

En apparence, les normes PDS2 peuvent en fait améliorer la confiance et la sécurité dans les transactions financières numériques. Cela soulève la question de savoir comment les banques créent leurs API et qui finit par les utiliser. Et comment.

2. Sécurité contre la fraude: ce que les consommateurs et les institutions doivent savoir

Au cœur du PDS2 se trouvent les API que les banques créeront pour fournir des services aux TPP. La sécurité est primordiale lorsque les banques créent des API : elles disposent d’un immense accès à nos données financières les plus vitales. Tous les détails qui finissent entre les mains de personnages peu fiables sont sujets à des désastres.

Comme nous l’avons noté, jusqu’à présent, une grande partie des discussions s’est concentrée sur ces API bancaires. Moins d’attention a été accordée à ce que les PPT et autres institutions pourraient finir par faire avec leurs propres API. En d’autres termes, quelles sont les règles de sécurité pour les PPT ?

La vérité est que très peu. Le TPP présente un avantage majeur et un défaut majeur par rapport au PDS2, qui n’en est qu’un.

D’une part, les TPP ne sont pas soumis aux mêmes réglementations strictes que les banques. C’est l’un des principaux moteurs du PDS2 : permettre à ces TPP d’offrir des options de paiement signifie plus de flexibilité pour les consommateurs. Elles ne sont pas non plus liées à la même infrastructure informatique existante que de nombreuses banques.

Toutefois, cette mobilité accrue a un coût. Si un TPP n’exige pas autant de rigidité pour commencer à traiter les transactions, cela signifie-t-il que sa sécurité est également moins stricte ? Comment les consommateurs savent-ils si leur nouveau prestataire de paiement gère la sécurité de leurs données ?

3: Définition des meilleures pratiques dans PDS2

Premièrement, les PPP doivent être conscients des risques auxquels ils sont confrontés. Les attaques frauduleuses, dans lesquelles des utilisateurs malveillants créent des réseaux de faux comptes pour exploiter divers avantages, ont augmenté de 26 % l'année dernière, alors même que de plus en plus de banques mettent en œuvre le 2FA et d'autres solutions pour lutter contre ces crimes.

Dans une certaine mesure, les PPT peuvent améliorer la sécurité des données des clients. Ils peuvent partager des informations entre eux ou avec les banques dont ils utilisent les API. Les TPP dotés de protocoles de sécurité plus solides présentent un meilleur argument de vente auprès des nouveaux clients : c’est précisément le type de concurrence que le PDS2 est censé provoquer.

Dans le même temps, de nouveaux défis doivent être relevés avant qu’une violation ne se produise. D’une part, le suivi des API utilisées est essentiel.

L'API de chaque banque sera constamment vérifiée, car de nombreux TPP en dépendront pour fournir des services à leurs clients. Les API créées par ces fournisseurs tiers seront testées de manière moins rigoureuse. En tant que tel, SecDevOps devient le gardien entre la sécurité financière et les abus de piratage.

Il existe un certain nombre de mesures que chaque partie peut prendre dès maintenant pour garantir la sécurité de la DSP2 plus tard. Tout d’abord, il est essentiel de faire l’inventaire des API déjà utilisées. Les API fantômes, c'est-à-dire les API auxquelles les développeurs ont donné accès puis oublié, facilitent le piratage des points d'entrée. Les supprimer avant de mettre en œuvre la PSD2 ouvre la voie à une meilleure sécurité globale.

Pour l’instant, les commerçants, les banques et les futurs PPT ont plus d’un an pour se conformer à la PSD2. Atteindre cet objectif ne signifie pas seulement respecter la loi. Toute institution cherchant à fournir la meilleure qualité de service dans un nouvel environnement numérique doit faire de la sécurité une préoccupation majeure. Heureusement pour eux, c’est logique sur le plan commercial. Les consommateurs se tournent naturellement vers l’entreprise qui compte le plus pour eux. En matière de sécurité des données financières, les meilleurs seront toujours au sommet.