20
BOURSE & FINANCES
FINANCES NEWS HEBDO
JEUDI 24 SEPTEMBRE 2020
www.fnh.ma
>>>
doit rimer avec protection de celles-ci. Les attaques les plus courantes : Attaques contre les API (Application Programming Interface) : les API publiques sont au cœur de l'Open banking. Elles permettent à des tiers agréés d'accéder aux données bancaires des uti- lisateurs pour proposer de nouveaux ser- vices financiers innovants. Les failles de mise en œuvre de ces API permettront aux pirates d'exploiter les serveurs de back- office pour dérober des données. Attaques contre les entreprises de la fin- tech: les utilisateurs seront contraints d'éta- blir une nouvelle relation de confiance avec des prestataires ne disposant pas néces- sairement des mêmes garanties en matière de protection des données ni autant de res- sources que leurs banques. La majorité de ces fintech ne disposent pas de ressources dédiées à la sécurité. Elles constituent donc des cibles idéales pour les hackers, qui peuvent profiter des éventuelles failles de sécurité de leurs applications mobiles, API, techniques de partage de données et modules de sécurité, en cas de mise en œuvre incorrecte. Attaques contre les applications et plate- formes mobiles : la plupart des services d'Open banking seront déployés sous forme d'applications mobiles, une cible de choix pour les attaquants. En mettant la main sur le nom de l'utilisateur, son mot de passe ou les clés de chiffrement dans l'application, un hacker peut récupérer des données ban- caires et usurper d’une identité. Même si les applications ne permettent pas d'effectuer des paiements, elles peuvent contenir des données relatives à des transactions. Un hacker peut ainsi établir un profil très précis de ses victimes. Attaques contre l'utilisateur : les nouvelles applications d'Open banking s’apprêtant à devenir le principal moyen pour les utili- sateurs d'accéder aux données et aux ser- vices financiers, les attaques de phishing pourraient devenir très fructueuses pour les pirates. La réduction des risques n’exclut pas l’exis- tence de ces derniers. L’écosystème finan- cier a l’obligation donc de mettre en œuvre
un certain nombre de mesures comme : • Renforcer la sécurité by design dans les projets de développement; • Se doter de protections dédiées aux API ouvertes; • Renforcer la gestion des identités par la fédération globale des prestataires concer- nés par l’écosystème d’Open banking; • Imposer des mécanismes avancés d’au- thentification et de contrôle d’accès; • Mettre en place des règles rigoureuses dans l’évaluation et la contractualisation avec les fintech; • Tester régulièrement et rigoureusement la sécurité de bout en bout; • Renforcer les dispositifs de surveillance SOC. F.N.H. : Selon vous, quels sont les use-cases possibles dans le contexte marocain ? Mohamed Moullouze : Un exemple concret de use-cases d’Open banking peut être le «Personal Finance Management» ou le PFM. La crise pandémique de la Covid-19, en sus de la multibancarisation d’un bon nombre de nos clients, a mis la lumière sur des besoins clients, jusqu’ici latents, de gestion des dépenses et du budget via l’application bancaire, web ou mobile. Les fonctionnali- tés du PFM sont pléthoriques: agrégation de comptes, catégorisation automatique des revenus et des dépenses, analyse des dépenses, voire des recommandations en fonction des analyses, etc. La réalisation de ce type de use-case, se faisant très souvent avec des fintech dis- posant de solutions sur étagère, nécessite l’ouverture du système d’information et de la data. Nous avons commencé des expé- rimentations dans ce sens mais du chemin reste à parcourir. F.N.H. : Y a-t-il une réglementa- tion qui régit son utilisation par les banques ? Issam El Alaoui : Une partie de l’Open banking est réglementée en Europe par la directive DSP2 (qui va au-delà de ce périmètre). Cette directive ouvre la voie à un accès automatisé sécurisé à la donnée
à eux, gérés dans le RGPD (Règlement général sur la protection des données) ou au Maroc dans la loi 09-08 (relative à la pro- tection des personnes physiques à l’égard du traitement des données à caractère personnel) ainsi que dans les directives de la DGSSI (Direction générale de la sécurité des systèmes d’information). Hicham Faik : Les banques ont l’obligation de se conformer aux normes nationales et, dans certains cas, internationales. Elles sont déjà soumises à certaines réglemen- tations touchant les aspects protection des données à caractère personnel (RGPD et loi 09/08), les données des porteurs de cartes bancaires (PCI DSS) ainsi que les transac- tions financières Swift (SWIFT CSP). A l’ère de l’Open banking, ces règlementations et tout l’écosystème des fintech doit être davantage réglementé pour être en mesure de proposer une protection de premier ordre et aux standards que les banques appliquent. La conformité réglementaire exige une réelle transparence des processus et des procé-
client par des entreprises tierces (la plupart du temps des agrégateurs ou des outils de Personal Finance Management), ce qui représente le socle fon- dateur de l’Open banking. Les aspects sécurité et confidentialité sont, quant
Le secteur financier a toujours été une cible très attrayante pour les cybercri- minels.
Made with FlippingBook flipbook maker