OSMP – Conférence sur les travaux de veille technologique

Mesdames, Messieurs,

C’est avec grand plaisir que j’ouvre cette première conférence de l’Observatoire de la sécurité des moyens de paiement consacrée aux travaux de veille technologique. Cette première édition sera consacrée à la sécurité des paiements à l’ère de l’identité numérique et de l’informatique quantique, deux sujets à la pointe des enjeux technologiques sur lesquels nous allons bénéficier de l’éclairage de plusieurs experts qui ont contribué à nos travaux réunis aujourd’hui.

I. Présentation de l’OSMP

A/ Mais avant toute chose, il me semble important de rappeler ce qu’est l’Observatoire de la sécurité des moyens de paiement – l’OSMP – et quelles sont ses missions.

L’OSMP est une instance de Place, qui a été créée par le Code Monétaire et Financier afin d’appuyer la mission de la Banque de France en matière de sécurité des paiements – telle qu’elle est définie depuis la loi sur la sécurité quotidienne de 2001.
C’est dans ce cadre que 3 missions ont été confiées par la loi à l’Observatoire en vue de lutter contre la fraude. Ces missions portent sur : 

• le suivi des mesures de sécurisation des paiements, 
• l’établissement de statistiques de fraude, ainsi que 
• la veille technologique, raison qui nous réunit plus particulièrement aujourd’hui. 

B/ L’Observatoire dispose d’une composition¹  étendue, de façon à bénéficier d’une large représentation de la société. 

Parmi ses 47 membres, on trouve à parts égales (i) des représentants des utilisateurs, (ii) des représentants des professionnels de la chaine des paiements et (iii) des représentants d’autorités publiques. Cette diversité est une vraie force dans un monde où les techniques de fraude sont de plus en plus sophistiquées et évoluent rapidement.

C/ Cette évocation des techniques de fraude me fait arriver désormais, plus concrètement, aux actions que mène l’Observatoire actuellement.

Au préalable, je voudrais rappeler l’efficacité du déploiement de l’authentification forte et des mécanismes d’appréciation des risques par les acteurs de la chaine des paiements, en réponse à la deuxième directive européenne sur les services de paiement (DSP2). Ces deux dispositifs ont en effet permis une réduction tangible du risque de fraude sur les paiements à distance.
 
En revanche, la fraude demeure encore trop élevée dans certains cas d’usage, en particulier ceux que la DSP2 a exclu de l’obligation d’authentification forte. C’est le cas pour les paiements initiés par le commerçant (appelés aussi « MIT »² ), ainsi que sur les paiements à distance autres que ceux effectués par internet, c’est-à-dire les paiements par courrier ou téléphone, aussi appelés « MOTO »³ .
 
Le chèque demeure par ailleurs l’instrument de paiement le plus fraudé, bien qu’une baisse notable ait été observée depuis la mise en œuvre d’un plan d’action dédié adopté en 2020 par l’OSMP.

On a également observé une évolution des scenarii de fraudes à la suite de la mise en œuvre de l’authentification forte des paiements à distance. Face aux nouvelles barrières d’ordre technique, les fraudeurs cherchent en effet désormais à manipuler leurs victimes afin de les amener à réaliser elles-mêmes des opérations frauduleuses ou à en valider à leur insu. À ces fins, les fraudeurs ont très souvent recours à des techniques d’usurpation d’identité via les services de télécommunication. 

Pour répondre le plus efficacement possible à ces nouveaux enjeux de sécurité, plusieurs travaux sont actuellement menés sous l’égide de l’Observatoire :

•    Je citerai tout d’abord le travail mené avec le secteur des télécoms. L’objectif est double : lutter contre l’usurpation du numéro d’appelant, pratique appelée spoofing⁴ , et mettre en place des mesures contre le hameçonnage par SMS (smishing) et le détournement de ligne mobile (SIM swapping).

•    L’OSMP poursuit également ses travaux visant à maitriser la fraude sur l’ensemble des paiements par carte, en particulier ceux que la DSP2 exonère de l’obligation d’authentification forte (tels que les « MIT » et les « MOTO »). C’est pourquoi l’OSMP a déployé la semaine dernière un nouveau plan d’actions pour réduire l’acceptation de ces paiements sur les montants les plus élevés, en les réservant aux seuls cas d’usage absolument nécessaires et peu risqués.

•    Des actions sont, en outre, menées en matière de lutte contre la fraude sur les paiements SEPA (virements et prélèvements). On pourra mentionner à cet égard que la mise en place d’un dispositif visant à confirmer l’identité des bénéficiaires de virement va être rendu obligatoire à terme par le règlement européen relatif aux virements instantanés, adopté le 13 mars dernier, et que l’OSMP veillera à ce que la Place française soit bien au rendez-vous de cette attente.

•    Quant au chèque, l’OSMP continue de s’assurer de la mise en œuvre des recommandations adoptées en 2021, notamment relatives à la sécurisation de l’envoi de formules de chèques et à la simplification des procédures de mise en opposition.

•    Enfin, l’Observatoire poursuit ses travaux de veille technologique, sur lesquels je reviendrai dans quelques instants.

En parallèle de ces travaux de fond et pour terminer cette brève présentation des actions de l’OSMP, il convient de souligner le travail important de communication réalisé par l’Observatoire autour des différentes actions de lutte contre la fraude que je viens de citer, à la fois auprès du public, des professionnels concernés et, bien sûr, dans son rapport annuel. 

II. L’action de veille technologique : rôle et contenu des travaux

A/ Je souhaiterais maintenant aborder plus en détail les travaux de veille technologique en matière de paiements scripturaux menés dans le cadre de l’OSMP.

Cette veille vise à la fois : 
•    à proposer des moyens de lutter contre les atteintes à la sécurité des moyens de paiement ;

•    et à évaluer les menaces potentielles pouvant affecter le monde des paiements, notamment dans la perspective d’évolutions du marché ou d’innovations majeures. L’étude sur la menace quantique s’inscrit dans ce cadre.

À cette fin, l’OSMP collecte les informations disponibles et organise des échanges entre ses membres et avec les meilleurs experts du marché, dans une approche fondée sur l’analyse des risques et opportunités et sur la formulation de recommandations. Cette fonction, qui est inscrite dans le code monétaire et financier, voit son utilité croître avec le développement rapide des nouvelles technologies qui présentent à la fois des opportunités en matière de lutte contre la fraude, mais également des vulnérabilités qui sont autant de menaces que les fraudeurs tenteront d’exploiter. 

B/ Depuis sa création en 2001, l’Observatoire de la sécurité des cartes de paiement, devenu en 2016 l’Observatoire des moyens de paiements scripturaux, joue un rôle d’anticipation des principales mutations technologiques afférentes à la sphère des paiements.

 
Parmi les études réalisées par le passé, nous pouvons citer, entre autres : 
•    Les études conduites par l’OSCP dès sa création sur la sécurisation des paiements au moyen d’une puce cryptographique. Ces travaux ont permis dès l’origine de promouvoir cette technologie sur l’ensemble des usages de proximité de la carte en remplacement de technologies plus vulnérables, telles que la prise d’empreinte physique ou le recours à la piste magnétique.

•    Les travaux relatifs à la sécurité des paiements à distance ont conduit à soutenir le développement de 3-D Secure et des techniques d’authentification sur internet, plusieurs années avant l’arrivée de la DSP2. De la même manière, l’étude relative au recours à la biométrie, conduite dès 2015, a permis de clarifier les conditions de recours à ce type de facteur d’authentification en avance de phase par rapport à la DSP2.

•    Les travaux sur le paiement sans contact au moyen de la technologie NFC ont de leur côté contribué à mettre en place des mesures pour rassurer les utilisateurs, comme le plafonnement unitaire ou la possibilité de désactivation.

•    Quant aux paiements par mobile, il a été permis de définir les requis notamment en matière d’enregistrement et de sécurité des données dans le mobile selon les différents modèles d’architecture technique possibles, là aussi en avance de phase par rapport à l’arrivée des premières solutions de paiement mobile en France.
Toutes ces analyses ont pour dénominateur commun d’avoir permis de baliser le chemin en fixant un certain nombre de requis, qui ont été intégrés par la suite dans la règlementation, afin de préparer l’arrivée de ces nouvelles technologies dans les meilleures conditions, au service des citoyens et de la sécurité des moyens de paiements qu’ils utilisent au quotidien. 

C/ Le groupe de travail en charge de la veille technologique s’est plus récemment focalisé ces dernières années sur (1) la menace quantique, (2) l’identité numérique, et sur (3) l’utilisation des méthodes de scoring et de l’intelligence artificielle dans le cadre de la lutte contre la fraude (travail en cours).

•    Pour évaluer la menace quantique, l’OSMP a, ces derniers mois, étudié l’impact de l’informatique quantique sur le monde des paiements. L’informatique quantique offre certes des perspectives prometteuses dans de nombreux domaines (finance, logistique, météorologie, chimie…), mais elle suscite également de nouveaux défis et soulève des enjeux en matière de sécurité dans le numérique. Ainsi, le déchiffrement des communications et protocoles électroniques sécurisés selon les standards actuels, dont ceux utilisés dans les paiements, pourrait devenir une réalité à un horizon de 10 à 20 ans. Il s’agit d’une menace sérieuse vis-à-vis de la sécurité nationale, déjà prise en compte par les autorités publique – à travers notamment la Loi française de programmation militaire d’août 2023 – et dont le secteur des paiements doit se saisir, dès maintenant et à haut niveau, en raison des cycles de vie des matériels et logiciels de paiement par carte, qu’il s’agisse des puces, des TPE ou des serveurs. 
-    Cette étude sera présentée dans le rapport annuel 2023 de l’Observatoire, mais la 1ère table-ronde vous en dévoilera en avant-première les principaux enseignements. 

•    Le sujet de l’identité numérique a également pris de l’ampleur ces dernières années. Les phénomènes d’usurpation d’identité, associés parfois à des techniques de fraude documentaire, sont en effet susceptibles de mettre à mal la sécurité générale des moyens de paiement. La très forte croissance des usages numériques ne s’accompagne ainsi pas toujours d’une mise à niveau équivalente des processus d’identification et d’authentification. Les utilisateurs possèdent aujourd’hui de nombreuses identités numériques vis-à-vis d’une grande diversité d’établissements publics et privés qui multiplient le nombre d’identifiants et de mots de passe. 

-    Le rapport 2021 de l’OSMP comportait à ce titre des recommandations à destination des établissements financiers, mais aussi plus largement des acteurs de la chaine des paiements, des administrations et des consommateurs. L’environnement ayant évolué depuis cette étude, la 2ème table-ronde apportera un éclairage sur le contenu de ces recommandations et sur leur adéquation aux dernières évolutions du marché.

•    Enfin, les méthodes de scoring et l’utilisation de l’IA tendent à devenir des enjeux majeurs dans la lutte contre la fraude. Le groupe de travail « veille technologique » travaille ainsi actuellement sur l’utilisation des méthodes de scoring, qui est déjà une réalité chez nombre de prestataires de services de paiement. Ces méthodes visent à utiliser l’ensemble de l’information à disposition afin de dégager des « pattern » ou « schémas de fraudes » permettant de faire ressortir des éventuelles alertes de sécurité. Ces techniques sont essentielles dans un monde où l’instantanéité des paiements devient progressivement la norme et où les contrôles en amont des transactions doivent être efficaces. 

-    Les résultats de ces travaux de veille sur les techniques d’IA et de scoring seront présentés par l’Observatoire en 2025.

III. Le rapport annuel 2023

Pour conclure sur les travaux de l’OSMP, je vous précise que le rapport annuel 2023 sera présenté le 10 septembre prochain. 

Cette publication sera particulièrement riche. Elle présentera en effet les statistiques 2023 en matière de fraude, qui nous permettent de disposer d’une vision actualisée de l’état des menaces, mais aussi des effets des plans d’actions déployés sous l’égide de l’Observatoire. En outre, elle mettra en lumière les nouveaux plans de lutte contre la fraude, tels que les travaux réalisés avec le secteur des télécoms afin de lutter contre la fraude au faux conseiller bancaire, et ceux visant à encadrer l’utilisation des paiements à distance hors 3-D Secure (notamment les paiements MIT / MOTO). Et enfin, elle intégrera la version complète de l’étude de veille sur l’informatique quantique, qui va vous être présentée dans un instant.

Je vous donne pour cela rendez-vous en septembre, mais dans l’immédiat, je laisse la parole à nos experts réunis pour ces deux tables-rondes portant sur les travaux de veille récents de l’Observatoire. Les équipes de la Banque de France, en charge du Secrétariat du groupe de travail « Veille technologique », assureront la modération des échanges.

Je vous remercie de votre attention, et je vous souhaite une très bonne conférence.

  
¹    15 acteurs côté demande (8 de la sphère professionnelle, 7 de la sphère des particuliers),
      17 acteurs côté offre (8 PSP,7 opérateurs de paiement, 2 opérateur télécoms),
       11 autorités publiques,
       4 divers.

²    Merchant Initiated Transaction.
³    Mail Order – Telephone Order.
⁴  Notamment par la mise en application de la loi dite « Naegelen » par un mécanisme d’authentification des numéros en cours de déploiement par les opérateurs.