Solutions de paiement : la révolution dans la sécurité
La transformation de l’écosystème des solutions de paiement renforce encore le besoin de pouvoir détecter en temps réel l’erreur, le dysfonctionnement et la fraude. L’irréversibilité induite par le paiement instantané implique d’élever au même niveau les procédures de sécurité et les garde-fous. L’internationalisation des échanges et la diversification des acteurs ajoutent à la nécessité de repenser les règles.
Les 3 révolutions dans les solutions de paiement
Les entreprises vont bénéficier à très brève échéance d’une offre de solutions de paiement profondément renouvelée. En effet, pour développer la fluidité du marché financier européen et la compétitivité des acteurs du continent, l’Union européenne pilote deux réformes majeures qui concernent directement les solutions de paiement :
- L’instauration de l’Open Banking.
- La systématisation du paiement instantané à l’échelle de la zone SEPA.
Les établissements bancaires, les fintechs et les instances de régulation achèvent de se mettre en capacité de traduire dans la réalité de leur fonctionnement ces deux orientations. Et dans quelques mois, les deux projets entreront en application.
Le passage à un écosystème ouvert et instantané induit trois révolutions dans les solutions de paiement. Ce sont les trois chantiers du trésorier d’entreprise pour les mois qui viennent :
Trois défis sont posés à l’écosystème des solutions de paiement :
- L’authentification certaine des émetteurs et des destinataires.
- La traçabilité des flux tout au long de la chaîne de paiement.
- La lutte contre la fraude et le blanchiment d’argent.
Il appartient aux trésoriers d’entreprise, à travers le choix de leur solution de gestion de trésorerie et de la mise en place de procédures adaptées, de les connaître et de les mettre en œuvre à leur niveau.
Sécurité des paiements : l’authentification certaine
L’authentification certaine des protagonistes impliqués dans l’échange de valeurs est la première couche de sécurité.
- Le destinataire, de manière à disposer des moyens de s’assurer que le règlement est transmis à la bonne personne et que cette personne est autorisée à le recevoir.
- Le commanditaire de l’opération, de manière à pouvoir vérifier qu’il dispose du niveau de délégation requis et qu’il est bien celui qu’il prétend être.
En dehors des procédures propres aux organisations et aux technologies, deux dispositifs sont à la disposition de l’écosystème pour sécuriser les deux extrémités de la chaîne de paiement :
- Know Your Customer pour mieux sécuriser l’authentification du destinataire.
KYC désigne l’obligation faite aux établissements financiers de s’assurer des coordonnées des acteurs impliqués dans les transactions. Le principe est de mutualiser entre tous les acteurs des listes négatives (personnes politiquement exposées, listes noires de personnes interdites…) et des bases de données sécurisées pour stocker et actualiser en un point unique les éléments d’identité des personnes. - La signature Cloud pour mieux sécuriser l’authentification du donneur d’ordre.
La signature Cloud, ou signature numérique, s’appuie sur un identifiant numérique délivré sous le contrôle d’une autorité de certification. Lorsqu’une personne signe numériquement un document, son identité est associée de manière exclusive et sécurisée au document par cryptage.
L’obligation d’authentification forte, inclue dans la DSP2¹, viendra encore renforcer un environnement réglementaire d’ores et déjà précis et contraignant.
Sécurité des paiements : la traçabilité des flux
Aussi important que l’identification des protagonistes, la traçabilité est le deuxième pilier de la sécurité des échanges de fonds. Le principe est de pouvoir suivre de manière certaine le parcours des fonds, d’établissement à établissement, et de frontière à frontière pour les échanges internationaux.
Pour renforcer la visibilité sur chacune des étapes, d’autant plus nécessaire que les envois sont irréversibles, les acteurs bancaires sont impliqués chacun dans la réévaluation de leur vigilance à l’entrée et à la sortie. Les autorités de sûreté, nationales et européennes, encadrent précisément leur engagement et valident leurs procédures.
A côté des procédures de vigilance propres à chacun des établissements bancaires, deux projets s’appliquent à la chaîne de transmission dans son intégralité :
- Pour la traçabilité de l’ensemble des échanges de valeur, en particulier donc pour les échanges d’argent, les applications de la blockchain en tant que registre (tiers de confiance) représentent une solution sur laquelle travaillent de multiples acteurs.
- Pour la traçabilité des paiements transfrontaliers, le consortium SWIFT² construit un système de fichier de stockage du nom et de l’emplacement des points de navigation définis par l’utilisateur. Une référence unique générée au début du paiement donne la possibilité de tracer le flux dans chacune des banques intermédiaires.
Sécurité des paiements : la lutte contre la fraude et le blanchiment
Pour lutter contre la fraude et le blanchiment d’argent, les données existent mais sont souvent dispersées et insuffisantes considérées isolément. L’enjeu est de les collecter, de les rassembler et de les analyser en temps réel et selon des protocoles définis collectivement. L’ingéniosité des fraudeurs et l’accélération des transactions imposent aux acteurs de savoir passer d’une « détection réactive de fraudes connues à une détection proactive de fraudes inconnues³ ».
Trois chantiers sont ouverts dans le domaine de la lutte contre la fraude et le blanchiment :
1. La protection des parcours clients, afin de sécuriser la réalisation des opérations sensibles.
2. La détection de la fraude éventuelle : réalisée ou idéalement en cours de réalisation
3. L’accélération de la réaction pour contrecarrer une fraude détectée : alerter, investiguer et réagir rapidement (bloquer la transaction frauduleuse)
Les ressources du big data et de l’intelligence artificielle donnent des clés supplémentaires pour lutter efficacement contre la fraude et le blanchiment :
- Créer des profils clients sur la base d’historiques : terminaux utilisés, heures et lieux de connexions habituels, parcours de connexion et de réalisation des opérations.
- Se donner les moyens de détecter instantanément des variations par rapport à ces profils types dans le contexte d’une opération donnée.
- En déduire le caractère frauduleux en fonction de l’étendue de la variation.
L’enjeu est de pouvoir bloquer les opérations douteuses :
- En conservant une capacité de discernement suffisante pour tolérer des variations minimes.
- Sans contraindre les acteurs à systématiser leur comportement de manière trop rigide.
En conclusion, la gestion de trésorerie doit se transformer pour intégrer véritablement toutes les conséquences du temps réel et de l’ouverture de l’écosystème.
En effet, la rapidité et l’internationalisation des échanges doivent être accompagnés de pratiques de vigilance et de sécurité renforcées pour garantir que les ressources soient bien mobilisées dans l’intérêt de l’entreprise.
Pour aller plus loin dans la compréhension de la situation nouvelle qui s’offre aux les trésoriers d’entreprise :
Open Banking : quelles opportunités pour les trésoriers d’entreprise ?
¹DSP2 : Directive européenne révisée sur les services de paiement
²SWIFT : Society for Worldwide Interbank Financial Telecommunication : détenue par l’ensemble des banques mondiales, SWIFT est l’organisme qui gère les IBAN
³Frédéric Germain – Directeur de la Protection des Données à la Société Générale