oscpmenuLe 9 juillet dernier, M. Christian Noyer, gouverneur de la Banque de France et président en exercice de l'observatoire de sécurité des cartes de paiement (OSCP), présentait le rapport 2008 publié par cet organisme.

Conclusions du rapport 2008

Le rapport rendu public le 9 juillet dernier reprend la structure classique de ces documents, dont le premier a été publié en 2004 :

  • le chapitre 1 qui s'attarde sur le sujet des cartes émises immédiatement en magasin ou en agence ;
  • le chapitre 2 portant sur les statistiques de fraude ;
  • le chapitre 3 portant sur la veille technologique ;
  • le chapitre 4, enfin, qui revient sur les évolutions en matière de certification de la sécurité des cartes et des terminaux de paiement.

Le point saillant cette année est très certainement une reprise légère de la hausse des taux de fraude sur les paiements par carte bancaire, avec un accent tout particulier sur la fraude réalisée sur Internet, concomitante à une forte augmentation de ce secteur d'affaires.

C'est justement sur le secteur de la vente à distance que s'est penché le groupe de travail chargé de la veille technologique. On y constate qu'outre la nécessité d'augmenter les moyens de sécurisation de ces paiements il faut être attentif à leur acceptabilité par l'usager, au risque de voir ceux-ci se détourner vers des sites moins sécurisés, mais plus faciles d'accès. Un certain nombre d'internautes se diraient en effet rebutés par le dispositif "3DSecure". C'est bien là le défi qui est posé : inventer des solutions de sécurisation des paiement plus faciles d'usage.

On retrouve dans le même troisième chapitre une étude sur l'impact du co-marquage en matière de sécurité des paiements, ainsi que des travaux sur la sécurité des réseaux d'automates de paiement.

L'observatoire de la sécurité des cartes de paiement

L'OSCP a été créé par la loi n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (article 39), modifiant l'article L.141-4 du code monétaire et financier. Les missions de l'observatoire sont:
  • le suivi de la mise en œuvre des mesures adoptées par les émetteurs et les commerçants pour renforcer la sécurité des cartes de paiement ;
  • l'établissement de statistiques en matière de fraude ;
  • d'assurer une veille technologique.
La liste des membres de l'observatoire à ce jour est consultable sur le même site.
Ses membres se réunissent trois fois par an pour établir le programme de travail et discuter du rapport de l'année à venir. Ce sont ensuite différents groupes de travail qui sont constitués pour couvrir les différents aspects et en particulier un groupe de travail sur les statistiques (piloté actuellement par Christian Aghroum, chef de l'OCLCTIC) et un groupe de travail chargé de la veille technologique (piloté par Mireille Campana).
La Banque de France assure le secrétariat de l'observatoire.

logo_anssiComme je vous l'annonçais voici quelques mois, l'agence nationale de la sécurité des systèmes d'information a été portée sur le fonds baptismaux ce matin par la publication du décret n°2009-834 du 7 juillet 2009 au journal officiel. Cette création fait suite aux propositions du livre blanc sur la défense et la sécurité nationale du 17 juin 2008 (voir les pages 53 et 182 notamment).

Cette nouvelle agence succède à la DCSSI, direction centrale de la sécurité des systèmes d'information, et reste placée sous l'autorité du secrétaire général pour la défense nationale. Toutefois, la création de cette agence présente très clairement la volonté d'en augmenter la portée et les missions, qui sont beaucoup plus détaillées que dans le décret qui créait précédemment la DCSSI. Ainsi, dans les mois qui viennent, on peut compter sur une augmentation sensible et nécessaire de ses effectifs.

Ses missions redéfinies sont:

  • d'assister le SGDN dans ses attributions dans le domaine de la SSI ;
  • d'être l'autorité nationale en matière de SSI (moyens sécurisés de communication pour la Présidence de la République et le gouvernement, inspection des systèmes de l'État, délivrance d'agréments, formation, etc.) ;
  • de se prononcer sur la sécurité de certains produits et services (signature électronique, agrément des centres d'évaluation, délivrance des autorisations en matière de cryptologie, instruction des demandes d'autorisation présentées en application de l'article 226-3 du code pénal) ;
  • d'apporter son concours aux services de l'État en matière de SSI ;
  • de soutenir et orienter la recherche et l'innovation dans ces domaines.

Un comité stratégique de la sécurité des systèmes d'information est créé pour proposer les orientations stratégiques de l'État en matière de SSI.

Le site web de l'ANSSI est accessible ici : http://www.anssi.gouv.fr/