Les chèques papier, les virements électroniques et les processus de paiement des chambres de compensation automatisées continuent de disparaître au profit de l’expansion mondiale et de l’accessibilité des cryptomonnaies adossées à des architectures de grand livre des technologies financières.
La nécessité d’une stratégie mondiale de transformation numérique a entraîné le remplacement de l’idée de services bancaires, de paiement et de traitement physiques en amont et en aval par la nécessité d’un accès égal au crédit, à des fonds et à des services de paiement numérique pour tous les citoyens et par-delà les frontières.
Les paiements pair-à-pair continuent de gagner du terrain dans plusieurs pays. En Chine, 50 % des transactions dans les points de vente sont effectuées à l’aide d’applications mobiles, notamment WeChat et UnionPay. L’utilisation de l’argent liquide a reculé de 40 % aux États-Unis et de 23 % en Suède.
La pandémie de COVID-19 a contribué à la croissance des devises numériques, des paiements pair-à-pair et du secteur bancaire mobile. Du jour au lendemain, alors que, partout dans le monde, les gens s’isolaient, travaillaient à domicile ou se déplaçaient vers des zones moins peuplées, la nécessité de continuer à faire des affaires a conduit à la popularisation des solutions de paiement en ligne. Avec le recours grandissant au commerce électronique pour l’achat de fournitures médicales, la livraison de nourriture à domicile et l’accès aux services financiers, de plus en plus de gens en sont venus à compter sur la disponibilité, l’accessibilité et la résilience des systèmes de transaction en ligne. Les services de paiement électronique sont devenus encore plus indispensables pour recevoir et envoyer des paiements mobiles aux clients et partenaires. La banque en ligne a rapidement remplacé les déplacements en succursale. La transition a été soudaine et généralisée; nombreuses sont les entreprises qui n’avaient pas mis en place de protocoles de cybersécurité requis pour protéger la multitude de données des consommateurs désormais échangées en ligne.
En fait, selon le Cyber Readiness Institute, à peine 40 % des petites entreprises disposaient d’une politique de cybersécurité adéquate après le début de la crise sanitaire. De nombreux acteurs malveillants ont vu dans cette tendance une occasion opportune pour exploiter les failles des entreprises en ligne non préparées et exfiltrer les données des consommateurs à des fins lucratives, entraînant ainsi une hausse du nombre d’attaques ces dernières années. Une recherche d’Accenture a révélé que les cyberattaques avaient augmenté de 31 % entre 2020 et 2021.
L’expansion rapide des systèmes financiers, d’achat et de réunion en ligne a multiplié les vecteurs de cyberattaques contre ces nouvelles surfaces d’attaque, avec des répercussions sur les entreprises, les gouvernements et les individus.
Les brèches de cybersécurité ont augmenté entre 2019 et 2022 dans ces domaines :
L’hameçonnage est une bonne vieille méthode de vol de données qui a fait ses preuves maintes et maintes fois. Mais malgré sa notoriété, il reste toujours une forme efficace de piratage dans l’économie numérique. Selon une étude de Proofpoint, 83 % des entreprises ont subi une attaque d’hameçonnage en 2021, soit une augmentation de 26 % par rapport à l’année précédente.
Plusieurs de ces vecteurs d’attaque existaient déjà avant la COVID-19, mais de nombreuses techniques de piratage ont été élaborées depuis pour s’attaquer aux nouveaux actifs et plateformes numériques. Les fournisseurs de services de paiement, y compris Vimeo, Zelle, PayPal, WeChat, UnionPay, LINE et d’autres, ont commencé à mettre en place des mesures d’authentification renforcées pour leur clientèle afin de répondre aux exigences en matière de réglementation et de protection de la vie privée, et d’aider ainsi à réduire les risques pour leurs clients.
Pour rendre possible l’offre de technologie financière (fintech en anglais) que sont les cryptomonnaies, il nécessite diverses capacités technologiques actuelles et de nouvelle génération : informatique en nuage, chaîne de blocs, authentification multifacteur, protection antihameçonnage, protection contre les logiciels malveillants et biométrie sécurisée, toutes associées aux plateformes de technologie financière pour le bitcoin, les cryptomonnaies stables, la protection des dossiers médicaux et les transactions financières.
L’architecture de la chaîne de blocs repose uniquement sur un système de grand livre décentralisé et distribué pour garantir une sécurité, une confidentialité et une fiabilité optimales des données. De nombreuses entreprises considèrent encore la chaîne de blocs comme une transformation numérique. Or, cette plateforme de nouvelle génération constitue l’épine dorsale du Web 3.0, y compris l’intelligence artificielle, la sécurité de pointe et les fonctionnalités autonomes de machine à machine. Considérés comme essentiellement sécurisés, les systèmes de chaîne de blocs et de technologie financière demeurent cependant vulnérables aux cyberattaques.
Les portefeuilles de cryptomonnaies, les applications pair-à-pair et les systèmes de transaction en ligne sont tous vulnérables à plusieurs vecteurs d’attaque, notamment :
Conséquences des failles de cybersécurité sur les paiements numériques
Vu le nombre croissant d’entreprises de technologie financière qui déploient leurs fonctionnalités de paiement à l’échelle mondiale (notamment de nouvelles offres de services, des paiements transfrontaliers et des systèmes de paiement des salaires faciles à utiliser pour les employeurs), les exigences de sécurité, le respect des réglementations en matière de sécurité et la protection de la vie privée sont au cœur des préoccupations.
Pour de nombreux pays qui envisagent d’utiliser les paiements et les monnaies numériques permis par les technologies financières, soutenir ces offres présente son lot de défis. Les technologies financières dépendent d’un service et d’une infrastructure Internet mobile stables pour assurer des connexions fiables entre bénéficiaires et payeurs. Cette dépendance à l’égard de l’Internet dans de nombreux pays en développement est un sujet de préoccupation pour beaucoup, notamment en ce qui concerne la capacité de protéger les plateformes de technologie financière et les utilisateurs contre les failles de cybersécurité.
Les pirates informatiques, en exploitant une plateforme de technologie financière vulnérable sur le plan de la sécurité et hébergée dans un pays en développement, pourraient s’en servir pour lancer des attaques dans d’autres pays grâce aux diverses connexions d’intégration, aux interfaces API, ainsi qu’à l’accès mutuel aux monnaies numériques des banques centrales (systèmes CBDC).
Usurpation d’identité et fraude dans le domaine des devises et des paiements numériques
De la même manière qu’ils faisaient pour s’en prendre aux anciens systèmes de paiement bancaire et systèmes financiers, les pirates utilisent aujourd’hui des méthodes diverses pour accéder aux comptes bancaires, aux dossiers médicaux et aux courriels personnels.
Une enquête mondiale menée en 2021 sur les institutions financières a révélé que les prises de contrôle de comptes étaient devenues une forme d’attaque privilégiée par les cybercriminels. Les tentatives de prise de contrôle ont en effet connu une hausse de 282 % entre 2019 et 2020.
Quelques méthodes utilisées par les cybercriminels :
Les entreprises disposant d’une équipe, d’un processus et d’une capacité de réponse immatures en matière d’opérations de sécurité continuent de subir des violations de la sécurité des données, des vols d’identité et des pertes de cryptomonnaies.
La cybersécurité est au cœur des déploiements de chaîne de blocs, mais les entreprises devraient tout de même envisager les stratégies de protection et de prévention suivantes :
Les plateformes de technologie financière sont tenues de se conformer à plusieurs réglementations nationales et mondiales en matière de conformité et de confidentialité, notamment le RGPD, le PCI-DSS et la DSP2. Les mandats de conformité exigent plusieurs systèmes de contrôle des paiements, comme :
Conformité aux normes DSP2
La 2e directive sur les services de paiement (DSP2) était une initiative de la Commission européenne conçue dans le but d’améliorer le fonctionnement du marché unique des paiements au sein de l’Union européenne. Elle visait à assurer une plus grande interopérabilité entre les méthodes et les services des réseaux de paiement électronique et à mieux protéger les consommateurs contre la fraude et les abus.
Incorporée dans les plateformes de technologies financières, l’architecture de la chaîne de blocs en est l’épine dorsale. Elle offre une bonne base de sécurité aux technologies financières afin d’aider à réduire le risque lié à la cybersécurité. Toutefois, les technologies financières sont également assujetties à plusieurs autres lois et mandats, notamment :
Les entreprises qui développent des solutions de chaîne de blocs pour les technologies financières et d’autres marchés verticaux peinent à recruter des talents combinant l’expertise et l’expérience. La chaîne de blocs étant encore une technologie relativement nouvelle, le bassin de candidats possédant une expérience professionnelle est limité.
De nombreuses entreprises font appel à des fournisseurs de services de sécurité gérés pour les aider à assurer la surveillance, la réponse aux incidents et la conformité à la législation, laquelle impose de surveiller les journaux et de produire des rapports pour répondre aux diverses exigences en matière de confidentialité. Les MSSP ont un rôle essentiel à jouer pour garantir le déploiement correct des chaînes de blocs utilisées par les technologies financières et assurer le maintien des opérations de sécurité, l’application des correctifs et la remédiation des systèmes.
Les MSSP peuvent également fournir aux entreprises des conseils sur les mandats de conformité tels que la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). La norme PCI DSS fournit aux entreprises un ensemble détaillé de directives qu’elles peuvent utiliser pour améliorer la protection des données des cartes de crédit des consommateurs. Douze éléments sont nécessaires pour être conforme à la norme PCI DSS : parmi ceux-ci, l’utilisation de pare-feu sécurisés, le chiffrement des données des titulaires de cartes, la mise à jour régulière des logiciels et la restriction de l’accès aux systèmes et aux appareils.
Si la conformité à la norme PCI DSS peut ajouter une couche de sécurité aux systèmes de paiement numériques, elle indique par ailleurs aux consommateurs que les entreprises prennent au sérieux la confidentialité et la sécurité de leurs données, ce qui peut contribuer à consolider les relations avec la clientèle.
Peut-être qu’il faudra attendre encore des années avant que soit élaborée une norme en matière de paiement numérique, de monnaie et de cybersécurité universellement acceptée. De nombreux pays en développement qui se remettent de la crise de la COVID-19 sont confrontés au coût élevé et à un manque de l’expertise nécessaire pour développer et offrir des services de technologie financière numérique aux consommateurs. Cela dit, de nombreuses entreprises continuent d’élargir l’acceptation des devises numériques, y compris les cryptomonnaies stables et les bitcoins. Les systèmes bancaires des gouvernements centraux, notamment celui des États-Unis, préparent également leurs systèmes de paiement en vue de les aligner sur les cryptomonnaies des banques centrales. En 2023, les États-Unis lanceront le service FedNOW pour accélérer l’accès aux fonds et le traitement des paiements pour tous les citoyens. L’objectif de FedNOW est d’aider les gens à avoir accès à leurs fonds disponibles en dehors des heures d’ouverture normales des banques, 24 heures sur 24.
La cybersécurité joue un rôle essentiel dans l’avenir des paiements et des devises numériques. La mise en œuvre des chaînes de blocs aidera à faire face aux problèmes de cybercriminalité. Cependant, il convient d’aborder la complexité et les risques de la technologie financière en suivant les pratiques exemplaires en matière de cybersécurité et les stratégies de résilience dont il a été question dans cet article, et qui devraient être adoptées au sein d’autres industries.