SEPAmail est une messagerie électronique sécurisée créée sous l’impulsion de cinq banques françaises : BNP Paribas, la BPCE, le Crédit Agricole, le Crédit Mutuel-CIC et la Société Générale.
Cet outil permettra de disposer d’un réseau d’échange entre les banques, les entreprises et les particuliers. Utilisation possible : le règlement d’une facture en un clic. Tout un programme, mais qui suppose toutefois de multiples défis sur le plan de la sécurité.
Échange avec Renaud Bidou, directeur technique de DenyAll – la société a travaillé sur le volet sécurité de SEPAmail –, à propos de cette future solution bancaire.
Renaud Bidou – Aujourd’hui le projet est au stade de l’expérimentation dans l’ensemble des établissements bancaires. Cela signifie, bien que le niveau d’avancement soit variable, que le projet a passé le stade de la théorie et que nous passons à la pratique.
Les enjeux sont considérables. SEPAmail est plus qu’un réseau d’échange interbancaire, il implique l’ensemble des acteurs de l’économie : établissements financiers bien sûr, mais également entreprises et particuliers. SEPAmail établit un maillage complet et par conséquent une combinatoire très importante de couples créditeurs/débiteurs.
Du point de vue de la sécurité, le principe est toujours le même : le niveau de sécurité global est celui du maillon le plus faible. Or SEPAmail implique aussi bien des établissements bancaires que des multinationales, des PME et des particuliers. La surface d’attaque est par conséquent considérable et très hétérogène, au même titre que la nature des malversations.
Une faille pourrait être exploitée pour éviter de payer ses factures d’électricité ou de téléphone portable, une autre pour se faire effectuer des virements, une troisième pour accéder aux comptes bancaires, modifier des transactions, bloquer les règlements… Compte tenu de la couverture fonctionnelle du projet, la seule limite est celle de l’imagination de l’attaquant…
Notre priorité est de sécuriser la base des échanges SEPAmail, c’est-à-dire le protocole de transport. En effet, il ne sert à rien de mettre en œuvre des techniques de chiffrement et de signature numérique si la couche de transport n’est pas fiable.
Ainsi nous fournissons des équipements qui garantissent que les flux transmis aux entreprises et aux établissements bancaires respectent les standards et ne contiennent pas d’attaques. Cette tâche est d’autant plus complexe que des attaques peuvent être masquées dans les différents niveaux de documents transmis (virements, factures, signatures électroniques, émetteur, destinataire, etc.).
C’est pourquoi nous avons dû effectuer des développements spécifiques visant à offrir un niveau de sécurité à la hauteur des enjeux.
La phase d’expérimentation dépend des acteurs. Certains sont très avancés, d’autres moins. Certains ont expérimenté l’ensemble du spectre fonctionnel, certains se sont restreints aux problématiques d’interconnexion, sans prendre encore en compte la sécurité par exemple. Certains encore attendent les premiers retours d’expérience de leurs partenaires.
Il s’agit donc de sujets stratégiques dans lesquels nous ne sommes pas impliqués. Tout ce que nous pouvons dire, c’est que nous sommes prêts !
Crédit photo : © DenyAll
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.