« SEPAmail est plus qu’un réseau d’échange interbancaire »

Avec SEPAmail, les clients des banques pourront effectuer des opérations très simplement, depuis leur PC ou leur terminal mobile. Ce système d’échange associant banques, entreprises et particuliers reste un défi en termes de sécurité. Entretien.

SEPAmail est une messagerie électronique sécurisée créée sous l’impulsion de cinq banques françaises : BNP Paribas, la BPCE, le Crédit Agricole, le Crédit Mutuel-CIC et la Société Générale.

Cet outil permettra de disposer d’un réseau d’échange entre les banques, les entreprises et les particuliers. Utilisation possible : le règlement d’une facture en un clic. Tout un programme, mais qui suppose toutefois de multiples défis sur le plan de la sécurité.

Échange avec Renaud Bidou, directeur technique de DenyAll – la société a travaillé sur le volet sécurité de SEPAmail –, à propos de cette future solution bancaire.

Silicon.fr – Où en est le projet ?

Renaud Bidou – Aujourd’hui le projet est au stade de l’expérimentation dans l’ensemble des établissements bancaires. Cela signifie, bien que le niveau d’avancement soit variable, que le projet a passé le stade de la théorie et que nous passons à la pratique.

Quels sont les enjeux en matière de sécurité ?

Les enjeux sont considérables. SEPAmail est plus qu’un réseau d’échange interbancaire, il implique l’ensemble des acteurs de l’économie : établissements financiers bien sûr, mais également entreprises et particuliers. SEPAmail établit un maillage complet et par conséquent une combinatoire très importante de couples créditeurs/débiteurs.

Du point de vue de la sécurité, le principe est toujours le même : le niveau de sécurité global est celui du maillon le plus faible. Or SEPAmail implique aussi bien des établissements bancaires que des multinationales, des PME et des particuliers. La surface d’attaque est par conséquent considérable et très hétérogène, au même titre que la nature des malversations.

Une faille pourrait être exploitée pour éviter de payer ses factures d’électricité ou de téléphone portable, une autre pour se faire effectuer des virements, une troisième pour accéder aux comptes bancaires, modifier des transactions, bloquer les règlements… Compte tenu de la couverture fonctionnelle du projet, la seule limite est celle de l’imagination de l’attaquant…

Comment y répondez-vous ?

Notre priorité est de sécuriser la base des échanges SEPAmail, c’est-à-dire le protocole de transport. En effet, il ne sert à rien de mettre en œuvre des techniques de chiffrement et de signature numérique si la couche de transport n’est pas fiable.

Ainsi nous fournissons des équipements qui garantissent que les flux transmis aux entreprises et aux établissements bancaires respectent les standards et ne contiennent pas d’attaques. Cette tâche est d’autant plus complexe que des attaques peuvent être masquées dans les différents niveaux de documents transmis (virements, factures, signatures électroniques, émetteur, destinataire, etc.).

C’est pourquoi nous avons dû effectuer des développements spécifiques visant à offrir un niveau de sécurité à la hauteur des enjeux.

Quand cette offre sortira-t-elle de sa phase d’expérimentation ?

La phase d’expérimentation dépend des acteurs. Certains sont très avancés, d’autres moins. Certains ont expérimenté l’ensemble du spectre fonctionnel, certains se sont restreints aux problématiques d’interconnexion, sans prendre encore en compte la sécurité par exemple. Certains encore attendent les premiers retours d’expérience de leurs partenaires.

Il s’agit donc de sujets stratégiques dans lesquels nous ne sommes pas impliqués. Tout ce que nous pouvons dire, c’est que nous sommes prêts !

Lire aussi : Cyberattaque Exchange : l’Europe touchée dans l’ombre des États-Unis