Embed Size (px)
DESCRIPTION
Présentation de N’DRI KONAN YVONNE, DSI /BFA, à l'Atelier de sensibilisation et de formation sur les droits et obligations des usagers des services, les 29 et 30 avril 2014, à l'Espace CRRAE UMOA.
Citation preview
SÉCURISATION DES DONNÉES BANCAIRES : QUELLES GARANTIES POUR LES CLIENTS ?
DU 28 AU 30 AVRIL 2014 ABIDJAN CRAE-UEMOA
Présenté par : N’DRI KONAN YVONNE
DSI /BFA
SOMMAIRE
INTRODUCTION I- LA CIP-UEMOA ET LA SÉCURITE BANCAIRE II-DISPOSITIONS SÉCURITAIRES EXISTANTES À LA BFA III -COMMENT PROTÉGER VOS DONNÉES PERSONNELLES CONCLUSION
2
INTRODUCTION • La sécurisation des données bancaires s’inscrit dans
un thème général, celui de la sécurité bancaire, un sujet fondamental, important, pour les établissements bancaires qui se doivent de lutter contre toutes formes de fraudes dans le but de protéger, en quelque sorte, les capitaux, l'argent confier par les clients.
• Avant de vous donner un aperçu sommaire des garanties que la BFA, de manière particulière, offre à ses clients, il serait bon de rappeler les efforts fournis par les grandes structures dont dépendent, dans leur majorité, les banques africaines.
3
I - LA CIP-UEMOA et LA SÉCURITE BANCAIRE Le 27 juillet 2010 la BCEAO a effectué le lancement officiel de la CIP (la Centrale des Incidents et
Paiements). L'objectif principal de la CIP-UEMOA est de contribuer à l'amélioration des affaires dans
l'espace UEMOA.
1. QU’EST-CE QUE LA CIP?
La CIP est une base de données régionale dont le but est de
centraliser et de diffuser les informations sur les incidents qui surviennent
durant des paiements par chèques, cartes bancaires etc... dans les États
membre de l'UEMOA.
Tous les établissements bancaires teneurs de compte et le Parquet (la
justice) communiquent à la CIP tous les incidents rencontrés au cours des
différentes transactions financières ainsi que les données des personnes
physiques frappées de l'interdiction d'émettre des chèques bancaires et
d'utiliser des cartes de paiements bancaires.
4
2-LES RAISONS DE LA CRÉATION DE LA CIP
Les banques avaient en effet constaté une augmentation des incidents de paiements
de chèques et d'effets de commerce. Il fallait donc qu'elles se dotent d'un
instrument pour restaurer la confiance du public vis-à-vis des instruments de
paiement, des intermédiaire financiers. Une loi uniforme régit désormais les instruments de paiement. La CIP est une sorte de police
des banques qui identifient les différents types de fraudes et les fraudeurs
Il existe également des arrêtés ministériels
La BCEAO est le support pratique de cette loi uniforme qui institue des sanctions à l'égard
des mauvais utilisateurs des instruments de paiement précités. Elle renforce la protection
des bénéficiaires de ces moyens de paiement.
5
3. LE FONCTIONNEMENT DE LA LOI UNIFORME DE PAIEMENT
• Les établissements teneurs de comptes (les banques, les Centres de Chèques Postaux, le Trésor Public) déclarent à la Banque Centrale (à la BCEAO) les incidents rencontrés – le Parquet communique, quant à lui, à la BCEAO les décisions
d'interdiction judiciaire prises – La Banque Centrale est responsable de la centralisation et de
la diffusion de toutes les informations reçues aux différents établissements financiers.
• La CIP-UEMOA est donc un dispositif qui permet aux
populations d'utiliser en toute sécurité les instruments de paiement, parce qu‘avec sa création les clients bénéficient d'une protection légale qui garantit les transactions financières.
6
Nous avons tenu, de prime abord, à vous parler de la CIP-UEMOA pour souligner que la sécurisation des données est déjà prise en compte par la Banque Centrale dont dépendent toutes les banques ivoiriennes. Il existe des dispositions techniques et légales pour vous défendre contre les mauvais payeurs et vous protéger de la fraude. La CIP est un instrument de répression consultable par serveur vocal, internet et sms. Elle donne pouvoir aux banques de faire leur propre police en matière de chèques sans provision.
7
II - Dispositions sécuritaires existantes à la BFA
Les mesures globales en cours sur le parc informatique de la BFA pour parer à tous les problèmes de sécurité sont les suivantes: a) Nous sommes dotés d'ANTIVIRUS qui nous protègent contre les virus et malwares. Toutes les banques sont exposées à une concurrence déloyale ou à des personnes de mauvaises foi qui cherchent à paralyser le fonctionnement de leurs services. Tous ceux qui possèdent un ordinateur savent qu’ils se doivent naturellement d’installer un antivirus sur leur appareil, puisqu’ils courent à un niveau moindre le même risque que nous. Si votre appareil n'est pas doté d'un Antivirus vous pouvez le perdre. Si le système informatique d’une banque est infecté par un virus, les conséquences sont incalculables. Les clients seront incapables de faire des retraits, de faire face à leurs dépenses quotidiennes?
8
b) Notre système informatique est doté de pare-feu ou «firewall». Le firewall permet de protéger l’ordinateur lors des connections à Internet. Le pare-feu concède aux différents sites l’autorisation d’établir une connexion avec notre banque. Il permet, en fait, à la banque de se protéger des intrusions externes. Il s'agit de ces fameux pirates de l'informatique appelés Hackers capables de s'introduire dans les systèmes d’informations de n'importe quelle entreprise pour y dérober des données confidentielles, ou y détourner de fortes sommes d'argent.
9
c) Active Directory est un annuaire au sens informatique et technique, chargé de répertorier tout ce qui touche au réseau entre autres les utilisateurs, les imprimantes, les serveurs, les dossiers partagés. Tout utilisateur désirant se connecter sur le réseau de la BFA doit nécessairement s’authentifier au niveau d’Active Directory. d) Nous avons une passerelle quant à la sécurisation et au chiffrement des mails entrants et sortants
10
e) Nous disposons de Contrôleur d’accès (badges). Les fraudes adviennent en général au sein des banques par l'entremise des agents, qui y travaillent ou par des personnes capables de s'y introduire, en utilisant des badges falsifiés.
11
A ces mesures techniques particulières sont associées des dispositifs administratifs, légaux qui nous permettent de protéger les données et les transactions financières des clients. Pour retirer une certaine somme d’argent il est par exemple requis la signature d'un nombre précis de responsables, ce qui permet d'éviter qu’un seul individu s’accorde la liberté de faire décaisser de fortes sommes importantes.
12
Pour éviter cependant que les mesures administratives ou légales ne reposent que sur la confiance investie en ces responsables qui pourraient, bien sûr, se mettre d'accord pour signer des documents et détourner des fonds, nous disposons d'instruments techniques capables de suivre le tracé de toutes les opérations bancaires. Bien que responsable de la Direction du Service Informatique, je n'ai pas la possibilité de contourner ce dispositif introduit de manière automatique dans notre système de sécurité bancaire. Comme vous pouvez le constater, la sécurisation des données bancaires, est bel et bien assurée au sein de notre banque. Il est pratiquement impossible d'avoir accès aux données bancaires des clients, aux informations confidentielles de la banque. La sécurisation des données des clients dépend surtout de la bonne disposition de ces derniers à collaborer avec la banque, à suivre attentivement les conseils qui leur sont prodigués par les agents.
13
EXEMPLES DE FRAUDES BANCAIRES
Le « pharming» : contraction des mots anglais « farming » (« culture fermière » qui consiste pour les jeux en ligne à récolter de l’argent) et « phone phreaking » (piratage de lignes téléphoniques). Vous êtes redirigés automatiquement, durant votre entretien téléphonique, vers un site pirate ressemblant au vrai site. Les pirates peuvent alors récupérer toutes vos informations. Le « phishing »: contraction des mots anglais « fishing », (pêche) et « phreaking » (piratage de lignes téléphoniques). Un courrier électronique vous invite, souvent pour des raisons de sécurité, à vous connecter à un site de banque, un compte de paiement en ligne ou encore un site commercial. Le lien conduit en fait vers un site pirate. Le gros des malversations se produit aux distributeurs automatiques. De vrais DAB où les malfrats posent sur la fente du guichet un matériel appelé "skimmer" : un lecteur de bande magnétique copie les données de la piste, tandis qu'une caméra miniaturisée filme la saisie du code.
Réseau ivoirien • La capture de données bancaires utilisées pour effectuer des achats en ligne prend
en effet une ampleur inquiétante. Et son essor est directement lié à l'explosion de l'e-commerce. On entre ici dans une véritable jungle où se côtoient des génies de l'informatique et des escrocs.
• Les faux chèques de banques
14
III- Comment protéger vos données personnelles.
• Le paiement par carte Ne perdez jamais votre carte de vue lors d’un paiement chez un commerçant. Si l’appareil à carte est sur un comptoir ou en arrière-boutique, suivez le commerçant et gardez votre carte à la main. • Les retraits au distributeur Soyez vigilants lorsque vous tapez votre code et assurez-vous que personne ne puisse mémoriser les chiffres que vous composez. Mettez au-dessus de votre main au moment où vous entrez votre code un objet afin qu’une éventuelle caméra ne puisse enregistrer votre code. Si vous remarquez un objet suspect sur un distributeur, notamment sur la partie où l’on introduit la carte et/ou sur le clavier de saisie du code, indiquez-le à la banque et n’utilisez pas cet appareil. • La consultation sur Internet Si vous consultez vos comptes en ligne, dans un cyber café ou tout autre endroit public : Assurez-vous que personne ne vous observe lorsque vous saisissez votre code et changez-le si vous croyez que quelqu’un a pu le noter. Ne mémorisez pas ces codes d’accès dans l’ordinateur même s’il vous le propose, utilisez le bouton de déconnexion du site de la banque dès que vous avez terminé, effacez l’historique après chaque connexion
15
LA PERTE OU LE VOL D’UN CHÈQUE SIGNÉ Le bénéficiaire d’un de vos chèques ne l’a jamais reçu ? Si le chèque a été encaissé, la banque: •Peut vous confirmer l’opération, mais •Elle ne peut pas vous indiquer les coordonnées de la personne qui l’a encaissé (cette indication au verso est couverte par le secret bancaire. Seule la police, sur réquisition judiciaire, pourra l’obtenir). Si le chèque n’a pas été encaissé : •faites immédiatement opposition en appelant le numéro fourni par votre banque. Confirmez-le au plus vite par écrit à votre banque •Procédez à un nouveau paiement pour régler votre dette et demandez au bénéficiaire de vous donner une lettre de désistement (renonçant ainsi à présenter le chèque s’il était retrouvé). LA PERTE OU LE VOL D’UN CHÉQUIER En cas de perte ou de vol d’un chéquier, la procédure d’opposition est la même que pour un chèque signé. Le risque est cependant aggravé par le fait que le chéquier comprend des chèques vierges pour lesquels ni la date ni le montant ne sont connus. Tant que les chèques n’ont pas été encaissés, faites opposition.
16
LA PERTE, LE VOL OU LA FRAUDE A réception de votre carte, apprenez par cœur le code confidentiel et détruisez le courrier qui le mentionnait. Notez le numéro de votre carte et sa date d’expiration en cas de mise en opposition et conservez ces informations et votre carte en lieu sûr, après chaque utilisation. Ne communiquez votre code confidentiel à personne (même pas à votre famille) : personne n’en a besoin (ni la banque, ni la police, etc.) Votre carte est strictement personnelle, ne la confiez à personne, Ne la perdez jamais de vue lors d’un paiement chez un commerçant, elle contient des informations qui pourraient être copiées et réutilisées à votre insu, tapez votre code à l’abri des regards, chez un commerçant, au distributeur de billets ou sur tout automate de paiement, en cachant le clavier avec votre autre main,
17
CONCERNANT PARTICULIÈREMENT VOTRE MOT DE PASSE • Changez de mot de passe dès réception et modifiez-le
régulièrement,
• évitez les mots de passe trop faciles à trouver (date de naissance, prénom de vos enfants…) et déjà utilisés (accès téléphone, alarme,…),
• réservez un mot de passe à la seule banque à distance, ne l’utilisez pas pour d’autres applications ou sites internet(messagerie, identification sur des sites internet non bancaires…)
• choisissez, si possible, un mot de passe alphanumérique (lettres et chiffres).
18
LE PAIEMENT SUR INTERNET OU PAR TÉLÉPHONE • Avant de saisir les informations de votre carte, vérifiez que le site internet est sécurisé (https devant l’adresse du site, ou cadenas fermé, ou icône d’une clé dans le navigateur), • N’enregistrez jamais les informations de votre carte en tant qu’identifiant commercial
sur un site marchand. On ne peut vous les demander que dans des cas précis : pour réaliser une transaction, réserver un bien ou service, créer un compte client sur le site du commerçant pour faciliter vos achats ultérieurs… ,
• Passez par un commerçant connu et réputé; n’hésitez pas à vérifier ses coordonnées (nom, adresse, téléphone, service clients), ne donnez les informations et données de votre carte qu’à un commerçant dont vous êtes sûr • Evitez de donner les informations de votre carte par courrier électronique ou papier
ou par sms ou téléphone si vous pouvez faire autrement (paiement par internet…), • Ne donnez jamais votre code confidentiel, • Notez le montant exact et la date de l’opération qui passera sur votre compte, vérifiez
le montant qui vous sera débité pour réagir immédiatement auprès de votre banque en cas d’anomalie.
19
20
CONCLUSION
• les faiblesses de la sécurité d'un système d'information proviennent essentiellement de l'être
humain. Si une faille de sécurité peut être comblée par la mise en œuvre d'un équipement ou d'un logiciel, ce sera fait (firewall, antivirus, vpn, chiffrement des données, sauvegardes sur bandes et\ou réplication de données...). A l'inverse certaines failles (ou failles potentielles) ne trouvent pas de réponse dans un logiciel ou un matériel.
• La BFA garantit la sécurité de vos données bancaires même s’il survenait une calamité naturelle! En effet les NTICS (les Nouvelles Technologies d’Information et de la Communication) nous permettent de nous doter d’outils informatiques extraordinaires de reprise après sinistre.
• Il appartient également aux clients de participer activement à la sécurisation de leurs propres données en suivant attentivement, scrupuleusement, les conseils qui leurs sont prodigués.
21
MERCI DE VOTRE ATTENTION
