Pierre-Emmanuel Leriche et Hitiura Taeatua, la responsable de la sécurité des systèmes d'information chez OSB, ont animé cette conférence
PAPEETE, le 10 juin 2015 - L'association Clusir Tahiti et l'OSB organisaient ce mardi une conférence sur la sécurité des moyens de paiement, animée par un expert venu de métropole et une responsable de l'OSB. Les banquiers, gros commerçants et même les forces de l'ordre étaient présents pour découvrir quelles sont les nouvelles menaces et l'état de l'art pour s'en protéger.
Près de deux heures de conférence, et malgré tout, la cinquantaine de cadres supérieurs des banques locales, entreprises informatiques, distributeurs et même de la gendarmerie avaient encore de nombreuses questions à poser à Pierre-Emmanuel Leriche. Sur la sécurisation des paiements sans contact (NFC), sur les méthodes pour retrouver l'origine d'une série de vols de numéros de cartes de crédit, sur les bonnes pratiques à mettre en place dans les PME…
Pierre-Emmanuel Leriche est responsable de l’activité audit PCI France chez Verizon. Cet expert en sécurisation des moyens de paiement, du côté des entreprises, était en Polynésie pour deux semaines pour une mission de certification auprès de l'OSB, mais c'est à l'invitation du Clusir (Club de la Sécurité de l'Information Région Tahiti) qu'il a accepté de donner cette conférence gratuite. Et si certaines entreprises sont effectivement à la pointe dans le domaine, la technologie et les menaces associées évoluent tellement vite qu'elles ne peuvent pas relâcher leur vigilance.
Que pensez-vous de la sécurité des cartes de paiement en Polynésie ?
"Je pense que c'est en bonne voie, mais il y a encore du travail. Les menaces ici sont un peu différentes par rapport à la métropole ou d'autres endroits dans le monde. Pour tout ce qui est fraudes, skimmers (des appareils à installer sur un distributeur de billet afin de cloner une carte de crédit)… il n'y a pas ce genre de cas en Polynésie. Ici la vraie menace c'est la connexion internet.
Pour un porteur de cartes, le danger est de se faire voler son numéro de carte en achetant un produit sur un site non sécurisé, ou un site de phishing. Ou faire son shopping dans un pays où les paiements ne sont pas sécurisés, comme les États-Unis. Mais pour les entreprises, c'est surtout leurs réseaux qui peuvent être compromis. Par exemple ça peut être des sites de e-commerce locaux, mais aussi une entreprise qui est reliée à Internet pour surfer, et si la sécurité n'est pas correctement configurée, les numéros de cartes stockées sur le serveur peuvent être volés."
Quelles entreprises stockent des numéros de carte de crédit sur leurs réseaux ?
"Potentiellement tout type d'entreprises, mais essentiellement dans l'hôtellerie, les voyages, le commerce, la grande distribution… C'est une pratique courante, mais qui tend à diminuer avec la montée en puissance du standard PCI DSS."
Vous êtes donc là pour aider les entreprises à respecter ce standard ?
"Oui, c'est le standard PCI DSS, pour Payment Card Industry Data Security Standard. C'est un standard de sécurité autour des données cartes. Il vise à les protéger lorsqu'elles sont transmises, stockées ou traitées. Ce que les entreprises devraient faire en priorité, c'est respecter les 290 exigences du standard… Par exemple avoir un mot de passe d'une longueur suffisante, ou mettre en place un système de journalisation de manière à pouvoir identifier toute source de compromission.
Mais en fonction du type de commerçant il y aura plus au moins de choses à traiter. En termes de moyens, c'est sûr que c'est plus difficile pour une PME, mais ça reste important parce que se faire voler les cartes de ses clients, pour la réputation c'est terrible. Une des solutions est d'externaliser le maximum de leurs responsabilités en termes de données cartes à une entité externe, qui est certifiée."
Ici on se sent plus en sécurité qu'ailleurs sur ces sujets…
"Je pense que c'est une illusion. En tous cas, c'est peut-être encore vrai, mais ça changera sans trop de doutes. Il suffit qu'un pirate se tourne vers la Polynésie…"
Près de deux heures de conférence, et malgré tout, la cinquantaine de cadres supérieurs des banques locales, entreprises informatiques, distributeurs et même de la gendarmerie avaient encore de nombreuses questions à poser à Pierre-Emmanuel Leriche. Sur la sécurisation des paiements sans contact (NFC), sur les méthodes pour retrouver l'origine d'une série de vols de numéros de cartes de crédit, sur les bonnes pratiques à mettre en place dans les PME…
Pierre-Emmanuel Leriche est responsable de l’activité audit PCI France chez Verizon. Cet expert en sécurisation des moyens de paiement, du côté des entreprises, était en Polynésie pour deux semaines pour une mission de certification auprès de l'OSB, mais c'est à l'invitation du Clusir (Club de la Sécurité de l'Information Région Tahiti) qu'il a accepté de donner cette conférence gratuite. Et si certaines entreprises sont effectivement à la pointe dans le domaine, la technologie et les menaces associées évoluent tellement vite qu'elles ne peuvent pas relâcher leur vigilance.
Que pensez-vous de la sécurité des cartes de paiement en Polynésie ?
"Je pense que c'est en bonne voie, mais il y a encore du travail. Les menaces ici sont un peu différentes par rapport à la métropole ou d'autres endroits dans le monde. Pour tout ce qui est fraudes, skimmers (des appareils à installer sur un distributeur de billet afin de cloner une carte de crédit)… il n'y a pas ce genre de cas en Polynésie. Ici la vraie menace c'est la connexion internet.
Pour un porteur de cartes, le danger est de se faire voler son numéro de carte en achetant un produit sur un site non sécurisé, ou un site de phishing. Ou faire son shopping dans un pays où les paiements ne sont pas sécurisés, comme les États-Unis. Mais pour les entreprises, c'est surtout leurs réseaux qui peuvent être compromis. Par exemple ça peut être des sites de e-commerce locaux, mais aussi une entreprise qui est reliée à Internet pour surfer, et si la sécurité n'est pas correctement configurée, les numéros de cartes stockées sur le serveur peuvent être volés."
Quelles entreprises stockent des numéros de carte de crédit sur leurs réseaux ?
"Potentiellement tout type d'entreprises, mais essentiellement dans l'hôtellerie, les voyages, le commerce, la grande distribution… C'est une pratique courante, mais qui tend à diminuer avec la montée en puissance du standard PCI DSS."
Vous êtes donc là pour aider les entreprises à respecter ce standard ?
"Oui, c'est le standard PCI DSS, pour Payment Card Industry Data Security Standard. C'est un standard de sécurité autour des données cartes. Il vise à les protéger lorsqu'elles sont transmises, stockées ou traitées. Ce que les entreprises devraient faire en priorité, c'est respecter les 290 exigences du standard… Par exemple avoir un mot de passe d'une longueur suffisante, ou mettre en place un système de journalisation de manière à pouvoir identifier toute source de compromission.
Mais en fonction du type de commerçant il y aura plus au moins de choses à traiter. En termes de moyens, c'est sûr que c'est plus difficile pour une PME, mais ça reste important parce que se faire voler les cartes de ses clients, pour la réputation c'est terrible. Une des solutions est d'externaliser le maximum de leurs responsabilités en termes de données cartes à une entité externe, qui est certifiée."
Ici on se sent plus en sécurité qu'ailleurs sur ces sujets…
"Je pense que c'est une illusion. En tous cas, c'est peut-être encore vrai, mais ça changera sans trop de doutes. Il suffit qu'un pirate se tourne vers la Polynésie…"