Unpacking Psd2 An Interview With Nicolas Muhadri Online Payment Security Expert Docaufutur.jpeg
in

Décryptage de la DSP2 : rencontre avec Nicolas Muhadri, expert en sécurité des paiements en ligne | DOCaufutur

Un an après l’entrée en vigueur de la Directive sur les Services de Paiement (DSP) 2, quel premier bilan peut-on tirer de sa mise en œuvre ? Nous avons rencontré Nicolas Muhadri, président fondateur de StreamMind, pour avoir son avis sur le texte européen.

Qu’est-ce que la DSP2 et pourquoi ?

La DSP2 a été adoptée le 27 novembre 2017 sous l’égide de la Commission Européenne. Son but : dynamiser le marché bancaire et l’ouvrir à la concurrence, pour permettre l’arrivée de nouveaux acteurs. L’enjeu est d’ouvrir de nouveaux services financiers à la concurrence qui sont aujourd’hui proposés par l’industrie financière, traditionnellement représentée par la banque, les assurances et les PSP. Le rôle de la commission européenne est de tendre vers la globalisation du marché en Europe. Toutes les contraintes qui sont aujourd’hui encore une barrière au trafic économique doivent être réduites.

Le fait de partager des normes à l’échelle européenne est un moyen de fluidifier les échanges économiques et de renforcer la zone euro et plus généralement l’environnement SEPA. Dans un monde façonné par la globalisation économique, il est important que l’Europe puisse offrir une alternative aux grands de ce monde (Asie et Amérique du nord). La DSP2 est donc un cadre global pour renforcer le rôle et la puissance économiques de l’Europe par la fluidité des transactions financières et des normes communes.

Mais concrètement qu’est-ce que ça change ?

C’est sûr, tout le monde ne peut pas être un acteur du paiement : virement, monétique, crédit, paiement… autant de termes qui traditionnellement appartiennent aux banques et aux assurances. En fait, la DSP2 va ouvrir ces services à de nouveaux acteurs. Par exemple, les FinTechs pourront commencer à proposer des services d’agrégation de comptes à leurs clients. La première étape consiste à être certifié.

Il y a deux niveaux de certification pour être habilité à pouvoir accéder aux données bancaires. La deuxième étape est de développer une API. Par exemple, celle liée à l’Open Banking. Pouvoir accéder au référentiel et aux données bancaires détenues par la banque. A partir du moment où ces entreprises, le plus souvent des startups, arrivent à passer ces étapes de certification et de création d’API conformes, elles ont la possibilité technique d’accéder aux coordonnées bancaires. Majoritairement, aujourd’hui ces services concernent l’agrégation de comptes : avoir sur une même interface toutes les données et les informations bancaires.

Quelles ont été les réactions de la part du monde du paiement et quel bilan tirer un an après ?

Le bilan est mitigé dans la mesure où nous n’avons pas assisté à une dissémination de services autour de la DSP2.  Je vois au moins deux causes à cela. D’un côté, la DSP2 impose des contraintes techniques encore assez fortes hors de l’industrie bancaire classique. Et de l’autre côté, les utilisateurs eux-mêmes ressentent encore des craintes à confier leurs informations financières à des acteurs non traditionnels. En fait, la crainte des utilisateurs finaux est un véritable frein.

D’ailleurs, qu’en est-il de la sécurité à l’ère de la DSP2 ?

Effectivement la dimension sécurité est un aspect fondamental lié à la DSP2. Aujourd’hui, on assiste à un bouleversement. Des anciens systèmes de sécurité comme le 3D Secure vont être abandonnés. En effet, ils ne proposent plus un niveau de sécurité suffisant aujourd’hui. Par exemple, le SMS, qui est du texte ouvert sur internet, est un élément exposé au risque de cyberattaque. C’est un bouleversement qui est en cours dans l’industrie financière et auprès de ses clients. A mon avis, dans les années qui viennent, nous allons assister à l’avènement de nouveaux systèmes de sécurité. L’avenir de la sécurité ne va pas être un et unique mais plutôt une combinaison de systèmes de sécurité. Pour être plus adapté aux menaces qui pèsent nous devons apporter de la technologie autour de cette combinaison.

Pourtant, aujourd’hui encore, la question de la sécurité spécifique à l’ouverture maximum des API n’est pas encore établie et correctement traitée par rapport au risque de menace. La question de la sécurité se posera au moment de l’avènement de ces API et des premières attaques qui auront malheureusement réussies. La priorité aujourd’hui reste l’ouverture des données. Il est dommage que la sécurité ne soit pas traitée au même niveau. C’est-à-dire en parallèle de l’ouverture au référentiel bancaire. Prouver que la sécurité doit avoir la même importance facilitera l’adoption de la DSP2 dans l’industrie financière et auprès des utilisateurs finaux.

Néanmoins, la DSP2 en tant que norme doit progresser. Rassurer les utilisateurs finaux, entreprises et particuliers, sur la sécurité des accès aux informations clients. Nous croyons que l’amélioration de la sécurité passera par une combinaison de dispositifs. ceux-ci associeront le biométrique (reconnaissance digitale, faciale et vocale) avec l’identifiant et le mot de passe.

La DSP2 a-t-elle véritablement stimulé l’innovation au sein des FintTechs ?

En fait, l’innovation au niveau des FinTechs se porte principalement sur deux domaines. Celui des paiements et celui de l’agrégation de données en général. Beaucoup de FintTechs proposent désormais de l’agrégation de données. Pour les entreprises le but est d’avoir un meilleur contrôle de leurs données pour en identifier l’ensemble de manière plus intelligente, agile et flexible. Avoir un meilleur contrôle de sa data grâce aux nouveaux services des FinTechs. Le deuxième domaine concerne les paiements, et en particulier les paiements sur mobiles et tablettes. C’est une foison de solutions que portent les FinTechs dans ce domaine !

Quel avenir pour le paiement en Europe ?

L’Europe est un marché énorme.  740 millions d’habitants et de consommateurs potentiels (ou 500 millions de consommateurs). Or, l’avenir du paiement est lié à la capacité qu’auront les FinTechs et les banques à proposer des services de paiement ou de crédit à la main des clients finaux. Par exemple, il y a un potentiel énorme dans le domaine du crédit. Afin de permettre au consommateur de contrôler lui-même son prêt : moduler soi-même ses échéances. C’est un réel besoin en plus d’être une tendance de fond. L’utilisateur cherche de plus en plus à avoir un contrôle direct sur les services que proposent les établissements de crédit.

Pour conclure, la sécurité et le paiement sont de plus en plus liés. Il y a une forte volonté des particuliers de pouvoir avoir une meilleure assurance sur l’identité des interlocuteurs concernés par le paiement. Et pour les entreprises, c’est un sujet majeur qui a un impact direct sur leur pérennité. En France, sur 70 entreprises qui déposent le bilan chaque jour, 30% le font pour une question de délais et de défaut de paiement. Le fait d’apporter une sécurité sur le paiement, contribuera à pérenniser l’écosystème.

StreamMind est un éditeur historique du réseau interbancaire SEPAmail. Nous avons lancé une innovation permettant aux entreprises de pouvoir vérifier en temps réel les coordonnées bancaires et personnelles de leurs clients et fournisseurs. Le tout à partir d’un point unique et grâce à ce réseau interbancaire.

Valentine
Valentine

Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication. C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée. Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent. C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018. Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.

Written by Valentine

Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication.
C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée.
Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent.
C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018.
Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.