Avec l’utilisation accrue de nouvelles technologies, les fraudes ne cessent d’augmenter, entraînant des pertes pour les utilisateurs et pour les entreprises. Pour éviter ces pertes, on met en place de nouveaux contrôles et de nouvelles technologies de sécurité, tout en changeant notre façon d’aborder la structure actuelle de la cybercriminalité.
L’une des avenues les plus intéressantes combine la technologie de carte à puce EMV et la norme PCI, qui définit les exigences minimales en matière de sécurité des données. Ces exigences doivent être respectées par toute organisation qui transmet, traite ou stocke des données de paiement par carte. Cela implique de respecter certaines normes lors de l’adoption de nouvelles technologies.
Pour lutter contre la fraude liée aux nouvelles technologies, il faut partir du principe qu’à l’heure actuelle, l’objectif premier des cybercriminels est de gagner de l’argent, ce qui explique que le nombre de crimes soit en hausse. Les cybercriminels ont commencé à diriger des entreprises, des groupes spécialisés et organisés, avec leurs propres modèles économiques et plans d’affaires.
Dans ce contexte, différents secteurs d’activités peuvent être ciblés, mais c’est sans aucun doute le secteur financier qui s’est révélé le plus lucratif pour les pirates. Les criminels utilisent fréquemment la fraude pour attaquer les ressources des organisations et des utilisateurs, particulièrement la fraude liée aux cartes de crédit et de débit.
Fraude de cartes bancaires : une pratique lucrative pour les cybercriminels
La fraude de cartes implique d’effectuer des transactions non autorisées avec les trois principaux types de cartes utilisées par les consommateurs : cartes de débit, cartes de crédit et cartes prépayées. Malheureusement, les criminels peuvent utiliser un grand éventail de menaces et de méthodes pour arriver à leurs fins : failles de sécurité dans les organisation, vol ou perte de cartes, clonage, piratage psychologique, hameçonnage et développement et propagation de codes malveillants, par exemple dans les points de vente.
Toutes ces techniques visent à obtenir les données financières des utilisateurs pour les frauder. Une étude publiée récemment montre l’ampleur du problème, mentionnant plus de deux mille violations de données confirmées en 2015, et environ quatre milliards de cas de données volées depuis 2013. Il en ressort que les justificatifs et les données des cartes d’utilisateurs dans le monde entier ont été compromis.
En parallèle, le marché noir des données sur les consommateurs a atteint une telle envergure qu’il constitue pratiquement un secteur économique légitime. On a ainsi vu au cours des dernières années de nombreuses initiatives visant à augmenter et à améliorer les niveaux de protection au sein des organisations qui utilisent des données financières, de la mise en place de standards définissant les bonnes pratiques à l’adoption de nouvelles technologies plus sécuritaires. Dans le même ordre d’idée, les utilisateurs ont pris certaines mesures afin de réduire les risques de fraude.
Dans ce contexte, la sécurité joue un rôle crucial dans la réduction des menaces, puisque lorsque les données des utilisateurs sont exposées, ces derniers sont vulnérables, ce qui peut aussi nuire à l’image et à la réputation des organisations.
Voyons maintenant comment la convergence des technologies et des normes pourrait prévenir la fraude.
PCI + EMV : une protection basée sur l’authentification et le contrôle des données
Comment la combinaison d’une technologie et d’une norme peut-elle aider à lutter contre la fraude?
Les transactions impliquant des cartes bancaires sont largement répandues dans le monde entier et, bien que de nouvelles méthodes de paiement voient le jour, comme les portefeuilles mobiles et les cryptomonnaies, celles-ci ne seront pas utilisées à grande échelle avant plusieurs années. Il est donc essentiel de faire appel aux technologies de sécurité pour les cartes bancaires.
À cet égard, il existe deux éléments qui, lorsque combinés, aident à assurer la sécurité des données et, par le fait même, à réduire la fraude. Premièrement, la technologie de puce EMV (Europay MasterCard VISA), qui utilise des clés de chiffrement secrètes qui empêchent le clonage de cartes et les activités frauduleuses dans les points de vente.
Il s’agit d’un type d’authentification pour le terminal du point de vente qui fonctionne en présence de la carte. Les cartes de plastique sont dotées d’une puce intégrée où sont stockées les données. Cela garantit donc que la carte est réelle et qu’il ne s’agit pas d’un clone.
Deuxièmement, les normes de sécurité, comme la norme PCI, offrent aux entreprises des contrôles de sécurité appropriés, ce qui protège les données des consommateurs tout au long de la transaction. La norme PCI a été conçue en gardant à l’esprit la possibilité que lorsqu’une carte est insérée dans le système d’un commerçant, il est possible que les données confidentielles du titulaire soient transmises ou stockées sur le réseau sans aucune protection, les rendant ainsi vulnérables.
La norme entre alors en jeu en définissant les éléments de protection nécessaires pour les appareils des points de vente, en plus de contrôles de sécurité supplémentaires, notamment des mises à jour et des correctifs pour les systèmes, la détection des intrusions, la gestion des accès, le développement de logiciels sécuritaires, l’éducation et la sensibilisation des employés.
C’est ainsi qu’une combinaison d’outils de sécurité, de bonnes pratiques pour les utilisateurs, d’éducation en matière de sécurité et d’une stratégie de protection nous permet d’utiliser la technologie de manière plus sécuritaire, et, dans ce cas précis, de réduire les risques de fraude.