temps forts
enquête
dossier
études
annuaire
PCI DSS 3.0 De la conformité à la culture de la sécurité
Les entreprises se contentaient jusque-là d’obtenir intégrer la sécurité des paiements dans leur culture.
C’
est au 1er janvier 2015 que les entreprises traitant des données de cartes bancaires devront se conformer à PCI DSS 3.0, la toute dernière version du standard de l’organisme PCI SSC. L’objectif principal de cette conformité est de réduire le niveau de risque de fraude à partir des données cartes grâce à un certain nombre de mesures liées à la confidentialité et à la traçabilité de ces données. Même si tous ceux qui manipulent de telles données partagent cet objectif, certaines grandes enseignes françaises, traitant annuellement plus de six millions de transactions par carte, continuent de refuser de s’aligner sur ce standard aux couleurs de Visa et MasterCard. Ce front du refus commence toutefois à se lézarder, ouvrant la voie aux premiers pas de PCI DSS en France. La pression plus insistante des banques, vis-à-vis des com-
merces en ligne notamment, n’est pas étrangère à ce basculement.
Externalisation Conscientes que la conformité a un coût, mais aussi que la non-conformité présente potentiellement des risques majeurs pour leur survie, nombre d’entreprises s’acquittent de cette exigence en passant par le biais d’hébergeurs, tels que Monext, opérateur de paiements certifié PCI-DSS depuis 2008, Runiso et bien d’autres prestataires dont les noms figurent sur le site officiel de PCI SSC. Les procédures longues et difficiles du parcours PCI DSS sont hors de portée pour des acteurs dont le métier principal n’est pas le paiement. La certification nécessite en effet une véritable expertise de la gestion des paiements et l’instauration de procédures personnalisées. L’externalisation est une solution pour de telles entreprises.
16 | systèmes de paiement – le courrier de la monétique hors-série
Les hébergeurs commercialisent la compatibilité PCI DSS de leurs installations, laissant à ces entreprises environ le tiers des points de conformité à assurer directement. « Nos services facilitent la certification des entreprises qui souhaitent obtenir l’accréditation PCI DSS 2.0. Nous offrons deux tiers de 220 points de contrôle nécessaires pour obtenir cette accréditation. Le tiers restant est à la charge de l’entreprise car certains points ne sont pas de notre ressort », confirme à ce sujet Christophe Jodry, RSSI chez Runiso, responsable de la certification PCI DSS. Cette démarche d’externalisation d’une partie de la conformité se généralise car les entreprises savent que le coût n’est que la partie émergée de l’iceberg. Certains acteurs, reprenant le discours de PCI SSC, affirment que la mise en œuvre du standard peut être abordée comme une opportunité génératrice de valeur. Reste à
duré huit mois. Europ Assistance a obtenu la certification au 1er janvier 2012. Ont suivi la Française des jeux et le PMU, opérationnel depuis avril dernier. Leurs données sont externalisées sur le périmètre Monext. C’est dans ce contexte spécifiquement français que la version PCI DSS 3.0 va faire ses débuts dans l’Hexagone. D’ores et déjà, nombre de commentateurs ont salué la maturité de cette version. « Au fil des ans, PCI Security Standards Council a fait un travail louable pour définir et faire évoluer un ensemble cohérent de standards, tout en écoutant et en s’adaptant au fil du temps aux retours d’expérience des commerçants, des banques, des opérateurs de paiement ainsi qu’aux prestataires de services », estime Derek Brink, vice-président et chargé de recherche au cabinet Aberdeen Group. « La communauté des acteurs de la carte de paiement s’efforcent de mettre sécurité et conformité dans le bon ordre - à savoir que la conformité ne conduit pas nécessairement à la sécurité, elle est le résultat de bonnes pratiques de sécurité. » La version PCI DSS 3.0 devrait aider les entreprises à « intégrer la sécurité de leurs paiements dans leurs activités grâce à plus de flexibilité, plus de formation de leur personnel, plus de vigilance et plus de responsabilité partagée » précise pour sa part Jeremy King, directeur européen de PCI SSC. Notons que cette toute dernière version a été spécialement conçue pour « accompagner les organisations dans la sensibilisation des porteurs de cartes en mettant l’accent sur la sécurisation de leurs données plutôt que les problématiques de conformité. »
Nouvelle approche
prouver. Passer par un hébergeur revient bien moins cher pour une entreprise qui n’a pas les ressources nécessaires pour assurer par elle même la conformité de bout en bout. Dans tous les cas de figure, ainsi d’ailleurs que le rappelle le Clusif dans un récent document dédié à ce sujet, « la mise en conformité PCI DSS doit être considérée comme un projet global transverse car elle impacte de nombreux acteurs bien au-delà du champ de l’informatique. » La difficulté avec la migration vers PCI-DSS 3.0 tient au fait que la plupart des entreprises françaises qui ne passent pas par des hébergeurs en sont encore à gérer leur premier projet de conformité à PCI-DSS 2.0. Pour de tels projets, et lorsque le paiement n’est pas leur cœur de métier, elles font appel à l’accompagnement de sociétés comme Monext. Cette dernière a acquis au cours des années une expertise reconnue en la matière, inté-
grée désormais dans l’offre PCI Trusted Services. « Depuis quelques années déjà, plusieurs entreprises nous ont demandé de les accompagner dans le processus de la mise en conformité PCI-DSS en fonction de leur environnement » confirme Thierry Le Forban, Product Manager chez Monext. Dans le cadre de ce service, le prestataire cherche à minimiser pour l’entreprise qu’il accompagne l’impact de PCI-DSS sur son système d’information, le coût de la mise en ouvre ainsi que le délai du déploiement de la solution. « Nos échanges avec nos clients et prospects ont montré que ce besoin d’accompagnement vers la certification existait dans toutes les sociétés ». Europ Assistance a été la première entreprise à faire appel à PCI Trusted Services de Monext. Principale raison ? Elle ne disposait pas des ressources internes pour obtenir par ellemême la conformité PCI-DSS. Le projet a
Pour tous les spécialistes, PCI DSS 3.0 apparaît plus comme un recueil de bonnes pratiques alors que les précédentes versions comportaient d’interminables listes de points techniques à respecter pour obtenir la conformité. Les mises à jour comportent des recommandations spécifiques pour intégrer PCI DSS aux processus et aux bonnes pratiques des entreprises grâce à un Guide de Navigation PCI DSS intégré au standard. Les procédures de tests ont été améliorées afin de clarifier le niveau de validation attendu pour chacune des 280 exigences de la version 3.0. Cette nouvelle approche permettra d’assurer plus facilement la continuité de la conformité à PCI DSS, un problème souvent soulevé au moment où des pertes de données sont constatées. Il faut dire que l’actualité en matière de vol de données est d’autant plus riche que les attaques, en très forte croissance, sont de plus en plus sophistiquées comme l’illustre l’exemple de Target. La chaîne américaine a perdu à fin 2013 les données bancaires de plus de 100 millions de ses clients. Le traditionnel rapport DBIR de Verizon sur
systèmes de paiement – le courrier de la monétique hors-série | 17
temps forts
dossier
enquête
études
annuaire
TECHNIQUES DE PCI DSS 3.0 Les changements techniques de la nouvelle version de PCI DSS sont au nombre de dix. Ils s’ajoutent aux recommandations majeures concernant la gestion des mots de passe et sont souvent des conseils de bon sens à ranger au chapitre des bonnes pratiques. Ainsi, le nouveau standard conseille d’évaluer l’évolution des menaces de logiciels malveillants pour tous les systèmes qui ne sont pas considérés être fréquemment touchés. Chez les prestataires de services, les accès à distance aux locaux du client doivent se faire
avec des informations pour chaque client. Lorsque d’autres mécanismes utilisés (jetons physiques ou logiques de sécurité, à un compte individuel et s’assurer que seule l’individu concerné puisse avoir accès. Au sujet de l’accès physique aux zones sensibles du personnel sur place, y compris pour le processus d’autorisation, il doit y avoir révocation de l’accès immédiatement Il est conseillé en outre de protéger les appareils qui captent les données
les vols de données confirme la croissance de ces attaques. Marc Spitler, co-auteur du Data Breach Report 2014 de Verizon rappelle à ce sujet que les entreprises doivent comprendre que personne n’est à l’abri d’un vol de données et qu’il peut s’écouler des semaines ou des mois avant que l’on identifie la brèche, quand l’intrusion, elle, n’a souvent pris que quelques minutes ou quelques heures. « Nous avons noté l’an dernier 1 367 cas avérés de vol de données sur un total de 63 437 incidents de sécurité. Ces données montrent une progression significative des attaques puisqu’en 2012, nous n’avons comptabilisé que 621 vols avérés de données et 47 000 incidents de sécurité » précise encore Marc Spitler. Cela représente bien sûr des millions d’enregistrements compromis, une progression de plus de 35 % des incidents de sécurité et plus du double en nombre de vols avérés de données. Pas étonnant dans ces conditions que dans la version 3.0 de PCI DSS le manque de vigilance concernant la sécurisation des mots de passe soit considéré comme crucial pour la sécurité des données bancaires. Le standard insiste sur l’importance de changer les mots de passe établis par défaut pour les comptes de service et les applications, ainsi que ceux des comptes utilisateurs, et ce afin de combler les lacunes observées dans
des cartes de paiement via une interaction physique directe avec la carte de substitution, une démarche qui fait clairement suite au vol de données qui a touché Target. Au sujet des tests de pénétration, il est recommandé de mettre en œuvre une méthodologie si la segmentation est utilisée pour isoler l’environnement des données provenant d’autres réseaux, effectuer des tests de pénétration méthodes de segmentation sont opérationnelles et mettre en œuvre un processus visant à répondre à toutes les
les pratiques de sécurité à l’origine de failles. C’est un premier pas dans la bonne direction en matière de gestion des mots de passe. Certains éditeurs estiment que c’est insuffisant et qu’il faudrait aller plus loin afin de protéger de manière adéquate les comptes à privilèges qui sont les premiers visés en cas de cyberattaque. Ainsi, selon ces éditeurs, au lieu d’attendre une activité suspecte pour réagir, les entreprises devraient mettre en place une politique de sécurisation des comptes à privilèges centralisée en amont. « Cela permettrait ainsi aux entreprises de déterminer le rythme de renouvellement des mots de passe dont la mise en place, la gestion et la surveillance seraient simplifiées grâce à une interface unique. D’une part, la simplification des processus de gestion des mots de passe et le fait de rendre le contrôle aux équipes de sécurité, de risque et d’audit, permet aux entreprises de s’aligner sur cette nouvelle mise à jour. D’autre part, cela leur facilite le renforcement de la sécurisation des paiements » explique Olivier Mélis, country manager de CyberArk en France, éditeur spécialisé dans la gestion des comptes à privilèges. Quoiqu’il en soit, les recommandations de PCI intègrent l’industrialisation croissante des attaques des cybercriminels. Compte tenu de l’intensification des fraudes sur les paiements ainsi
18 | systèmes de paiement – le courrier de la monétique hors-série
alertes générées par le mécanisme de détection des changements. Obligation est faite de maintenir des informations sur les exigences de PCI DSS qui sont gérées par chaque fournisseur de les prestataires de services, il faut prévoir par écrit un accord de leurs clients 12.8.2. Notons que les documents associés au nouveau standard, les questionnaires de mise à jour d’auto-évaluation modèles de rapports sont disponibles depuis le début de l’année.
que les usurpations d’identité, le standard PCI DSS a déjà été intégré à la loi dans certains pays, au point que le législateur européen, en pleine phase de préparation d’une nouvelle directive sur la sécurité des données personnelles, pourrait bien instaurer une obligation de protection des données bancaires inspirée du standard de PCI SSC. « Mais même en dehors de toute obligation légale, le sujet prend toute son importance lorsque l’on sait que plus de 95 % des failles de sécurité exploitées dans les cas de piratage sont couvertes par le système et que le coût des dommages dépasse celui de la prévention », remarque Thierry Le Forban. Pour les entreprises, le défi est de passer d’une simple logique d’obtention de la certification à un instant donné à une démarche de sécurisation des paiements intégrée dans sa culture. L’obtention de la conformité valide en effet un état à un instant donné. Afin de conserver dans le temps ce niveau de conformité, mais aussi d’optimiser les coûts de fonctionnement dans la durée et de maximiser la création de valeurs de ce projet pour l’entreprise, il sera essentiel de l’intégrer dans une démarche d’amélioration continue via la mise en œuvre d’un Système de Management de la Sécurité de l’Information conclut le document du Clusif.
COMBIEN DE TEMPS LA GRANDE DISTRIBUTION $17&'4# 6 '..' 2%+ &55Ç! Les enseignes de la grande de l’activitĂŠ passe par des paiements de proximitĂŠ campent sur leurs positions DSS est un ensemble de bonnes pratiques censĂŠ limiter une fraude aux cartes Ă pistes magnĂŠtiques prĂŠsident de l’Association française des transactions
proue de la fronde contre le standard. Principales
cher et n’offrirait aucune
prÊsente toutefois l’avantage d’être mesurable, ce qui est
PCI DSS conclut Thierry Le Forban, convaincu que
ISO 27000, la norme de ฀ à toutes les donnÊes ฀ seulement aux donnÊes bancaires. La plupart des enseignes de la grande distribution partagent plus ou moins ce point de vue. Elles suggèrent par ฀ ฀ stockage de donnÊes cartes et que tout se passe en ligne avec un cryptage point à point. Certes, PCI DSS n’est pas un standard parfait. Pour Thierry Le Forban, il
dĂŠnombre cinq attaques par jour sur les bases de donnĂŠes de paiements. Il est ĂŠgalement possible de le faire ĂŠvoluer dans la bonne direction, ce qui est dĂŠjĂ le
pas à s’aligner. L’opposition entre l’ISO 27001 et PCI DSS n’est qu’apparente. Certains souhaitent que PCI SSC inverse sa dÊmarche en partant du point de dÊpart de l’analyse de risque comme c’est le cas avec la norme ISO
n’y a pas d’autre standard rappelle l’expert de qui refusent PCI SSC et se rangent du cĂ´tĂŠ de l’ISO 27001 sont dĂŠjĂ
convergence des rÊfÊrentiels de sÊcuritÊ de l’ISO 27001 et de PCI DSS rÊsoudrait Christophe Jodry.
temps forts
enquête
dossier
études
annuaire
Pays émergents L’eldorado des services mobiles émergents jouent à fond la carte des services mobiles, la banque mobile en tête de liste. Ce jeu alimente un véritable marché de masse qui attire opérateurs, prestataires, banques et fabricants
20 | systèmes de paiement – le courrier de la monétique hors-série
80%
Ce pourcentage résume à lui seul l’enjeu que représentent les pays émergents en matière de services mobiles. En effet, quatre cinquièmes des abonnés à ces services mobiles dans le monde seront dans les pays émergents d’ici à 2017, estime une étude réalisée par le cabinet français Cegedim Strategy Analytics. Ce dernier prédit aussi que la croissance moyenne des abonnés devrait progresser au rythme de 7,5 % l’an, soit presque trois fois plus vite que dans les pays développés où le rythme n’est que de 2,8 % ! Bien sûr, il ne s’agit là que de moyennes car, sur le terrain, les disparités d’un pays à l’autre resteront la marque spécifique de ce marché particulièrement hétérogène.
Ainsi, alors que la croissance a été portée jusque-là par le développement de pays comme l’Inde ou la Chine, l’Afrique et le Moyen Orient prendront le relais avec une croissance moyenne estimée à quelque 28 % ces cinq prochaines années. Malgré d’évidentes disparités, l’émergence d’une classe moyenne dans ces pays accroît la demande pour de nouveaux terminaux, smartphones et tablettes, ainsi que de nouveaux services, un eldorado pour tous les acteurs de cet écosystème, à savoir les fabricants de mobiles, les opérateurs de mobiles, les prestataires de services et les banques. En 2012, déjà, le poids des pays émergents était déjà significatif au moment où le nombre d’abonnés dans le monde attei-
gnait 4,1 milliards à fin 2011 selon une estimation du fabricant suédois Ericsson. Bien que le taux de pénétration du mobile soit plus important dans les pays de l’Europe de l’Ouest, les pays émergents, notamment ceux de l’Europe de l’Est, la Chine et l’Inde ont porté une large part de la croissance de ce marché en 2012. L’Afrique comptait à elle seule 28 millions d’abonnés de plus à fin 2011 sur un total de 644 millions d’abonnés pour l’ensemble du continent. Chiffre révélateur, différentes études notaient dans ces pays une croissance des abonnements haut débit de type 3G de 60 % en un an, ainsi qu’un doublement du trafic data et du trafic voix sur les réseaux mobiles. Sur la base de ces chiffres, les observateurs sont convaincus que l’avenir du busi-
systèmes de paiement – le courrier de la monétique hors-série | 21
temps forts
enquête
dossier
études
annuaire
mondiale. La Chine compte à ce jour plus de 1,2 milliard d’abonnés contre un peu plus de 900 millions en Inde. En Afrique et au Moyen-Orient, avec une croissance attendue de 5,1 % par an, le français Orange nourrit de grandes ambitions dans les pays francophones du continent africain, notamment depuis l’acquisition récente de Maroc Telecom et l’émirati Etisalat.
Des terminaux dédiés à ces nouveaux marchés
Seul bémol à cet engouement pour les pays émergents, le récent recul de la croissance dans les pays les plus avancés, notamment les BRICS ness mobile se situe désormais dans les pays émergents. Certes, beaucoup n’ont pas pu développer les infrastructures fixes pour disposer de l’Internet, notamment du haut débit. Le cas du Gabon est révélateur de cette situation : on y compte moins de 100 000 connexions Internet fixes alors que le taux de pénétration du téléphone mobile y est estimé à 96 % ! A présent, ces pays rattrapent leur retard sur le front du mobile, souvent avec des usages plus avancés que ceux proposés dans les pays développés. Principale raison : le mobile tend à remplacer l’Internet fixe. Corollaire : si l’Internet de demain sera mobile ainsi que l’affirment la plupart des experts, les pays émergents partent à coup sûr avec un avantage certain sur les pays développés. Seul bémol à cet engouement pour les pays émergents, le récent recul de la croissance dans les pays les plus avancés, notamment les BRICS (Brésil, Russie, Inde, Chine et Afrique du Sud). Rappelons à ce sujet qu’en début d’année l’agence Standard & Poor’s a dégradé de « BBB » à « BBB- » des pays comme le Brésil qui ne peuvent plus afficher les progressions qu’ils ont enregistré dans les années 2000. Pour leur part, la
Russie, le Venezuela et la Turquie sont placés sous surveillance négative par l’agence de notation alors que le FMI confirme un ralentissement général de la croissance dans les pays émergents. Heureusement, certains pays tirent tout de même leur épingle du jeu. Ainsi, selon une analyse de la Coface, dans le Top 10 des pays émergents qui progressent malgré la conjoncture actuelle figurent la Colombie, l’Indonésie, le Pérou, les Philippines et le Sri Lanka. Quoi qu’il en soit, la croissance moyenne se tasse dans les mobiles, y compris dans la plupart des pays émergents. Seuls l’Afrique et le MoyenOrient restent en tête de la course à la croissance. Au niveau mondial, le cabinet Idate prévoit que le marché des services télécoms devrait croître de 2,5 % par an d’ici à 2018, frisant les 1.341 Md €, alors même que la demande continue de croître fortement (+ 21 % de clients mobiles en cinq ans). « Les pays émergents resteront la locomotive du marché des télécoms pour les cinq années à venir » précise Didier Pouillot, président de l’Idate. Cette croissance a permis à certains opérateurs de progresser de manière spectaculaire. Ainsi, l’opérateur China Mobile est passé de la 7ème à la 4ème place
22 | systèmes de paiement – le courrier de la monétique hors-série
Le dernier rendez-vous du Mobile World Congress à Barcelone n’a fait que confirmer l’enjeu que représentent les pays émergents. Ils sont devenus le champ de bataille de tous les acteurs de cette industrie, fabricants de mobiles, opérateurs, prestataires de services et banques. Sur le milliard de smartphones vendus dans le monde en 2013, pas moins de 351 millions ont été vendus en Chine. Les autres pays émergents devraient adopter ce nouveau terminal depuis que des annonces de produits « low-cost » ou plus adaptés à ces marchés se sont multipliées. Au Mobile World Congress, le finlandais Nokia a lancé la gamme de terminaux Nokia X double SIM capables de faire fonctionner des applications Android. Selon les modèles, ils sont vendus à des prix voisinant la centaine d’euros. Encore plus engagé dans la guerre des prix, clé d’entrée sur ces marchés émergents, l’éditeur Mozilla, connu pour son navigateur Firefox, vise les 25 euros ! A ce prix défiant toute concurrence, Mozilla proposera avant fin 2014 un smartphone estampillé Mozilla fonctionnant sous Firefox OS. Ce nouveau système d’exploitation, développé en HTML5, permettra de concevoir des applications « efficaces et simples à développer » affirme Mozilla. Le développement d’applications ne nécessitera pas plus de connaissances que pour une application Web classique. Quant aux coûts de développement ou de mise à jour, ils seront bien inférieurs à ceux des plates-formes Android et iOS. Pour leur part, Samsung et Apple leaders sur ce marché dont ils rythment le tempo, notamment dans les pays développés - sont parfaitement conscients de l’importance cruciale de la question des prix. Laisseront-ils ce segment de marché aux LG et autres Star ? La question est posée.
La banque mobile, Dénominateur commun social de tous ces pays, le faible taux de bancarisation constitue un défi pour la plupart d’entre eux, et plus particulièrement en Afrique. Sur ce continent, seulement une personne sur dix est bancarisée. L’insuffisance des revenus n’est pas la seule raison de faible taux. L’insuffisance des infrastructures et des réseaux bancaires est un autre frein majeur. Le sujet
est d’ailleurs régulièrement débattu lors de conférences ou de forums. Dernier en date, le forum du magazine Forbes qui s’est tenu le 25 juillet dernier à Brazzaville (Congo) et qui avait pour thème « Les défis de la bancarisation : construire le modèle africain ». Dans cette perspective, la banque mobile représente une alternative potentielle sérieuse si l’on se réfère aux seules avancées des services proposés. En Afrique, beaucoup d’experts misent sur la possibilité d’un modèle de bancarisation mobile, même si de nombreux obstacles restent à dépasser pour « favoriser l’inclusion financière et sa promesse d’une société plus cohésive et d’un développement plus équilibré ». La construction de réseaux pérennes, capables d’assurer la sécurité des flux de données est l’un des défis majeurs que doivent relever ces pays. Les appels qui n’aboutissent pas ou les emails se perdent sont hélas monnaie courante. Le problème n’est pas seulement technique. La culture de la sécurité fait partie des profonds changements nécessaires pour pérenniser les infrastructures, de même que la culture de la maintenance, indispensable pour éviter que les équipements en place survivent dans des environnements souvent hostiles. Pour les acteurs du mobile, c’est là en tous cas que résident les gisements de croissance. Les services bancaires sont très attendus par des populations pour qui la carte bancaire est loin d’être accessible et où se rendre à une agence physique de banque reste pour le moins compliqué. Consciente de ce contexte bien avant d’autres, la société française Tagattitude fait figure de précurseur avec sa plate-forme de services Mobile Money, opérationnelle dans plus de vingt pays. Rappelons que Mobile Money propose une gamme complète de services financiers tels que la gestion de comptes, le transfert d’argent, le paiement mobile en point de vente, la recharge de minutes téléphoniques, le paiement des salaires et des retraites, le paiement sur Internet, le paiement des factures, les chèques cadeaux, etc. Cette plate-forme repose sur la technologie TagPay, solution spécialement conçue pour les institutions financières. Avec TagPay, plus besoin du smartphone : chaque téléphone mobile peut être utilisé comme un outil sécurisé de paiement, quel que soit son type ou l’opérateur télécom auquel il est connecté. En s’associant à Tagattitude fin 2013, Ingenico a compris le formidable potentiel de la plateforme Mobile Money. Il s’agit d’un partenariat stratégique au travers duquel Ingenico cherche à étendre son offre sur le continent Africain en proposant une infrastructure complète de transaction électronique sécurisée mobile. En alliant l’expertise d’Ingenico dans les terminaux de paiement et la plate-forme de Tagattitude, banques, opérateurs télécoms et autres institutions finan-
Autre acteur de poids engagé sur l’Afrique francophone, l’opérateur Orange propose cières peuvent transformer n’importe quel téléphone mobile en un outil de transaction sécurisée. L’intégration technique permet aux transactions mobiles et bancaires de s’effectuer simplement et en toute sécurité entre le mobile d’un client et le terminal de paiement Ingenico du commerçant. « Ce partenariat reflète notre stratégie en soutenant des initiatives d’inclusion financière et en offrant une solution à valeur ajoutée efficace aux banques et aux commerçants » affirme Jacques Behr, vice-président de la région EMEA chez Ingenico. Autre acteur de poids engagé sur l’Afrique francophone, l’opérateur Orange propose sa plate-forme concurrente Orange Money. Grâce à un partenariat avec BNP Paribas, l’opérateur offre depuis peu des services de banque mobile aux particuliers déjà bancarisés. Cette offre comporte un accès direct entre le compte BNP Paribas et le compte Orange Money grâce au téléphone mobile du client. Ce nouveau service, disponible en Côte d’Ivoire pour l’instant, sera étendu à d’autres pays où BNP Paribas et Orange Money sont présents, en particulier au Sénégal. « Orange Money et BNP Paribas s’unissent pour déployer les services Orange Money auprès des clients bancarisés sur leurs territoires communs en Afrique. Les clients de BNP Paribas pourront ainsi bénéficier des fonctionnalités d’Orange Money comme le transfert d’argent, le paiement de facture, le paiement marchand ou le rechargement de crédit téléphonique. La complémentarité de nos activités apportera aux clients le confort de pouvoir gérer leur argent où qu’ils soient dans le pays et à n’importe quel moment de la journée » précise Thierry Millet, directeur du programme paiements et sans contact chez Orange.
Les usages les plus avancés du mobile Contrairement à certaines idées reçues, les pays émergents mettent en œuvre les usages les plus avancés en matière de services mobiles. Ils jouent un rôle déterminant dans le développement social et économique, créant des conditions favorables à l’émergence de futurs modèles de développement et de nouveaux segments d’activités. Ces innovations résultent le plus souvent de partenariats avec des acteurs locaux, seul moyen de répondre aux besoins des populations dans des domaines aussi variés que l’éducation, la santé, l’agriculture et bien entendu les services financiers et adminis-
tratifs. Des acteurs tels Orange pilotent de nombreux projets afin de soutenir le dynamisme entrepreneurial et le développement d’incubateurs locaux. Ainsi, au Kenya ou aux Philippines, le smartphone devient, grâce à une pédagogie appropriée, un outil d’éducation pour des millions de jeunes qui ne pourraient pas être instruits autrement. Sur un tout autre plan, plusieurs applications mobiles développées en Afrique ont été primées au Mobile World Congress de Barcelone. L’agriculture, qui reste l’activité première dans ces pays, profite des apports de ces nouveaux services. Sous l’impulsion d’Orange au Niger, « Labaroun Kassoua » est un bouquet de services mobiles pour l’agriculture développé avec le concours du Réseau National des Chambres d’Agriculture du Niger (RECA). Ce service permet aux agriculteurs, transporteurs et entreprises agricoles des zones rurales, de connaître les cours des denrées agricoles sur les différents marchés et de bénéficier d’informations météorologiques et techniques afin de maximiser leurs récoltes. Au Kenya, DrumNet fournit un service similaire avec accès aux marchés et aux prix pratiqués sur les différentes places de la région en temps réel. Ce service authentifie les paiements. Il fait office de courtier gérant les interactions entre les exploitants et les entreprises sans oublier les banques intermédiaires. Les agriculteurs, qui ont très vite saisi l’intérêt de recourir à Drumnet, modifient leurs pratiques commerciales en conséquence. Parmi les concepts avancés qui prennent forme dans les pays émergents, le concept de smart city devient réalité à Shangaï et Masdar City (Emirat d’Abu Dhabi). Les réseaux sociaux y sont déjà largement utilisés dans le secteur de la santé, loin devant l’Europe. La palme revient aux médecins indiens qui fréquentent le plus des réseaux sociaux publics tels Facebook, Twitter ou LinkedIn, à des fins professionnelles. Ils sont 58% à fréquenter Facebook contre moins de 20% dans des pays européens tels que la France ou l’Italie. A l’évidence, le mobile est devenu le couteau suisse des pays émergeants, offrant des capacités d’échange, de développement, d’éducation et de divertissement. L’avance des pays émergents dans le domaine des m-services, favorisée par l’absence d’infrastructures fixes, devient une tendance de fond qu’illustrent les services élaborés par le secteur public de certains pays africains.
systèmes de paiement – le courrier de la monétique hors-série | 23
temps forts
enquête
dossier
études
annuaire
EN AFRIQUE,ǭ178'4674' &'5 5'48+%'5 &'ǭ$#037' /1$+.' #7: 2#46+%7.+'45 le transfert d’argent, le paiement de facture, le paiement marchand ou le rechargement de crédit téléphonique. La complémentarité de nos activités apportera aux clients le confort de pouvoir soient dans le pays et à n’importe quel moment programme paiements et sans contact chez Orange. « Cet accord permet accéder à de nouveaux services bancaires (compte épargne, carte bancaire part aux clients BNP
Orange et le groupe BNP Paribas proposent depuis le
se déplacer en agence, simplement à partir de leur
particuliers bancarisés en Afrique un accès direct entre leur compte BNP Paribas et leur compte
Depuis leur mobile, les clients peuvent alimenter directement leur compte
leur téléphone mobile. Ce nouveau service est disponible en Côte d’Ivoire, et sera étendu à d’autres
Sénégal. Le service permet aux clients du groupe BNP Paribas (BICICI en des opérations bancaires en temps réel et sans
leur compte bancaire BNP Paribas, ou inversement, simplement, rapidement et en toute sécurité. Cette
et l’achat de crédit de communication. Le vaste réseau de distributeurs
étendu, d’avoir la possibilité de payer des factures ou de recharger leur crédit téléphonique depuis leur Benaroya, directeur retail
viendra étoffer le réseau d’agences bancaires de BNP Paribas pour offrir un maximum de points de retrait à tous les clients, notamment dans les zones moins accessibles.
le compte bancaire et le compte mobile améliorera le confort d’usage et les services déjà proposés par
Paribas s’unissent pour déployer les services
par exemple le paiement de biens et services (factures d’eau, d’électricité
communs en Afrique. Les clients de BNP Paribas
des clients bancarisés
international Retail Banking de BNP Paribas. A travers ce nouveau partenariat, Orange s’engagent à promouvoir la bancarisation, en rapide et sécurisé pour gérer toutes les opérations bancaires du quotidien. actuellement plus de 10 millions de clients dans 13 pays en Afrique et au
des fonctionnalités
viendra étoffer le réseau d’agences bancaires de BNP Paribas pour offrir un maximum de points de retrait à tous les clients.
24 | systèmes de paiement – le courrier de la monétique hors-série