NOVEMBRE 2014
Mobile L’eldorado
des pays émergents
Enquête PCI DSS : de la conformité à la culture de la sécurité
Étude Cartographie
FGUǭRCKGOGPVU FCPUǭNG OQPFG CXGEǭNG 9QTNF Payments Report
Interview
Jacques Stern
PDG d’Edenred
éditorial
2CKGOGPVǭ l’échiquier mondial en évolution
L
es paiements constituent-ils un marché national, avec des habitudes et usages locaux, ou international avec des initiatives émanant de part et d’autre du globe pour moderniser et sécuriser les transactions ? La question est encore d’actualité alors même que de nombreux acteurs du Vieux Continent travaillent sur l’européanisation et que les géants du Web ne cessent d’avancer leurs pions dans un marché qui tend à sortir du seul cadre bancaire. Ainsi, la récente offensive d’Apple sur le marché du paiement mobile, ou encore les initiatives de Google ou Facebook démontrent qu’outre-Atlantique, le paiement n’est Andréa plus la seule activité des entités bancaires et semble séduire tous les masToucinho, todontes du Web friands d’innovation. rédactrice Mais ce n’est pas tout. Dans les marchés émergents, à l’image de l’Afrique ou GPǭEJGH encore de l’Amérique Latine, les innovations liées au paiement ne sont pas en reste comme le démontrent les initiatives des acteurs locaux - issus de la banque, des telcos ou encore de la distribution - ou de sociétés historiquement positionnées sur ces marchés comme Edenred (lire la rubrique « interview ») pour qui ces régions constituent un fort potentiel. Dès lors, comment tirer son épingle du jeu dans un contexte où les innovations fleurissent partout dans le monde et tendent
Systèmes de paiement Le courrier de la monétique est édité par Publi-News Events 23 bis rue Danjou 92100 Boulogne-Billancourt Directeur de la publication Marc Laufer
à traverser les frontières ? Certains professionnels des paiements ont déjà choisi leur camp et parient sur l’anticipation et la nécessité d’avancer d’ores et déjà leurs pions dans un contexte européen voire international. La preuve en est la récente finalisation du rachat, par Ingenico, de GlobalCollect, qui permet à l’acteur des paiements de se positionner dans des régions à fort potentiel comme l’Amérique Latine et l’Asie-Pacifique. Si l’innovation en matière de paiement ne connaît pas de frontières, il y a fort à parier que le Vieux Continent, bien que soumis à des contraintes réglementaires plus strictes, notamment sur la protection des données et la sécurité des paiements, pourrait avoir une carte à jouer notamment grâce à l’Europe des paiements, actuellement en construction. Ainsi, certains professionnels soulignent que cette dernière pourrait voir émerger des standards comme la norme EPAS, qui seraient, à terme, légitimes pour devenir des références mondiales à l’image d’EMV ou PCI DSS dans la mesure où l’Europe bénéficie d’un fort historique sur le marché des paiements notamment grâce à la carte à puce. Une exigence qui reste cependant soumise à un impératif : le pragmatisme, à l’heure où de nombreux professionnels misent encore sur la prudence en attendant une demande du marché. Reste donc à savoir comment évolueront leurs stratégies dans un marché en ébullition…
Certains professionnels parient sur l’anticipation et la nécessité d’avancer d’ores et déjà leurs pions dans un contexte européen voire international
PUBLICITE PUBLI-NEWS REGIE Directeur général Pierre Sacksteder, 01 75 60 28 40, pierre.sacksteder@publi-news.fr
Directeur de clientèle David Toboul, 01 75 60 28 55 davidtoboul@publi-news.fr
Tél. 01 75 60 28 40 Fax. 01 47 57 37 25
6TCHƓE /CPCIGT Laure Méry, 01 75 60 28 51
REDACTION Rédactrice en chef Andréa Toucinho
laure.mery@publi-news.fr
andrea.toucinho@publi-news.fr
sbesse@newscoregie.fr
Sylvia Besse 01 75 60 40 93
#$100'/'065 Isabelle Lancry, 01 75 60 28 66 Imprimerie de Champagne Rue de l’Etoile de Langres ZI Les Franchises, 52200 Langres 2JQVQUǭ Fotolia, DR Cet ouvrage est un horssérie du Systèmes de paiement / Le courrier de la monétique +550ǭ 0757-8768 N° de commission paritaire 1110I89648
systèmes de paiement – le courrier de la monétique hors-série | 3
sommaire
dossier
Pays émergents
temps forts P.6
L’eldorado des services mobiles P.20 entretien
Jacques Stern, PDG d’Edenred P.13
études 366 milliards FGǭVTCPUCEVKQPU non-cash en 2013, selon le World Payments Report P.30
enquêtes
PCI DSS 3.0
De la conformité à la culture de la sécurité P.16
2CKGOGPVU ȘNGEVTQPKSWGUǭ kǭ.GU UKIPCWZ UQPV CW XGTVǭz en Amérique Latine P.26
annuaire P.34 tribune P.38
bulletin d’abonnement page 37
systèmes de paiement – le courrier de la monétique hors-série | 5
temps forts
enquête
dossier
études
12 | systèmes de paiement – le courrier de la monétique hors-série
annuaire
Jacques Stern, PDG d’Edenred
kÇ5WTHGT UWT NC FČ˜OCVČ˜TKCNKUCVKQP des titres restaurant pour RTQRQUGT FG PQWXGNNGU QHHTGUÇz Edenred est un acteur historique du titre restaurant. Le marchĂŠ français est marquĂŠ par une ĂŠvolution rĂŠglementaire, en l’occurrence un dĂŠcret publiĂŠ en avril 2014 ouvrant la voie Ă la dĂŠmatĂŠrialisation. Comment TČ˜CIKUUG\ XQWU Č? EGVVG Č˜XQNWVKQP ! Quelles sont les consĂŠquences pour NG ITQWRG ! La dĂŠmatĂŠrialisation des titres restaurant, qui dĂŠmarre en France, n’est pas une nouveautĂŠ pour le groupe. Ainsi, nous avons mis beaucoup de temps Ă convaincre toutes les parties prenantes qu’il fallait moderniser la loi de 1967. Avant son lancement en France, cette transformation digitale s’est dĂŠroulĂŠe dans 39 pays. Les raisons de ce retard reposent sur la rĂŠglementation de l’Hexagone qui ĂŠtait très bien faite et sur les changements qu’implique le passage Ă l’Êlectronique. Nous avons commencĂŠ Ă adresser ces sujets avec nos concurrents et avons eu, pendant quatre ans, des discus-
 systèmes de paiement – le courrier de la monÊtique hors-sÊrie   |   13
temps forts
enquĂŞte
dossier
ĂŠtudes
annuaire
PCI DSS 3.0 De la conformitĂŠ Ă la culture de la sĂŠcuritĂŠ
Les entreprises se contentaient jusque-là d’obtenir NC EGTVKƓECVKQP 2%+ &55 #XGE NC XGTUKQP GNNGU XQPV RQWXQKT intÊgrer la sÊcuritÊ des paiements dans leur culture.
C’
est au 1er janvier 2015 que les entreprises traitant des donnÊes de cartes bancaires devront se conformer à PCI DSS 3.0, la toute dernière version du standard de l’organisme PCI SSC. L’objectif principal de cette conformitÊ est de rÊduire le niveau de risque de fraude à partir des donnÊes cartes grâce à un certain nombre de mesures liÊes à la confidentialitÊ et à la traçabilitÊ de ces donnÊes. Même si tous ceux qui manipulent de telles donnÊes partagent cet objectif, certaines grandes enseignes françaises, traitant annuellement plus de six millions de transactions par carte, continuent de refuser de s’aligner sur ce standard aux couleurs de Visa et MasterCard. Ce front du refus commence toutefois à se lÊzarder, ouvrant la voie aux premiers pas de PCI DSS en France. La pression plus insistante des banques, vis-à -vis des com-
merces en ligne notamment, n’est pas Êtrangère à ce basculement.
Externalisation Conscientes que la conformitÊ a un coÝt, mais aussi que la non-conformitÊ prÊsente potentiellement des risques majeurs pour leur survie, nombre d’entreprises s’acquittent de cette exigence en passant par le biais d’hÊbergeurs, tels que Monext, opÊrateur de paiements certifiÊ PCI-DSS depuis 2008, Runiso et bien d’autres prestataires dont les noms figurent sur le site officiel de PCI SSC. Les procÊdures longues et difficiles du parcours PCI DSS sont hors de portÊe pour des acteurs dont le mÊtier principal n’est pas le paiement. La certification nÊcessite en effet une vÊritable expertise de la gestion des paiements et l’instauration de procÊdures personnalisÊes. L’externalisation est une solution pour de telles entreprises.
16   |   systèmes de paiement – le courrier de la monÊtique hors-sÊrie
Les hĂŠbergeurs commercialisent la compatibilitĂŠ PCI DSS de leurs installations, laissant Ă ces entreprises environ le tiers des points de conformitĂŠ Ă assurer directement. ÂŤÂ Nos services facilitent la certification des entreprises qui souhaitent obtenir l’accrĂŠditation PCI DSS 2.0. Nous offrons deux tiers de 220 points de contrĂ´le nĂŠcessaires pour obtenir cette accrĂŠditation. Le tiers restant est Ă la charge de l’entreprise car certains points ne sont pas de notre ressort , confirme Ă ce sujet Christophe Jodry, RSSI chez Runiso, responsable de la certification PCI DSS. Cette dĂŠmarche d’externalisation d’une partie de la conformitĂŠ se gĂŠnĂŠralise car les entreprises savent que le coĂťt n’est que la partie ĂŠmergĂŠe de l’iceberg. Certains acteurs, reprenant le discours de PCI SSC, affirment que la mise en Ĺ“uvre du standard peut ĂŞtre abordĂŠe comme une opportunitĂŠ gĂŠnĂŠratrice de valeur. Reste Ă
duré huit mois. Europ Assistance a obtenu la certification au 1er janvier 2012. Ont suivi la Française des jeux et le PMU, opérationnel depuis avril dernier. Leurs données sont externalisées sur le périmètre Monext. C’est dans ce contexte spécifiquement français que la version PCI DSS 3.0 va faire ses débuts dans l’Hexagone. D’ores et déjà, nombre de commentateurs ont salué la maturité de cette version. « Au fil des ans, PCI Security Standards Council a fait un travail louable pour définir et faire évoluer un ensemble cohérent de standards, tout en écoutant et en s’adaptant au fil du temps aux retours d’expérience des commerçants, des banques, des opérateurs de paiement ainsi qu’aux prestataires de services », estime Derek Brink, vice-président et chargé de recherche au cabinet Aberdeen Group. « La communauté des acteurs de la carte de paiement s’efforcent de mettre sécurité et conformité dans le bon ordre - à savoir que la conformité ne conduit pas nécessairement à la sécurité, elle est le résultat de bonnes pratiques de sécurité. » La version PCI DSS 3.0 devrait aider les entreprises à « intégrer la sécurité de leurs paiements dans leurs activités grâce à plus de flexibilité, plus de formation de leur personnel, plus de vigilance et plus de responsabilité partagée » précise pour sa part Jeremy King, directeur européen de PCI SSC. Notons que cette toute dernière version a été spécialement conçue pour « accompagner les organisations dans la sensibilisation des porteurs de cartes en mettant l’accent sur la sécurisation de leurs données plutôt que les problématiques de conformité. »
Nouvelle approche
prouver. Passer par un hébergeur revient bien moins cher pour une entreprise qui n’a pas les ressources nécessaires pour assurer par elle même la conformité de bout en bout. Dans tous les cas de figure, ainsi d’ailleurs que le rappelle le Clusif dans un récent document dédié à ce sujet, « la mise en conformité PCI DSS doit être considérée comme un projet global transverse car elle impacte de nombreux acteurs bien au-delà du champ de l’informatique. » La difficulté avec la migration vers PCI-DSS 3.0 tient au fait que la plupart des entreprises françaises qui ne passent pas par des hébergeurs en sont encore à gérer leur premier projet de conformité à PCI-DSS 2.0. Pour de tels projets, et lorsque le paiement n’est pas leur cœur de métier, elles font appel à l’accompagnement de sociétés comme Monext. Cette dernière a acquis au cours des années une expertise reconnue en la matière, inté-
grée désormais dans l’offre PCI Trusted Services. « Depuis quelques années déjà, plusieurs entreprises nous ont demandé de les accompagner dans le processus de la mise en conformité PCI-DSS en fonction de leur environnement » confirme Thierry Le Forban, Product Manager chez Monext. Dans le cadre de ce service, le prestataire cherche à minimiser pour l’entreprise qu’il accompagne l’impact de PCI-DSS sur son système d’information, le coût de la mise en ouvre ainsi que le délai du déploiement de la solution. « Nos échanges avec nos clients et prospects ont montré que ce besoin d’accompagnement vers la certification existait dans toutes les sociétés ». Europ Assistance a été la première entreprise à faire appel à PCI Trusted Services de Monext. Principale raison ? Elle ne disposait pas des ressources internes pour obtenir par ellemême la conformité PCI-DSS. Le projet a
Pour tous les spécialistes, PCI DSS 3.0 apparaît plus comme un recueil de bonnes pratiques alors que les précédentes versions comportaient d’interminables listes de points techniques à respecter pour obtenir la conformité. Les mises à jour comportent des recommandations spécifiques pour intégrer PCI DSS aux processus et aux bonnes pratiques des entreprises grâce à un Guide de Navigation PCI DSS intégré au standard. Les procédures de tests ont été améliorées afin de clarifier le niveau de validation attendu pour chacune des 280 exigences de la version 3.0. Cette nouvelle approche permettra d’assurer plus facilement la continuité de la conformité à PCI DSS, un problème souvent soulevé au moment où des pertes de données sont constatées. Il faut dire que l’actualité en matière de vol de données est d’autant plus riche que les attaques, en très forte croissance, sont de plus en plus sophistiquées comme l’illustre l’exemple de Target. La chaîne américaine a perdu à fin 2013 les données bancaires de plus de 100 millions de ses clients. Le traditionnel rapport DBIR de Verizon sur
systèmes de paiement – le courrier de la monétique hors-série | 17
temps forts
enquĂŞte
dossier
ĂŠtudes
annuaire
Pays ĂŠmergents L’eldorado des services mobiles 5QWXGPV RTKXČ˜U FĹŠKPHTCUVTWEVWTGU Ć“ZGU FKIPGU FG EG PQO NGU RC[U ĂŠmergents jouent Ă fond la carte des services mobiles, la banque mobile en tĂŞte de liste. Ce jeu alimente un vĂŠritable marchĂŠ de masse qui attire opĂŠrateurs, prestataires, banques et fabricants FG VGTOKPCWZ 7P GNFQTCFQ OCNITČ˜ DKGP FGU DČ˜OQNUÇĐš
20   |   systèmes de paiement – le courrier de la monÊtique hors-sÊrie
80%
Ce pourcentage résume à lui seul l’enjeu que représentent les pays émergents en matière de services mobiles. En effet, quatre cinquièmes des abonnés à ces services mobiles dans le monde seront dans les pays émergents d’ici à 2017, estime une étude réalisée par le cabinet français Cegedim Strategy Analytics. Ce dernier prédit aussi que la croissance moyenne des abonnés devrait progresser au rythme de 7,5 % l’an, soit presque trois fois plus vite que dans les pays développés où le rythme n’est que de 2,8 % ! Bien sûr, il ne s’agit là que de moyennes car, sur le terrain, les disparités d’un pays à l’autre resteront la marque spécifique de ce marché particulièrement hétérogène.
/CTEJȘ JȘVȘTQIȗPG Ainsi, alors que la croissance a été portée jusque-là par le développement de pays comme l’Inde ou la Chine, l’Afrique et le Moyen Orient prendront le relais avec une croissance moyenne estimée à quelque 28 % ces cinq prochaines années. Malgré d’évidentes disparités, l’émergence d’une classe moyenne dans ces pays accroît la demande pour de nouveaux terminaux, smartphones et tablettes, ainsi que de nouveaux services, un eldorado pour tous les acteurs de cet écosystème, à savoir les fabricants de mobiles, les opérateurs de mobiles, les prestataires de services et les banques. En 2012, déjà, le poids des pays émergents était déjà significatif au moment où le nombre d’abonnés dans le monde attei-
gnait 4,1 milliards à fin 2011 selon une estimation du fabricant suédois Ericsson. Bien que le taux de pénétration du mobile soit plus important dans les pays de l’Europe de l’Ouest, les pays émergents, notamment ceux de l’Europe de l’Est, la Chine et l’Inde ont porté une large part de la croissance de ce marché en 2012. L’Afrique comptait à elle seule 28 millions d’abonnés de plus à fin 2011 sur un total de 644 millions d’abonnés pour l’ensemble du continent. Chiffre révélateur, différentes études notaient dans ces pays une croissance des abonnements haut débit de type 3G de 60 % en un an, ainsi qu’un doublement du trafic data et du trafic voix sur les réseaux mobiles. Sur la base de ces chiffres, les observateurs sont convaincus que l’avenir du busi-
systèmes de paiement – le courrier de la monétique hors-série | 21