Archives de Catégorie: Fraude

Retailers to lose $71 billion in card-not-present fraud over the next 5 years

Hampshire, UK – 20th June 2017: New data from Juniper Research has found that retailers stand to lose $71 billion globally from fraudulent CNP (Card-Not-Present) transactions over the next 5 years. The research found that a number of factors, such as the USA’s shift to EMV cards, delays in 3DS 2.0 (3D-Secure) and click-and-collect fraud were key drivers behind the rise.

More Education Needed
Juniper’s latest research, Online Payment Fraud: Emerging Threats, Key Vertical Strategies & Market Forecasts 2017-2022 found that many merchants still perceive combatting fraud as too expensive. Consequently, they have been ill-prepared to deal with the shift to online fraud following the introduction of EMV (CHIP and signature) payment cards in the USA.

Nevertheless, Juniper’s cost analysis of FDP (fraud detection and prevention) solutions found that in most instances, merchants would receive value from their investment. The analyst house therefore urged players across the value chain to increase their efforts in educating merchants on the benefits of FDP.

Physical Goods a Key Target

Additionally, the research forecast that fraudulent CNP physical goods sales will reach $14.8 billion annually in 2022. It argued that click-and-collect services were particularly vulnerable given the lack of a residential delivery address. Meanwhile, retailers are reluctant to impose rigorous ID checks on pick-up for fear of damaging the consumer experience and reducing conversion rates.

Building Higher Walls

The research predicted that 3 key battlegrounds would emerge in the fight against fraud in 2018. It cited machine learning as a key tool in identifying genuine users, while the shift to mobile eCommerce would rely on 3DS 2.0 and biometrics.

“2018 will herald the arrival of new tools in the fight against fraud”, noted research author Steffen Sorrell. “3DS 2.0 will finally begin to rollout and will mark a paradigm shift in terms of merchants and issuers leveraging shared data. We also expect passive biometrics, such as the manner in which a device is handled, to become key in the future.”

The whitepaper, Future Fraud: 3 Key Battlegrounds in 2018, is available to download from the Juniper website together with further details of the full research.

Juniper Research provides research and analytical services to the global hi-tech communications sector, providing consultancy, analyst reports and industry commentary.

Poster un commentaire

Classé dans Fraude

De la cybercriminalité à la fraude : une menace en pleine mutation

Communiqué de presse Euler Hermes

Etude Euler Hermes / DFCG 2017
De la cybercriminalité à la fraude : une menace en pleine mutation
57% des entreprises françaises ont été victimes d’une cyberattaque en 2016

• 8 entreprises sur 10 ont subi au moins une tentative de fraude en 2016
• 25% des entreprises ont subi plus de 10 tentatives de fraude en 2016
• La fraude au « faux président » est la plus citée (59%), suivi par la cyberattaque (57%)

PARIS – Le 11 MAI 2017 – Pour la troisième année consécutive, Euler Hermes, le leader européen de l’assurance fraude, et la DFCG, l’association nationale des directeurs financiers et de contrôle de gestion, se sont associés pour réaliser une grande enquête sur le risque de fraude en entreprise en France. Deux cent directions financières ont été interrogées sur leur exposition, leur ressenti et leurs mesures de prévention face au phénomène de la fraude.

D’après l’étude, le risque de fraude continue de planer au-dessus des entreprises françaises. En effet, plus de 8 entreprises sur 10 déclarent avoir été victimes d’au moins une tentative de fraude au cours de l’année 2016. La menace s’intensifie, et les entreprises françaises sont ciblées en continu : 25% d’entre elles ont subi plus de 10 tentatives de fraude en 2016.

« C’est un chiffre préoccupant, surtout quand on sait que 20% des entreprises interrogées n’ont pas réussi à déjouer toutes les tentatives, et que les pertes occasionnées peuvent considérablement affecter leur trésorerie et leur rentabilité. En effet, selon l’enquête, 10% des sociétés attaquées l’an passé auraient subi une perte supérieure à 100 000 € », analyse Eric Lenoir, Président du Comité Exécutif d’Euler Hermes France.

De l’usurpation d’identité au risque cyber : la fraude, une menace protéiforme

Parmi les tentatives de fraude les plus courantes, celle au « faux président » est la plus citée par les répondants (59%). Elle est suivie par d’autres typologies de fraudes reposant sur l’usurpation d’identité : les « faux fournisseurs » (56%), les « faux clients » (25%), ou encore les « faux banquiers, avocats ou commissaires au compte » (29%). Mais le phénomène marquant de cette édition est l’explosion de la cybercriminalité : 57% des entreprises déclarent avoir subi une cyberattaque en 2016 (32% en 2015).

« Nous faisons face à une véritable explosion de ce type de fraude, qui se manifeste sous diverses formes. La plus répandue reste le ransomware, qui a touché 22% des entreprises répondantes l’année dernière. Le panorama des cyberfraudes évolue constamment, à l’image de ses auteurs, habitués à évoluer dans un univers technologique en pleine mutation. Les fraudeurs disposent plus facilement d’outils développés et puissants, permettant l’industrialisation de certaines attaques, d’où une menace croissante et protéiforme », expose Sébastien Hager, Expert Fraude chez Euler Hermes France.

Des dispositifs de prévention existants, mais qui peuvent être renforcés

Face à l’évolution du risque de fraude, les entreprises sont conscientes d’être de plus en plus exposées : 81% des directions financières interrogées craignent en effet une accentuation du risque de fraude en 2017. Comment réagir et lutter face au phénomène de la fraude en entreprise ?

« L’étude montre une chose essentielle : c’est en alliant les outils, les réactions humaines et les process, que les entreprises arrivent à lutter contre la fraude », indique Sophie Macieira-Coelho, Présidente du Comité scientifique de la DFCG. « Les réactions humaines priment (53%), devant les procédures de contrôle interne (28%) et les dispositifs IT (18%)… Mais elles sont toutes imbriquées dans une discipline globale et collective permettant d’organiser la réponse de l’entreprise. » L’étude souligne néanmoins que 63% des entreprises n’ont pas mis en place de plan d’urgence à activer en cas de fraude. Un chiffre inquiétant, la réactivité étant primordiale pour limiter le préjudice subi.

« Pour répondre à ce besoin d’information et de formation sur la fraude, la DFCG a mis en place une formation dédiée », souligne Sophie Macieira-Coelho. « Elle édite également des articles ou des dossiers consacrés à ce sujet dans la revue Finance&Gestion. De manière plus globale, la lutte contre la fraude s’inscrit dans une démarche de gestion des risques, sur lesquelles les entreprises gagnent à s’engager davantage. L’étude montre que seules 22% des entreprises ont réalisé une cartographie des risques, pourtant essentielle. Or la gestion des risques, notamment dans les PME, est prioritaire si l’on veut anticiper et prévenir plutôt que de subir les dommages. »

« 87% des entreprises interrogées redoutent que la fraude affecte lourdement leur trésorerie. S’assurer contre la fraude, c’est le moyen le plus efficace de se protéger d’un tel risque. Afin d’aider les entreprises à protéger proactivement leurs actifs, nous avons lancé en France en 2015 une solution d’assurance fraude qui couvre les pertes consécutives aux fraudes internes, externes et cyberfraudes, ainsi que certains frais induits. Puisque la réactivité est la clé d’une protection efficiente, nous proposons également un accompagnement personnalisé dès la découverte du sinistre, et une indemnisation dans les 30 jours après accord sur son montant », conclut Eric Lenoir.

Poster un commentaire

Classé dans Cybersécurité, Fraude

Rapport annuel 2015 : Baisse de la fraude confirmée en 2015 pour les paiements par carte réalisés en France

L’Observatoire de la sécurité des cartes de paiement* a rendu public, ce jour, son treizième rapport annuel d’activité, relatif à l’exercice 2015 (disponible sur le site www.observatoire-cartes.fr).

Pour la deuxième année consécutive, la fraude sur les opérations réalisées en France a poursuivi son repli, à 225 millions d’euros pour un taux de fraude de 0,040 %, contre respectivement 235 millions d’euros et 0,043 % en 2014. C’est la première fois depuis la création de l’Observatoire que la fraude se réduit en France sur chacune des trois grandes familles de transactions : paiement au point de vente, retrait et paiement à distance. François Villeroy de Galhau, Président de l’Observatoire, indique : « cette évolution très positive témoigne de l’efficacité des actions menées par l’ensemble des parties prenantes (systèmes de paiement par carte, banques, commerçants et leurs prestataires), sous l’égide de l’Observatoire, afin de prévenir la fraude sur les paiements par cartes en France. »

Le taux de fraude sur les paiements au point de vente s’établit ainsi à un niveau historiquement bas (0,009 %). Il tient compte des paiements sans contact, dont le taux de fraude s’établit à 0.019 %, soit un niveau intermédiaire entre celui des paiements au point de vente et celui des retraits (0,033 %). À ce titre, l’Observatoire souligne que les cas de fraude recensés sur le canal de la technologie sans contact ont pour origine le vol ou la perte de la carte, ce qui confirme l’absence de vulnérabilité technologique spécifique. Dans le cadre du développement de solutions de paiement sans contact par téléphone mobile, l’Observatoire a étudié en 2015 les modalités de sécurisation des expérimentations envisagées par les acteurs du marché, et émet des recommandations en vue d’assurer la mise en œuvre de dispositif sécuritaire permettant d’assurer une sécurité équivalente à celle d’une carte de paiement sans contact.

Le taux de fraude sur les paiements par carte à distance (par téléphone, courrier ou internet) continue à diminuer (0,228 % contre 0,248 % en 2014), tout en restant supérieur à celui des autres transactions. Grâce aux efforts des e-commerçants et des émetteurs de cartes pour déployer les dispositifs de sécurisation des transactions, le montant de la fraude sur les paiements à distance connait sa première baisse annuelle, dans un contexte de croissance continue des ventes en ligne.

Néanmoins, la fraude sur les transactions transfrontalières continue à augmenter de façon significative, pour approcher les 300 millions d’euros en 2015, soit une progression de 30 millions d’euros sur un an, portant le taux de fraude à 0,372 %. Cette progression affecte principalement les cartes de porteurs français utilisées à l’étranger, pour lesquels la fraude atteint 190 millions d’euros, tandis que le montant de la fraude sur les opérations réalisées en France avec des cartes de porteurs étrangers est quasiment stable, à 110 millions d’euros.

Ces chiffres reflètent une vulnérabilité plus importante des transactions transfrontalières au risque de fraude, tant au sein de l’espace de paiement européen (taux de fraude de 0,459 %) qu’avec les autres zones géographiques (0,692 %). Dans un contexte de renforcement général des conditions de sécurisation des paiements de proximité tant en Europe qu’en Asie ou aux États-Unis, la fraude transfrontalière tend désormais à se concentrer sur les transactions à distance, dont les taux de fraude dépassent 1 %. Les paiements à distance effectués par des ressortissants de l’Espace SEPA auprès de e-commerçants français, qui profitent des conditions de sécurité renforcées mises en œuvre au niveau national, se distinguent avec un taux de fraude bien inférieur (0,529 %).

Dans ce contexte, l’Observatoire rappelle que la généralisation des dispositifs d’authentification renforcée en Europe demeure une priorité, au cœur des recommandations de l’Eurosystème et de l’Autorité bancaire européenne relatives à la sécurité des moyens de paiement sur internet, entrées en vigueur en 2015 et du dispositif réglementaire de la 2ème Directive européenne sur les services de paiement.

À ce titre, l’Observatoire a procédé à un exercice de veille des nouvelles méthodes de sécurisation des paiements à distance, en vue d’évaluer leur compatibilité avec les exigences prévues par la 2ème Directive européenne sur les services de paiement. L’Observatoire a noté la mobilisation des acteurs sur le développement de solutions innovantes, visant à compléter ou remplacer les dispositifs existants, et émet des recommandations en vue de privilégier le déploiement de solutions compatibles avec les requis règlementaires, permettant d’assurer un niveau de sécurité au moins équivalent à celui des dispositifs actuels les plus performants, et offrant les meilleures perspectives en termes d’appropriation tant par les e-commerçants que par les porteurs de cartes.

*L’Observatoire de la sécurité des cartes de paiements est un forum chargé de promouvoir le dialogue et les échanges d’informations entre l’ensemble des acteurs intéressés, en France, par la sécurité et le bon fonctionnement des systèmes de paiement par carte. Il est constitué de deux parlementaires, de représentants des administrations publiques, des émetteurs de cartes et des utilisateurs (commerçants et consommateurs), ainsi que de personnalités qualifiées sélectionnées pour leurs compétences. Créé par la loi sur la sécurité quotidienne de novembre 2001, il a pour mission de suivre les mesures de sécurité adoptées par les émetteurs et les commerçants, d’établir des statistiques de fraude agrégées et d’assurer une veille technologique en matière de cartes de paiement.

Poster un commentaire

Classé dans Banque, Fraude

« Visa Intelligent Analytics » réduit la fraude à la pompe

Visa Transaction Advisor a contribué à réduire les taux de refacturation de la fraude « perdu volé » par 51% et le taux de fraude de la contrefaçon de 54%.

Visa vient d’annoncer les résultats de son service, Visa Transaction Advisor (VTA), un service qui étend la puissance de son offre « Visa’s global risk intelligence » aux stations services, en les aidant à réduire leur taux de fraude à la pompe. Plus de 35 000 stations services utilisent activement le service aux Etats-Unis. En moyenne, les utilisateurs de Visa Transaction Advisor ont connu une baisse de la fraude de plus de la moitié – une baisse de 54% des taux de fraude de contrefaçon et d’une baisse de 51% des taux de refacturation de la fraude « perdu volé »*.

« Visa Transaction Advisor donne aux détaillants de carburant un outil d’application en temps réel de Visa pour les transactions à la pompe » a déclaré Mark Nelsen, vice-président senior des produits de risque, Visa Inc. « Les résultats que nous percevons dans le secteur des carburants attestent de la puissance de l’analyse prédictive pour beaucoup de nos partenaires marchands. Il est un modèle efficace pour lutter contre la fraude et nous espérons le reproduire avec d’autres catégories de commerçants ».

Il existe plusieurs caractéristiques propres aux détaillants de carburant qui en font une cible attrayante pour les criminels d’aujourd’hui. Les bornes extérieures, le paiement à la pompe sont un moyen idéal pour les criminels de tester la facilité d’utilisation de cartes volées ou contrefaites sans risque d’interaction avec un employé du magasin. Et, parce qu’ils peuvent revendre l’essence avec peu de perte de valeur, des réseaux criminels utilisent souvent des cartes frauduleuses pour acheter de grandes quantités de carburant, qu’ils peuvent revendre.

Dans le cadre de la migration des Etats-Unis à la technologie à puce EMV, les stations services s’équipent de lecteurs de puces qui leur permettront de se protéger contre la fraude par carte falsifiée. En attendant, tandis que les stations travaillent sur leurs plans d’adoption de la puce puce, Visa Transaction Advisor fournit une solution intermédiaire qui permet aux commerçants d’identifier et de bloquer les transactions à haut risque avant d’être traités.

 

Comment ça marche ?

Après que le titulaire insère sa carte dans le lecteur de la pompe, Visa analyse de multiples ensembles de données comme les transactions passées pour vérifier si le compte a été impliqué dans un compromis de données, et ajoute près de 500 autres éléments de données pour créer un score de risque en quelques millisecondes. Cela permet aux commerçants d’identifier ces transactions qui portent un risque plus élevé de fraude et d’effectuer une authentification supplémentaire du titulaire de carte avant que le carburant soit délivré. Les enquêtes de Visa ont démontré que lorsqu’un fraudeur est invité à voir un employé du magasin pour effectuer une transaction ils préfèrent s’esquiver.

La solution de Visa est facile à mettre en œuvre – il utilise des formats de messages existants, les logiciels de la stations service et le matériel pour assurer un impact minimal sur les commerçants et les acquéreurs. La mise en œuvre se fait généralement au niveau de la marque nationale, ce qui nécessite très peu de travail à partir d’emplacements de franchise locaux. Le service, qui analyse plus de 76 millions de transactions chaque mois, a été couronnée de succès chez les détaillants de carburant internationaux, nationaux et régionaux, ainsi que les petites entreprises locales.

Visa a conclu un partenariat avec un certain nombre d’acquéreurs américains pour fournir le service et peut également travailler directement avec les commerçants à la mise en œuvre du service Visa Transaction Advisor dans le cadre de leur système de gestion de la fraude. Les enseignes de carburant qui ont mis en œuvre Visa Transaction Advisor ont fourni d’excellents commentaires sur ses avantages :

  • « Visa Transaction Advisor était facile à mettre en œuvre. Nous avons pu mettre en place le service rapidement, en utilisant l’infrastructure existante, et nous avons vu des résultats immédiats », a déclaré Gabriel Andres Porras, Merchant Acquisition Gestionnaire chez Chevron. « Cet outil contribue à protéger notre entreprise contre les fraudeurs à plus de 8 000 points de vente à travers le Etats-Unis ».
  • « Visa Transaction Advisor fournit une couche supplémentaire de sécurité à nos 15 000 stations-service aux Etats-Unis », a déclaré Mike Swillo, US Credit Card Operations Manager chez Shell. « Il intègre de façon transparente avec nos autres stratégies de gestion des risques et offre une protection supplémentaire pour les commerçants sans déranger nos clients. Nous sommes en mesure d’assurer la sécurité ajoutée à nos pompes, qui protège nos clients, les opérateurs de station et de la marque ».
  • « Ce qui rend Visa Transaction Advisor si efficace est qu’il bloque les criminels avant qu’ils ne puissent utiliser la pompe », a déclaré Rich Steckroth, directeur du développement commercial chez Sheetz, une chaîne avec plus de 500 magasins de proximité situés dans le Maryland, la Caroline du Nord , Ohio, Pennsylvanie, la Virginie et la Virginie occidentale. « Cela nous aide à maintenir une expérience client tout en gérant pour fraude ».

*Source: VisaNet, data from September 2014-September 2015

Source BusinessWire et Visa

Poster un commentaire

Classé dans Fraude, Intelligence artificielle

Un rapport de McAfee Labs sur le prix des cartes

Un dernier rapport de McAfee Labs dévoile les prix des cartes proposées sur le « Dark Web ».

Faits marquants:

  • Prix moyen estimé pour volés crédit et cartes de débit: 5 $ à 30 $ aux Etats-Unis; 20 $ à 35 $ au Royaume-Uni; 20 $ à 40 $ au Canada; 21 $ à 40 $ en Australie; et 25 $ à 45 $ dans l’Union européenne.
  • Identifiant bancaire de connexion pour un compte bancaire de 2 200 $ pour 190 $.

Intel® sécurité a publié le rapport « The Hidden Data Economy » qui fournit des exemples de la façon dont différents types de données volées sont packages et les prix offerts pour chaque type de données. Une partie de ce rapport est consacré aux cartes de paiements.

Cartes de paiement

Il est possible que les données de carte de paiement soient les plus volées et vendues. Les chercheurs de McAfee Labs ont constaté une hiérarchie de valeur dans la façon dont ces données volées sont packagées, tarifées et vendues sur le marché noir. Une offre de base comprend un logiciel, un numéro valide qui combine un numéro de compte primaire (PAN), une date d’expiration, et les 3 ou 4 chiffres du CVV.

Les prix augmentent lorsque l’offre comprend des informations supplémentaires qui permettent aux criminels d’accomplir plus de forfaits qu’avec les seules données de base. Cela comprend des données comme le numéro d’identification de compte bancaire, la date de naissance de la victime, et des informations classées comme « Fullzinfo », y compris l’adresse de facturation de la victime, le code PIN, numéro de sécurité sociale, date de naissance, nom de jeune fille de la mère, voire le nom de l’utilisateur et mot de passe utilisé pour accéder, gérer et modifier le compte du titulaire de la carte.

Le tableau suivant illustre les prix moyens des renseignements de crédit et compte de carte de débit entre les régions sur la base de la combinaison d’éléments de données disponibles :

Forfait                               US          Royaume-Uni          Canada            Australie           UE

Basic ou « Random »           5$-8$             20$-25$                20$-25$                                   21$-25$             25$-30$

Avec ID Banque                 15$                  25$                       25$                    25 $              30 $

Avec Date de naissance      15$                  30$                      30$                    30$               35$

Avec Fullzinfo                    30$                  35$                       40$                    40$               45 $

« Comme toute économie efficace non réglementée, l’écosystème de la cybercriminalité a rapidement évolué pour offrir de nombreux outils et services pour toute personne aspirant à un comportement criminel», a déclaré Raj Samani, CTO d’Intel sécurité EMEA. Et d’ajouter : « Un criminel en possession de l’équivalent numérique de la carte physique peut faire des achats ou des retraits jusqu’à ce que les victimes en informent l’émetteur de la carte et contester les accusations. Fournir ce criminel avec de nombreux renseignements personnels, qui peut être utilisé pour « vérifier » l’identité d’un titulaire de la carte, ou pire encore permettre au voleur pour accéder au compte et changer les informations, c’est un potentiel pour une vaste préjudice financier qui augmente de façon spectaculaire pour les particuliers ».

Source : MaAfee Labs http://www.intelsecurity.com

Poster un commentaire

Classé dans Carte à puce, Fraude

Le taux de fraude sur les opérations réalisées en France baisse pour la première fois depuis 2003

Communiqué de presse OSCP

L’Observatoire de la sécurité des cartes de paiement (OSCP) a rendu public, ce jour, son douzième rapport annuel d’activité, relatif à l’exercice 2014. Celui-ci est disponible sur le site internet de l’Observatoire (www.observatoire-cartes.fr).

Pour la première fois depuis la création de l’Observatoire en 2003, le taux de fraude sur les opérations réalisées en France diminue, à 0,043 % (soit 234,6 millions d’euros) contre 0,046 % en 2013 (soit 238,6 millions d’euros).

Pour l’ensemble des cartes émises en France, en incluant donc la fraude subie à l’étranger, le taux de fraude demeure stable à 0,069 %. Dans un contexte de croissance soutenue des paiements par carte, atteignant 575,9 milliards d’euros (549,2 milliards en 2013), le montant total de fraude passe à 395,6 millions d’euros (contre 376,6 millions d’euros en 2013).

Le taux de fraude sur les paiements au point de vente reste à un niveau très faible (0,010 %). Il s’inscrit dans une tendance baissière depuis plusieurs années (0,013 % en 2013), et ce malgré une progression significative du nombre de piratages des terminaux de paiement (560 contre 188 en 2012), notamment sur les distributeurs automatiques de carburant (525 cas recensés).

Le taux de fraude sur les paiements sans contact, mesuré pour la première fois cette année, ressort à 0,015 %, soit un niveau proche du taux de fraude sur l’ensemble des paiements de proximité, et deux fois inférieur à celui des retraits aux distributeurs automatiques de billets (0,034%). Il est important de souligner que les cas de fraude recensés ont pour origine presque exclusive le vol ou la perte de la carte. À cet égard, l’Observatoire rappelle que les porteurs sont protégés par la mise en place de plafonds de transaction limitant les montants frauduleux en mode sans contact et qu’ils sont dans tous les cas remboursés par leur banque en cas d’opération non autorisée. Par ailleurs, l’Observatoire souligne que la technologie sans contact elle-même n’a pas à ce jour présenté de faille exploitable pour les fraudeurs. Toutefois, il est toujours possible pour les porteurs de demander à leur banque la désactivation temporaire ou permanente de la fonctionnalité sans contact de leur carte, ou la mise à disposition d’une carte de paiement non pourvue de cette fonctionnalité.

Le taux de fraude sur les paiements par carte à distance (par téléphone, courrier ou internet) diminue pour la troisième année consécutive (0,248 % contre 0,269 % en 2013), tout en restant significativement supérieur à celui des autres transactions. Cette baisse a été rendue possible en particulier par un recours accru à la sécurisation des transactions par authentification renforcée, favorisé par un meilleur taux d’équipement des e-commerçants en solutions de type « 3D-Secure » (60 % contre 43 % en 2013). Toutefois, dans un contexte de forte croissance des paiements en ligne, le montant nominal de fraude continue de croître légèrement sur ce canal pour représenter les deux tiers du montant total de la fraude domestique, alors même que ces transactions ne représentent encore que 11,6 % du montant total des paiements par carte.

Dans ce contexte, l’Observatoire rappelle que la généralisation des dispositifs d’authentification renforcée demeure une priorité pour permettre aux acteurs de se conformer aux recommandations de l’Eurosystème et de l’Autorité bancaire européenne relatives à la sécurité des moyens de paiement sur internet, qui entrent en vigueur au 1er août 2015. Ces recommandations prennent en compte l’appréciation des risques liés à l’usage de la carte lors des paiements en ligne, afin de favoriser l’émergence et l’usage de dispositifs d’authentification conciliant sécurisation et facilité d’utilisation pour les porteurs et les commerçants.

L’Observatoire a poursuivi en 2014 ses travaux de veille technologique, qui ont porté cette année sur l’usage de la biométrie comme méthode d’authentification du porteur de la carte. Si, au vu des expérimentations menées, la biométrie apparaît comme une technique d’authentification prometteuse, l’Observatoire souligne le manque de recul dans son application au secteur des paiements. Il invite donc l’ensemble des acteurs à élaborer des référentiels permettant d’évaluer la sécurité des dispositifs biométriques, en veillant notamment à ce que le recours à la biométrie n’entraîne pas de dégradation en matière de sécurité des paiements.

L’Observatoire appelle également les acteurs à être vigilants au cours des expérimentations de nouvelles solutions de ce type, lesquelles devront veiller à assurer la protection des empreintes biométriques des utilisateurs afin de ne pas compromettre la mise en oeuvre future d’autres solutions biométriques.

Note sur l’OSCP

L’Observatoire de la sécurité des cartes de paiements est un forum chargé de promouvoir le dialogue et les échanges d’informations entre l’ensemble des acteurs intéressés, en France, par la sécurité et le bon fonctionnement des systèmes de paiement par carte. Il est constitué de deux parlementaires, de représentants des administrations publiques, des émetteurs de cartes et des utilisateurs (commerçants et consommateurs), ainsi que de personnalités qualifiées sélectionnées pour leurs compétences. Créé par la loi sur la sécurité quotidienne de novembre 2001, il a pour mission de suivre les mesures de sécurité adoptées par les émetteurs et les commerçants, d’établir des statistiques de fraude agrégées et d’assurer une veille technologique en matière de cartes de paiement.

Poster un commentaire

Classé dans Banque, Biométrie, Fraude

L’étude 2015 de l’Institut Ponemon sur le coût des violations de données révèle un coût moyen record

Les coûts pour répondre à une atteinte à la sécurité des données et la corriger représentent une moyenne de 3,8 millions de dollars dans le monde.

Le coût pour l’enregistrement de chaque perte ou vol de données a augmenté de 6 % passant de 145 à 154 dollars.

D’après un communiqué d’IBM

Selon l’étude réalisée par l’Institut Ponemon auprès de 350 entreprises dans 11 pays, le coût total consolidé moyen d’une violation de données est de 3,8 millions de dollars*, ce qui représente une augmentation de 23 % depuis 2013. La santé apparait comme l’industrie ayant le coût le plus élevé par donnée volée avec un coût moyen atteignant près de 363 dollars pour les organisations. Du côté des grands distributeurs leur coût moyen par donnée volée augmenter considérablement de 105 dollars l’an dernier à 165 dollars cette année.

Le Dr Larry Ponemon, président et fondateur de l’Institut Ponemon constatent trois raisons : « Tout d’abord, les cyberattaques augmentent en fréquence, ce qui accroît les coûts de résolution ; ensuite, les conséquences financières de la perte de clients à la suite d’une faille de sécurité ont un impact plus important sur le coût. Enfin, les entreprises dépensent de plus en plus dans leurs activités de recherche et d’investigation, d’analyse et de gestion de crise ».

Quelques éléments clés

  • Le niveau d’implication du conseil d’administration et l’achat d’une police d’assurance peuvent réduire le coût d’une violation de données. Cette implication réduit le coût de 5,50 dollars par enregistrement. La police d’assurance réduit le coût de 4,40 dollars par enregistrement.
  • La gestion de la continuité des affaires joue un rôle important dans la réduction du coût de la violation de données. Elle peut réduire en moyenne le coût de 7,10 dollars par donnée compromise.
  • Les violations les plus coûteuses continuent à se produire aux Etats-Unis et en Allemagne à respectivement 217 et 211 dollars par donnée compromise. L’Inde et le Brésil ont encore les violations les moins chères avec respectivement 56 et 78 dollars.
  • Le coût de la violation de données varie selon l’industrie. Le coût global moyen de la violation de données par enregistrement perdu ou volé est de 154 dollars. Toutefois, si une organisation de santé subit une perte de donnée, le coût moyen pourrait atteindre 363 dollars, et dans l’éducation 300 dollars. Le coût le plus bas par donnée perdue ou volée est dans le secteur des transports (121 dollars) et le secteur public (68 dollars).
  • Les pirates et les criminels internes causent le plus de violations de données. 45 % de toutes les infractions relevées dans l’étude de cette année ont été causées par des attaques malveillantes ou criminelles. Le coût moyen par enregistrement pour résoudre une telle attaque est de 170 dollars. En revanche, des problèmes liés au système coûtent 142 dollars par enregistrement et l’erreur humaine ou la négligence coûte 137 dollars par enregistrement. Les États-Unis et l’Allemagne sont les pays qui dépensent le plus pour résoudre une attaque malveillante ou criminelle (respectivement 230 et 224 dollars par enregistrement).
  • Les coûts de notification restent faibles, mais les coûts associés à l’activité perdue augmentent régulièrement. Les coûts de l’activité perdue sont issus d’une perte de clients anormale, ce qui augmente les activités d’acquisition de clientèle dans un contexte de perte de réputation et de diminution de la bienveillance. Le coût moyen a augmenté de 1,23 dollars en 2013 à 1,57 dollars en 2015. Les coûts de notification ont baissé passant de 190 000 dollars à 170 000 dollars depuis l’année dernière.
  • Le délai pour identifier et contenir une violation de données affecte le coût. Pour la première fois, notre étude montre la relation entre la façon dont une entreprise identifie et contient rapidement des incidents liés à la violation de données et ses conséquences financières. Il faut environ 256 jours pour identifier les attaques malveillantes alors que les violations de données causées par une erreur humaine prennent en moyenne 158 jours pour être identifiées. Comme indiqué précédemment, les attaques malveillantes ou criminelles sont les violations de données les plus coûteuses.

« La sophistication croissante et la collaboration des cybercriminels sont directement liées à l’évolution de l’historique des coûts que nous observons en matière de violations des données », a déclaré Marc van Zadelhoff, VicePresident of strategie, IBM Security. « L’industrie a besoin de s’organiser au même niveau que les pirates pour se défendre contre ces attaques continues. L’utilisation des outils d’analyse avancés, le partage des renseignements de sécurité et la collaboration dans l’industrie contribueront à se mettre à niveau contre les attaquants tout en aidant à atténuer le coût pour le commerce et la société ».

Prédire la probabilité d’une violation de données

Pour la deuxième année, la recherche porte sur la probabilité qu’une société subisse une ou plusieurs violations de données dans les 24 prochains mois. Prenant appui sur l’expérience des sociétés participant à cette recherche, la probabilité est basée sur deux facteurs : le nombre d’enregistrements qui ont été perdus ou volés et le secteur d’activité de l’entreprise.

Selon les résultats, les entreprises brésiliennes et françaises sont les plus susceptibles d’être victimes d’un viol de données comportant un minimum de 10 000 enregistrements. En revanche, les entreprises en Allemagne et au Canada sont les moins susceptibles de faire face à une violation de données. Dans tous les cas, il est plus probable qu’une entreprise subira une violation impliquant 10 000 enregistrements ou moins plutôt qu’un vol de données de grande ampleur impliquant plus de 100 000 enregistrements.

Pour télécharger le rapport complet, merci d’utiliser le lien suivant : http://www.ibm.com/security/databreach

À propos de l’Institut Ponemon

L’Institut Ponemon est membre du Council of America Survey Research Organizations (CASRO). L’Institut assure la stricte confidentialité des données, de la vie privée et des normes éthiques de recherche. http://www.ponemon.org

Pour plus d’informations : http://www.ibm.com/security

* Les devises locales ont été converties en dollars US à des fins de comparaison

Poster un commentaire

Classé dans Fraude