Une API (interface de programmation d'applications) est un ensemble de fonctions et de procédures qui permettent à deux applications de communiquer entre elles en envoyant des demandes et en recevant des réponses.
Les API dans l'Open Banking
Les API intéressent les professionnels de la finance et de la trésorerie pour les raisons suivantes Open Banking et DSP2 (Directive sur les services de paiement 2).
Open Banking exige que les banques mettent leurs API à la disposition des particuliers et des tiers pour qu'ils puissent accéder aux données financières personnelles en toute sécurité. Et selon la DSP2, presque toutes les banques de l'UE devront permettre l'accès aux données des clients via des API.
La vraie question est donc la suivante : quel est le niveau de sécurité des API pour les transactions et le partage de vos données financières ?
Jusqu'à récemment, les banques ont généralement créé des silos financiers, obligeant les clients à s'en remettre à leurs services pour accéder à leurs données financières en toute sécurité. Mais les API et l'Open Banking sont en train de changer tout cela.
Grâce à une API riche, les institutions financières peuvent acquérir un avantage concurrentiel et donner à leurs clients le contrôle de leurs finances en leur fournissant des données sécurisées en temps réel.
De nombreux exemples montrent que les entreprises et les consommateurs utilisent déjà les API pour se faciliter la vie :
Entreprises
Avec la transformation numérique en tête des priorités des entreprises du monde entier, les API peuvent apporter des avantages considérables. plusieurs avantages aux trésoriers d'entreprise. Les API mettent à la disposition des petites équipes de trésorerie des technologies avancées qui n'étaient auparavant accessibles qu'aux grandes entreprises, ce qui permet de travailler en temps réel, de prendre des décisions plus rapidement et d'améliorer l'expérience des clients.
Les API peuvent fournir aux entreprises des connexions bancaires directes aux banques à partir des systèmes de planification des ressources de l'entreprise (ERP) ou par le biais d'intégrations de données en direct avec des outils de veille économique.
Consommateurs
Pour les consommateurs, les API offrent rapidité et simplicité pour créer des expériences financières améliorées.
Yolt est un parfait exemple de la mise en pratique de l'Open Banking pour les consommateurs, puisqu'il utilise des API pour centraliser des comptes disparates afin d'aider les utilisateurs à surveiller de plus près leurs habitudes de dépense.
Quels sont les risques ?
L'introduction d'API ouvertes rend les banques dépendantes de la sécurité des TPP (fournisseurs tiers) utilisant ces API, ce qui pose quelques questions - ou préoccupations - aux banques et aux utilisateurs de services :
- Les consommateurs étant plus nombreux à utiliser des outils tiers, le nombre de transactions effectuées par l'intermédiaire des canaux appartenant aux banques diminue. Cela a un impact négatif sur le volume de données que les banques peuvent collecter, et qu'elles utilisent pour distinguer les transactions légitimes des transactions frauduleuses.
- Les nouveaux outils de banque ouverte ouvrent la voie à de nouveaux types de transactions, qui pourrait rendre la lutte contre la fraude aux paiements encore plus difficile.
- Les fraudeurs ont la possibilité de cibler les données transmises par les API. En cas de succès, les données des clients non autorisés pourraient être utilisées dans le cadre d'une prise de contrôle de compte (ATO) ou d'une autre forme de cyberattaque.
- Les banques interagissent avec les PPT sans comprendre pleinement leurs mesures de sécurité, ce qui pose un nouveau risque quant à l'endroit où les données finiront par être conservées. En conséquence, les banques peuvent être exposées à des centaines de nouvelles menaces en dehors de leurs zones de contrôle habituelles.
- Si un PPT est compromis, les pirates peuvent envoyer aux banques des demandes qui semblent être autorisées. Et comme les escroqueries deviennent de plus en plus sophistiquées, il ne faudra pas longtemps avant que quelqu'un ne trouve le moyen d'usurper le consentement du client.
"Les API offrent un autre moyen d'attaque aux cybercriminels... si je ne peux pas attaquer les portes d'entrée des banques, je peux peut-être me faire passer pour un petit développeur et trouver une porte latérale alternative qui me permet quand même d'atteindre la banque, d'une manière ou d'une autre." Sumit Agarwal, Shape Security
Comment les API sont-elles sécurisées ?
Malgré ces préoccupations, une API bien conçue fournira une connexion sécurisée aux applications tierces.
Il est important de rappeler que ce sont les banques elles-mêmes qui construisent et testent leurs points de terminaison d'API.
Les banques peuvent donc atténuer elles-mêmes le risque d'attaques en mettant en œuvre une architecture solide qui intègre les exigences et les outils de sécurité dans l'API elle-même. En fin de compte, les banques peuvent être proactives, plutôt que réactives, lorsqu'il s'agit de sécuriser les API.
Les PPT sont très réglementés
La première chose à retenir est que les API sont basées sur des autorisations. Ainsi, que vous soyez un consommateur ou une entreprise, vous n'êtes pas obligé de partager vos données avec un PPT si vous ne le souhaitez pas.
Il s'agit d'un élément essentiel des API dans le cadre de l'Open Banking. Les règles stipulent que les banques doivent autoriser le partage de vos données avec les PPT, mais UNIQUEMENT si vous les y autorisez. Cela signifie que les PPT ne peuvent pas simplement accéder librement aux comptes - ils doivent obtenir votre consentement, qui peut être retiré à tout moment.
Les PPT sont également soumis aux lois sur la protection des données comme le GDPR, ainsi qu'aux normes techniques réglementaires PSD2, ce qui signifie qu'ils sont responsables de la protection de toutes les données personnelles qu'ils traitent.
Que sont les AISP et les PISP ?
Suite à l'introduction de la directive européenne sur les services de paiement (DSP2), les services en ligne qui utilisent des API pour accéder à vos données de compte ou effectuer des paiements en votre nom sont désormais réglementés par la Commission européenne. Autorité de conduite financière.
Pour qu'un fournisseur de services financiers soit pleinement autorisé par la DSP2 à utiliser les API d'Open Banking, il doit être enregistré en tant qu'AISP, PISP ou les deux.
Un fournisseur de services d'information sur les comptes (AISP) autorisé peut demander l'autorisation de se connecter à un compte bancaire et d'utiliser ces informations pour fournir un service. Les AISP sont autorisés à accéder en "lecture seule" aux informations relatives aux comptes bancaires, c'est-à-dire qu'ils peuvent regarder mais pas toucher.
Parmi les exemples courants d'AISP, citons les comparaisons de prix, les vérifications de crédit, les applications permettant d'économiser de l'argent comme Yolt et les progiciels de comptabilité comme Sage et QuickBooks pour les entreprises.
Les prestataires de services d'initiation de paiement agréés (PISP) peuvent demander l'autorisation de se connecter à un compte bancaire et d'initier des paiements à partir du compte bancaire du client en son nom.
Les règles de la DSP2 indiquent clairement que les PISP "n'utiliseront, n'accéderont ni ne stockeront aucune donnée à des fins autres que la fourniture du service d'initiation de paiement tel qu'il a été explicitement demandé par le payeur".
Parmi les exemples courants de PISP destinés aux consommateurs, citons les systèmes de paiement instantané souvent utilisés par les magasins de détail et de commerce électronique, qui visent à améliorer l'expérience des clients réguliers.
C'est toujours une bonne idée de vérifier la Registre des services financiers qu'une société fournissant des services d'information sur les comptes ou des services d'initiation de paiement soit autorisée en premier lieu.
Vous pouvez vérifier si une société est autorisée sur le registre de la FCA ou sur celui de la Commission européenne. Répertoire des services bancaires ouverts.
Les PPT autorisés ne pourront jamais accéder qu'aux données requises pour le service auquel vous avez souscrit. Ainsi, si vous avez demandé à un PPT enregistré d'examiner votre compte courant auprès d'une banque, il n'aura aucune visibilité sur les autres services que vous détenez auprès de cette banque.
Et comme tous les PPT doivent se conformer aux lois sur la protection des données, le fournisseur doit vous indiquer quelles données il utilisera, pendant combien de temps et ce qu'il en fera avant que vous ne vous inscriviez.
Si vous utilisez un fournisseur tiers non réglementé, vous ne bénéficierez pas des mêmes niveaux de protection contre la fraude. En d'autres termes, si vous perdez de l'argent en utilisant un service non réglementé, il est possible que votre banque ne vous rembourse pas.
APIs et Screen Scraping
Les API sont généralement beaucoup plus sûres que les solutions alternatives. Le grattage d'écran en est un exemple.
Les applications qui utilisent la technique du "screen scraping" vous demandent de fournir vos données de connexion bancaire et vous demandent la permission de collecter ou de "screen scrapper" vos données.
En fait, ils se font passer pour vous, le client, ce qui peut exposer des données personnelles très sensibles et vous exposer à la fraude. L'utilisation du screen-scraping se poursuivra pendant une période de transition jusqu'en septembre 2019 environ, date à laquelle il sera interdit, car on craint qu'il ne soit pas aussi sûr que les API.
Les API sont-elles donc suffisamment sûres pour les transactions de données financières ?
Lorsque l'on considère la sécurité des API, il ne faut pas confondre ouverture et sécurité médiocre. En faisant quelques recherches et en choisissant les bons PPT, les entreprises et les consommateurs peuvent profiter des avantages des API pour simplifier la gestion financière.
Mais alors que certains PPT ne sont toujours pas réglementés et que des techniques comme le Screen Scraping sont toujours disponibles pour les consommateurs, il est clair que l'industrie a encore du chemin à faire pour garantir que l'utilisation des API est aussi sûre et sécurisée que possible.