L’EBICS (Electronic Banking Internet Communication Standard) est un protocole permettant une communication sécurisée entre les banques et leurs clients. Les protocoles d’échanges bancaires sécurisés ont vu le jour notamment pour palier au risque lié à l’échange de données bancaires sur les réseaux tout en maintenant la faculté d’échanger des volumes importants d’information. L’objectif est donc de faciliter les échanges entre les banques et les entreprises dans un cadre sécurisé et normalisé.
Après avoir analysé le fonctionnement du protocole EBICS, nous nous pencherons sur sa fiabilité et ses potentielles failles de sécurité.
Qu’est-ce que le protocole EBICS ?
Ayant vocation à remplacer les protocoles ETEBAC (Echange Télématique Banque-Client), le protocole EBICS permet la communication sécurisée d’informations bancaires à tous les niveaux de la chaîne de paiement sans limites de volume. Son utilisation est principalement présente en France, en Allemagne et en Autriche bien que d’autres banques européennes peuvent proposer ce service. Dès lors que l’entreprise est d’envergure internationale, il sera préférable de s’orienter vers le réseau SWIFTnet.
L’EBICS T et l’EBICS TS
Jusqu’alors, la première version EBICS T (transport) s’assurait seulement du transport des fichiers (ordre de virement notamment) à la banque. Cette version initiale ne permettait donc pas d’identifier de manière satisfaisante le donneur d’ordre en s’assurant de son approbation pour les opérations demandées. Avant 2017, les signatures nécessaires étaient envoyées par fax, revêtant un aspect chronophage tant pour les banques que pour leurs clients.
Avec l’abandon des confirmations par fax du côté des banques, le protocole EBICS TS (transport + signature) a vu le jour pour permettre le transport de fichiers bancaires et la signature électronique associée. Ainsi, la validation des ordres est donc jointe et les opérations bancaires peuvent être effectuées de manière automatisée sans vérifications complémentaires.
L’EBICS TS répond donc à un double objectif :
- réduire le temps de traitement des ordres envoyés à la banque ;
- assurer une sécurité optimale des transactions et échanges.
Les autres canaux d’échanges sécurisés de données bancaires
Bien qu’il fasse l’objet d’une recommandation du CFONB (Comité Français d’Organisation et de Normalisation Bancaires) au niveau national, l’EBICS n’est pas le seul canal de communication possible avec une banque pour les entreprises. En effet, en excluant l’Internet bancaire (webbanking) l’échange formalisé de données bancaires peut aussi se faire via :
- le protocole SWIFT ;
- un FTP avec un protocole de type sFTP (Secure Shell File Transfer Protocol) ou FTPs (File Transfer Protocol Secure).
À ces fins, le SWIFT s’adresse aux entreprises internationales disposant de nombreux partenaires bancaires à travers le monde. Via le réseau privé SWIFTnet, le SWIFT est la norme au niveau mondial de la communication sécurisée d’informations bancaires. Son accès est néanmoins payant. Sauf à multiplier les partenaires bancaires internationaux, il est donc préférable de s’orienter vers le protocole EBICS dont le fonctionnement permet un même niveau de sécurité.
Comment fonctionne le protocole EBICS ?
Contrairement au webbanking, le protocole EBICS n’est pas un mode de communication par défaut avec les banques. Son recours implique de le mettre en place au niveau de l’organisation en sollicitant les banques partenaires.
La banque va donc mettre à disposition de la société un serveur EBICS par lequel les informations bancaires transiteront en format XML par paquets découpés de 1 Mo maximum. Avant d’être envoyés, les fichiers feront l’objet d’une signature électronique conformément au protocole EBICS TS. Une fois reçus, la banque vérifiera l’intégrité des fichiers et l’identité du donneur d’ordre avant d’effectuer les opérations demandées.
Pour garantir la sécurité des informations transmises, le protocole EBICS assure une sécurité optimale à deux niveaux :
- l’échange des données en format XML via une connexion HTTPS ;
- l’encryptage des fichiers avec trois pairs de clés RSA (clé de signature, clé de chiffrement, clé d’authentification) pour garantir l’authenticité des fichiers transmis.
Ainsi, la banque et l’entreprise disposent d’une clé de chiffrement unique permettant d’encrypter tous leurs échanges. En cas d’interception des informations lors d’une cyberattaque, les données récupérées seront inutilisables par l’escroc tant que ce dernier ne dispose pas du certificat adéquat.
L’EBICS est-il fiable en termes de sécurité ?
De par le chiffrement des fichiers échangés, le protocole EBICS est un moyen de communication bancaire particulièrement fiable. En effet, le cryptage de fichier rend impossible toute forme d’altération volontaire ou la lecture des fichiers par des tiers non autorisés. Pour ainsi dire, seule une erreur humaine pourrait compromettre la sécurité des transactions bancaires. Parmi elles, deux risques majeurs peuvent peser sur l’entreprise malgré l’adoption du protocole EBICS :
- l’obtention des certificats par des tiers ;
- les ordres de paiement frauduleux émanant d’un donneur d’ordre légitime.
La clé de chiffrement garantit l’inaltérabilité des fichiers envoyés à la banque. Dès lors qu’un escroc dispose de la clé, il pourrait accéder aux fichiers envoyés à condition qu’ils réussissent à intercepter les paquets. Cette condition reste particulièrement théorique puisque les informations transmises transitent via une connexion HTTPS.
Le protocole EBICS est donc une bonne solution pour protéger les paiements de l’entreprise contre les cyberattaques.
Les limites du protocoles
Ceci étant, l’erreur humaine reste encore bien prégnante. L’adoption du protocole EBICS ne protège pas l’entreprise contre la plupart des fraudes au virement. En augmentation chaque année, les escrocs voient plus d’opportunité du côté des délégataires de pouvoirs bancaires que du côté de l’interception de fichiers bancaires.
Que ce soit via des arnaques aux faux fournisseurs, des fraudes au président ou des méthodes de phishing, l’entreprise court un véritable risque en se reposant uniquement sur la mise en place de protocoles sécurisés pour se protéger des fraudes.
En parallèle du protocole EBICS, il apparaît donc primordial de sensibiliser l’ensemble des acteurs de l’entreprise aux différents types de fraudes au paiement. Au-delà de sensibilisation, l’entreprise peut se doter d’outils complémentaires pour assainir son référentiel fournisseur afin de s’assurer que les coordonnées bancaires correspondent toujours à l’identité des bénéficiaires des ordres de virement. À ces fins, la solution Trustpair accompagne les ETI et grandes Entreprises dans la vérification continu de leur référentiel tiers pour s’assurer de la véracité des informations bancaires et détecter les potentiels RIB et IBAN frauduleux. La solution vient ainsi renforcer les process de contrôles des tiers pour déjouer les fraudes au virement et permettre aux entreprises de sécuriser l’ensemble de leur chaîne de paiement fournisseurs.
Ce faisant, de l’émission, du transport jusqu’à l’exécution des ordres, l’entreprise est parfaitement protégée contre les risques de fraude.
POINTS À RETENIR
- L’EBICS est un protocole permettant une communication sécurisée entre les banques et leurs clients. Il permet l’échange sécurisé d’informations bancaires à tous les niveaux de la chaîne de paiement sans limites de volume.
- L’EBICS TS répond donc à un double objectif : réduire le temps de traitement des ordres envoyés à la banque et assurer une sécurité optimale des transactions et échanges.
- Parmi les nombreux avantages de ce protocole, certaines limites persistent, à savoir l’obtention des certificats par des tiers ou l’assurance que les ordres de paiement émanant d’un donneur d’ordre légitime ne soient pas frauduleux. Avec le protocole EBICS, l’entreprise renforce la sécurité de ces process de paiement, mais n’est pas complètement protégée contre le risque de fraude au virement.
- L’enjeu réside dans un contrôle continu de la chaîne de paiement afin d’être toujours sûr de payer le bon tiers sûr le bon compte bancaire. La solution Trustpair accompagne les entreprises dans la vérification continue de leur base tiers pour s’assurer de la véracité des informations bancaires et détecter compte anormaux ou frauduleux.