Pourquoi les banques devraient désactiver les anciennes versions d’EBICS

Gardez-vous une vue d’ensemble des versions d’EBICS disponibles? Quelle version utilise votre client EBICS? Quelles sont celles acceptées par le serveur de la banque? Le présent article entend établir un tour d’horizon et expliquer ce que la prolifération des différentes versions peut impliquer pour les utilisateurs.


En Allemagne, EBICS est officiellement exploité depuis le 1er janvier 2008 dans sa version 2.3, après que certaines fonctionnalités de la version 2.0 aient été proposées par quelques banques. La première mouture développée en commun avec la France est la version 2.4, qui est utilisée sous sa mise à jour la plus récente 2.4.2 depuis le 16 février 2010. Dernière version en date, l’édition 2.5 du 16 mai 2011 est principalement proposée par les instituts de crédit en Allemagne et en Suisse. Actuellement en préparation, la version 2.6 est prévue pour 2016. À ce jour, 6 versions successives ont été publiées (sans compter la future version 2.6), avec un nombre équivalent d’implémentations pour les serveurs bancaires et les systèmes clients.

Clients et banques ont besoin d’une version commune

Le protocole EBICS repose sur des structures XML. Outre les nouvelles fonctionnalités et les évolutions, une nouvelle version d’EBICS se distingue dans les faits par de nouveaux schémas XML. À l’aide du type d’ordre HEV basé sur le schéma neutre H000, le système client EBICS peut interroger le serveur bancaire quant aux versions supportées par celui-ci, puis poursuivre la communication en utilisant la version la plus récente en cas de réponse positive. Le serveur bancaire et le système client ne sont donc en mesure de communiquer correctement que si tous deux utilisent la même version d’EBICS. Si le nombre de versions existantes venait à s’accroître outre mesure, le risque que les deux partenaires de communication exploitent une version différente augmenterait d’autant. L’échange de données deviendrait alors une gageure.

Un serveur bancaire supportant l’ensemble des versions d’EBICS nécessiterait – au minimum – des efforts de maintenance considérables. Par ailleurs, l’utilisation de versions plus anciennes saperait toutes les améliorations apportées par les dernières moutures, notamment dans le domaine capital de la sécurité. Lors de l’élaboration des spécifications d’EBICS, l’on s’était d’ailleurs mis d’accord pour toujours utiliser la dernière version en date en supportant systématiquement la version précédente.

Des mises à jour sont ignorées – ce qui recèle des risques certains

Dans la pratique, les choses peuvent se révéler fort différentes. Parfois par méconnaissance, certains clients omettent d’implémenter la dernière version d’EBICS sur leur système. Certaines banques négligent d’informer leurs clients des changements et continuent de supporter les versions plus anciennes d’EBICS. La transparence s’estompe et le risque décrit précédemment augmente.

Par conséquent, nous recommandons aux institutons financières non seulement d’utiliser la dernière version d’EBICS, mais aussi de veiller à ce que leurs clients en fassent de même, le cas échéant en les informant à temps des mises à jour. Les institutions financières ne devraient plus supporter les anciennes versions, voire même opter pour une désactivation pure et simple. Les entreprises quant à elles devraient s’assurer de toujours utiliser la dernière version du logiciel EBICS et planifier régulièrement les mises à jour.

Il est donc important de conserver une vue d’ensemble des versions d’EBICS en service et de réduire les risques en ayant recours à des mises à jour régulières – en attendant 2016 et EBICS 2.6.

Michael Lembcke

«EBICS as a Service» – un modèle d’exploitation pour les petits et moyennes institutions financières

Le fait qu’EBICS finira par s’imposer en Suisse en tant que protocole de transactions bancaires ne fait plus guère de doute. Les plus grandes institutions financières et les principales banques cantonales proposent déjà une interface EBICS aux entreprises, ou elles sont en passe de le faire. La prochaine étape serait la mise en place d’une plateforme commune «EBICS as a Service», pour laquelle il reste cependant à trouver un exploitant.


Les avantages d’une communication point à point sécurisée, standardisée et bon marché sont évidents, raison pour laquelle les petites et moyennes institutions financières s’y intéressent de plus en plus. Au vu du nombre de clients susceptibles de demander une connexion EBICS à leur banque, certains décideurs estiment que le coût initial pour l’acquisition, l’installation et l’exploitation d’un produit EBICS est très élevé.

Et de telles réserves sont assurément fondées, la mise en œuvre d’un produit EBICS pouvant atteindre un montant de cinq à six chiffres – un poste considérable dans le budget de nombreuses banques de petite et moyenne taille. En Suisse, où l’on compte près d’une centaine d’institutions dans ce segment – comme les petites banques communales ou privées –, la question suivante est donc particulièrement pertinente : pourquoi n’existe-t-il encore aucun prestataire proposant «EBICS as a Service» sur le marché national? Les avantages d’une plateforme EBICS mutualisée semblent pourtant incontestables, et certains prestataires paraissent prédisposés à mettre en place une telle offre.

À l’instar des services d’externalisation proposés pour l’exploitation de plateformes bancaires, il serait alors possible d’implémenter un modèle EBICS multi-clients. Ce business case devient rentable dès lors qu’un petit nombre de banques y participe et se traduit par une situation gagnant-gagnant pour l’ensemble des acteurs. Le fournisseur d’une telle solution pourrait proposer une offre de services étendue et, grâce à la diffusion et à l’utilisation croissante du standard, amortir rapidement son investissement. Les clients, dans le cas présent les banques, pourraient proposer aux entreprises un accès à cette plateforme moyennant des coûts d’investissement et d’exploitation réduits, et ainsi faire jeu égal avec les grandes institutions financières.

Alors que manque-t-il? Un produit adéquat bien sûr, alliant capacité multi-clients et fonctionnalités opérationnelles optimisées pour une exploitation dans des centres de traitement de données, ainsi qu’un fournisseur innovant proposant des solutions informatiques dans le secteur bancaire et qui serait disposé à jouer un rôle de précurseur. Comme déjà évoqué, le marché suisse recèle quelques candidats potentiels, des exploitants de solutions Avaloq ou Finnova aux plateformes d’insourcing des grands instituts, en passant par les centres de traitement de données classiques.

L’avenir nous dira qui sera en mesure de s’adjuger ce rôle.

Carsten Miehling