Comment améliorer EBICS, 6 partie – identification sans équivoque de la personne agissante

Un ordre de paiement, qui dans EBICS doit normalement être autorisé par deux personnes différentes, peut-il être validé par une seule personne ? Oui, c’est possible dans certaines circonstances. Dans certaines configurations contractuelles entre l’institution financière et l’entreprise cliente, la personne agissante ne peut pas être identifiée clairement.


Le responsable: le modèle de données d’EBICS

Le modèle d’autorisation du client entreprise dans la communication via EBICS se fonde sur le modèle de données d’EBICS. Ce dernier fait la distinction entre le client et son collaborateur en tant que participant EBICS.

Les entreprises communiquent avec leur banque via EBICS par le biais d’un ID client valide pour toute l’entreprise et d’un ID participant propre au collaborateur agissant. Ces ID sont attribués par la banque lors de la création du client et de ses collaborateurs; le client en a besoin pour se connecter au serveur bancaire par l’intermédiaire des accès clients EBICS. Problème: cet ID utilisateur n’est pas toujours unique. Comment est-ce possible?

Les entreprises utilisent différents clients EBICS

Les grandes entreprises utilisent parfois plusieurs logiciels clients EBICS de fournisseurs différents. Selon sa fonction, un même collaborateur peut alors utiliser plusieurs solutions clientes en parallèle. Exemple type: un collaborateur qui autorise et transmet des paiements à l’aide d’un produit EBICS pour PC – et qui simultanément autorise via une solution EBICS pour mobile des paiements qui ont été transmis directement à la banque par sa solution ERP pour la signature électronique distribuée communément utilisée en Allemagne.

Clés et certificats ne sont bien souvent pas partageables

Les clés et certificats relatifs au participant étant stockés différemment en fonction du système client et du pays EBICS, un collaborateur ne peut en règle générale pas les utiliser pour tous les contrats clients EBICS. De fait, le produit EBICS pour PC et la solution EBICS pour mobile requièrent des clés distinctes pour un même participant. C’est la raison pour laquelle le collaborateur, dans le cadre de son accès EBICS à la banque, dispose d’un ID participant différent pour chaque contrat client EBICS, qui lui permet ensuite d’accéder à ses clés et certificats.

Le modèle de données d’EBICS définissant chaque participant comme personne unique, une personne disposant de plusieurs ID participant peut théoriquement valider elle-même des paiements qui devraient être autorisés par plusieurs personnes. Dans le modèle de données d’EBICS, l’attribution d’une même personne à plusieurs ID participant n’est pas prévue.

Pour éviter toute utilisation abusive, les serveurs bancaires EBICS sont désormais dotés de fonctions de correction individuelles supplémentaires. Une solution harmonisée dans le standard EBICS semble néanmoins souhaitable.

Format d’échange harmonisé pour les clés et certificats

Une approche possible serait d’imposer un format d’échange harmonisé dans le standard EBICS pour le stockage des clés et des certificats, par exemple sous la forme d’un token logiciel avec stockage au format PKCS12. Dans ce cas, il serait possible d’utiliser l’ID participant unique pour identifier la personne agissante. Ainsi les clés et certificats pourraient être utilisés en liaison avec le même ID participant sur plusieurs clients.

Michael Lembcke

Quid d’EBICS au Maroc ?

L’essor d’EBICS en Europe n’est plus à démontrer. Mais quid de son développement au-delà des frontières de l’Union Européenne. Il est un continent qui me semble parfaitement propice à l’adoption d’un protocole d’échange de flux financiers moderne, performant et universel tel qu’EBICS: l’Afrique. Et pour être plus précis, c’est au Maroc que je pense en premier lieu, pour les raisons exposées ci-après.

De longue date, les banques et les institutions financières marocaines se sont inspirées des pratiques bancaires européennes, et plus particulièrement de celles des banques françaises. Ainsi, dans les années 90, les banques marocaines ont emboité le pas aux banques françaises en choisissant le protocole ETEBAC pour les échanges télématiques Entreprise-Banque, offrant ainsi la possibilité aux entreprises marocaines de mettre en œuvre des solutions efficientes de Cash Management.

De même, les formats d’échange utilisés par l’industrie bancaire marocaine se sont fortement inspirés des formats CFONB, que ce soit pour les relevés de comptes ou pour les virements et prélèvements.
A l’heure actuelle, le protocole ETEBAC est toujours utilisé au Maroc. Cependant, il fonctionne en X28 via des PAD privés et les entreprises doivent utiliser des modems analogiques asynchrones qui deviennent introuvables. Il devient donc quasiment impossible de faire croître le nombre d’entreprises utilisatrices du canal ETEBAC. Les solutions de substitution proposées sont:
  • l’internet-banking qui ne convient pas aux entreprises multi-bancarisés ou ayant des volumes de transactions significatives,
  • SWIFT qui engendre des frais récurrents supplémentaires non négligeables,
  • d’autres protocoles moins usités tels que PeSIT qui ne répondent pas aux exigences futures.
Le cadre juridique marocain relatif aux échanges de données numériques et à leurs protections milite en faveur de l’adoption de protocoles d’échanges de données sécurisés avec signature(s) électronique(s). Ce qui dotera les transactions bancaires des fonctions de sécurité requises à savoir authentification, inaltérabilité et intégrité, confidentialité, non rejeu de la signature et non répudiation. Lesquelles sont proposées en standard par le protocole EBICS.

Les banques marocaines, pionnières en Afrique et présentes dans 22 pays du continent, ont besoin de systèmes fiables et éprouvés de transfert de données financières interbancaires transfrontalières pour faire en sorte entre autres que le Maroc devienne un Hub de transferts bancaires permettant ainsi de capter un maximum de transactions d’une manière sûre et moderne. Pour ce faire, EBICS est le protocole approprié.

Par ailleurs, EBICS ne permettra pas seulement d’étoffer l’offre de services existante pour les entreprises, il sera également une réelle opportunité d’innovation pour les banques marocaines qui pourront l’utiliser pour ouvrir de nouveaux services (par ex. e-Invoicing).

Et n’oublions pas deux autres domaines d’utilisation dans lesquels EBICS serait parfaitement opérant:
  1. Il est déjà utilisé en Europe avec la plus grande satisfaction pour les échanges interbancaires domestiques. Les institutions financières marocaines pourraient en faire de même, elles auraient ainsi la faculté d’améliorer la résilience et le haut niveau de disponibilité de ces échanges interbancaires et accessoirement d’en optimiser les coûts.
  2. Il est tout à fait adapté aux transferts de données pour les projets de dématérialisation gouvernementaux, afférents en particuliers aux données sociales, médicales et interservices.
Fort de ce qui précède, le protocole EBICS qui - comme tout lecteur du blog a pu le constater – se déploie rapidement en Europe grâce à son universalité, sa facilité de mise en œuvre, son haut niveau de sécurité et son absence de coûts récurrents, me paraît être une alternative de choix pour les échanges Business to Bank et Bank to Bank. Si, en outre, l’adoption de la norme ISO 20022 venait à être considérée par les banques marocaines, un grand pas serait alors franchi vers une harmonisation et une standardisation des échanges de flux financiers qui apporterait une simplification et une optimisation des transactions avec l’Europe. Ce point me semble d’autant plus important que la proximité du Maroc avec le continent européen a bénéficié à l'économie marocaine dans la mesure où cette dernière a profité des nombreuses délocalisations effectuées par les entreprises européennes.

Se pose alors la question de la migration vers EBICS. Est-ce un chantier si complexe qu’il puisse constituer un obstacle à l’adoption de ce protocole? Si l’on se réfère à la façon dont la migration s’est déroulée en France, je ne le pense pas. L’expérience acquise à cette occasion, non seulement par les éditeurs de logiciels pour banques et entreprises mais aussi par des banques françaises implantées au Maroc, serait un gage de migration en douceur, sans risque de devoir «essuyer les plâtres».

Marc Dutech