Des paiements haute disponibilité avec EBICS et SWIFT

Les transactions de paiements interbancaires européennes portent sur plusieurs milliards d’euros chaque jour. Ce volume gigantesque est traité de manière bilatérale et par l'intermédiaire d’organismes de clearing nationaux et européens, comme TARGET2, STEP2 et SEPA-Clearer. Pour l’économie comme pour nous tous en tant qu’individus, la circulation sans entrave de ces flux financiers est primordiale, raison pour laquelle la sécurité des systèmes informatiques concernés revêt une importance critique. Seule l’utilisation redondante des deux protocoles de transport EBICS et SWIFT garantit la haute disponibilité requise.


Point surprenant : les redondances requises dans le processus global ne sont pas systématiquement mises en œuvre. La haute disponibilité est ainsi généralement assurée par des systèmes redondants internes. Un point faible de taille – le «Single Point of Failure» – subsiste toutefois en cas de défaillance système, à savoir le processus d’échange électronique, qui doit lui aussi être redondant pour s’affranchir de toute panne.

Les deux protocoles de transport les plus courants dans les transactions internationales sont SWIFT et EBICS. Ils garantissent une sécurité de transmission et un rendement élevés – deux prérequis indispensables à une stratégie de transport duale. En outre, il est nécessaire que les systèmes soient indépendants l’un de l’autre. Or, cette indépendance ne peut être garantie que par une stratégie faisant appel à deux fournisseurs. La haute disponibilité requiert donc une stratégie faisant appel à deux fournisseurs alliant une approche de transport duale.

Afin d’améliorer la fiabilité, la première est d’ores et déjà employée dans des scénarios d’importance critique en matière de sécurité. Ces règles permettent d’éviter que le système d’un fournisseur donné puisse devenir le fameux «Single Point of Failure».

Examinons la stratégie de transport duale associant SWIFT et EBICS. Les topologies réseau des deux protocoles sont complémentaires:

SWIFTEBICS
Topologieen étoilemaillée
Administrationadministréeauto-administrée
Défaillancecentraleréparation automatique
Mode de transmissioncâblecâble et satellite

Dans le cas d’EBICS, les pannes sont réparées automatiquement, c.-à-d. en redirigeant automatiquement les données. Dans le cas de SWIFT en revanche, le réseau en étoile est administré de manière centralisée. Cette complémentarité est un atout en cas de défaillance car elle exclut par définition tout «Single Point of Failure». SWIFT et EBICS sont indépendants (grâce à la stratégie faisant appel à deux fournisseurs), ce qui les prédestine à un système de transport dual.

Si une panne survient au niveau d’EBICS, la banque ou la société de clearing peut agir sur les modalités techniques de transmission. Si les lignes terrestres sont hors service, il est ainsi possible de basculer sur des systèmes radio ou non terrestres, comme les satellites. Le satellite permet de couvrir l’ensemble des zones peuplées de la planète. Il s’agit d’un avantage certain d’EBICS par rapport aux réseaux administrés tels que SWIFT.

Mais qu’en est-il dans la pratique? Au vu des risques inhérents aux transactions interbancaires, la combinaison d’une stratégie de transport duale associant EBICS et SWIFT et d’une approche s’appuyant sur deux fournisseurs semble rien moins que raisonnable. Il n’est donc guère surprenant que des services comme STEP2 d’EBA Clearing et SEPA-Clearer de la Deutsche Bundesbank proposent tant EBICS que SWIFT et appliquent une stratégie s’appuyant sur deux fournisseurs. Il est possible de basculer en très peu de temps, voire plusieurs fois par jour, entre les deux protocoles de transport. Les banques allemandes et un établissement français utilisent déjà EBICS et SWIFT afin de minimiser les dommages résultant d’éventuelles défaillances. D’autres banques européennes et américaines leur emboîteront certainement le pas.

Il reste surprenant que le régulateur ne soit toujours pas intervenu dans ce domaine. Les répercussions d’une défaillance seraient en effet incalculables.

Michael Lembcke

EBICS – standard européen pour les paiements mobiles?

Les évolutions actuelles en matière de paiements mobiles ont de quoi déconcerter. Chaque jour voit l’apparition de nouveaux fournisseurs de solutions et les standards techniques foisonnent. Les banques sont confrontées au risque de se laisser distancer dans un secteur d’activité en pleine croissance. Le salut pourrait-il venir d’un standard européen comme EBICS?


Les mêmes règles s’appliquent aux paiements mobiles et aux transactions électroniques basées sur EBICS: il s’agit de garantir la sécurité de la communication, une authentification sans équivoque et la confidentialité des données de base et relatives à l’ordre. Pour les paiements mobiles, cela prend la forme de «Secure Elements» (cartes SD, SIM, HCE, etc.), auxquels viennent s’ajouter les différentes technologies de transmission (code QR, code-barre, NFC, BLE, etc.). Pour l’heure, rien ne semble vraiment réglementé, les acteurs les plus divers faisant leur entrée sur le marché: des grands fournisseurs de cartes de crédit aux prestataires spécialisés, en passant par les fabricants de matériel (Apple, Samsung) – tous tentent aujourd’hui de concurrencer les banques dans le domaine du trafic des paiements. Pour les banques, le défi se révèle de taille, car une bonne partie d’entre elles ne pourra pas proposer simultanément toutes les solutions.

Pour des transactions uniformisées et sécurisées, les développeurs d’applications et les clients auraient besoin d’un protocole standard comme EBICS ou FinTS. De tels standards sont déjà bien établis dans les autres environnements de transactions, les formats ISO 20022 et SEPA permettant de joindre immédiatement quelque 400 millions de détenteurs de compte en Europe. Parmi les premières adaptations des standards aux paiements mobiles figure la solution Jiffy de SIA Italie, entièrement basée sur SEPA.

Pour les consommateurs et les banques, cette approche présente l’avantage qu’aucun tiers ne vient augmenter les coûts de transaction, comme c’est le cas avec les paiements par carte de crédit – et encore davantage avec ApplePay. Elle permettrait aux institutions financières de reconquérir le marché. Des organisations comme l’European Payments Council (EPC) pourraient se charger de l’introduction et du développement d’un tel standard en Europe.

Il peut sembler présomptueux de qualifier EBICS de standard envisageable dans le domaine des paiements mobiles, son protocole ayant avant tout été développé pour des traitements asynchrones. Cependant, mes collègues blogueurs ont déjà eu l’occasion d’évoquer le potentiel d’extension que recèle EBICS en la matière: les interactions devraient en effet avoir lieu en temps réel et chaque transaction individuelle nécessiterait un retour synchrone. Cette approche paraîtra peut-être plus raisonnable dans un avenir proche, lorsque le «realtime clearing» se sera propagé dans toute l’Europe. Je me réjouis d’ores et déjà de vos réactions.