Speaker #0Beaucoup de gens pensent que PCI DSS protège ton IBAN, et pourtant c'est faux, c'est hors scope. En Belgique ton IBAN est sur ta carte de débit, aux Pays-Bas aussi, en France non. Mais une seule réalité, l'IBAN n'est pas considéré comme une donnée secrète au même niveau qu'un numéro de carte. Et c'est là que le problème commence. Parce que quand une entreprise se dit « on est PCI DSS compliant » , toi ce que tu entends c'est « tes données bancaires sont protégées, toutes tes données bancaires » . Mais en réalité PCI DSS protège les données de carte, le numéro de carte. Le pan, les transactions CB, pas ton IBAN ? Et ça, très peu de gens le comprennent. Le vrai danger, c'est pas la norme. C'est la mauvaise compréhension de la norme. Ah mais, on ne me dit jamais rien à moi. Parce qu'un IBAN tout seul, c'est pas grand chose. Donc tu pourrais me dire, mais avec quoi tu viens à Fab ? Ben justement, comment tu dois traiter ton propre IBAN ? Comment tu dois le traiter si t'es amené à le gérer pour un client ? Et quelques recommandations et bonnes pratiques. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001, mais sans t'endormir. Je suis Fabrice De Paepe et aujourd'hui je te parle de pourquoi et comment tu dois faire gaffe à ton IBAN ou à l'IBAN des autres. Oublie pas de liker, partager et discuter de cela avec toute personne de ta famille qui est en âge d'avoir une carte de débit dans la poche. Parlons aussi à ton DPO, je te mets un peu sur la piste. laisse le sonder dans ton entreprise pour voir si tu as des IBAN clients ou personnels à un moment T. D'abord, pourquoi cet épisode ? En fait, il y a eu encore une fuite de données ce mois-ci, où les IBAN ont été exposées. Je ne suis pas certain que les données étaient fit for purpose, d'ailleurs, ou que les data minimization aient été appliquées correctement. Et à mon avis, elles étaient loin d'être basiques également. Donc si tu es passionné de steganographie, ce passage était pour toi. Eh bien, si tu pensais que PCI DSS protégeait ton IBAN, c'est mort déjà. PCI DSS, c'est le standard de payment card industry, Data Security Standard. Celui qui nous donne une confiance presque aveugle sur tous nos paiements en ligne et carte de crédit. On a fait un épisode dessus avec Lionel Ganjdi. Et un IBAN, c'est quoi ? En fait, c'est ton identifiant bancaire que tu as utilisé pour payer un abonnement ou un service. Jusque là, tu survis. Par contre, combiné avec ton nom, ton email, un contexte ou une autre fuite de données sur le dark web ou ailleurs, cela peut devenir très gênant. Car ton IBAN devient exploitable. Et c'est comme ça que commencent les fraudes, les faux prélèvements, les fiches incrédibles. Donc non, PCI DSS ne va pas sauver ton IBAN, il s'en fiche. Et ça ne veut pas dire que PCI DSS est inutile, ça veut dire que tu dois comprendre ce qu'il protège, et surtout ce qu'il ne protège pas. Parce que la sécurité, ce n'est pas cocher une norme, c'est comprendre le périmètre. Et aujourd'hui ? Trop de gens confondent les deux. Et c'est là que commencent les problèmes. Bon, dans cette partie, je vais te rappeler quelques conseils de la CNIL et pourquoi tu dois quand même faire gaffe à ton IBAN. Surveille d'abord régulièrement ton compte bancaire pour détecter tout prélèvement suspect. Et en même temps, si tu fais un audit de temps en temps, tu pourras en plus couper dans des dépenses inutiles. Contacte ta banque ASAP. Donc, est-ce ou n'est-ce possible si tu vois un prélèvement non autorisé et exige alors un remboursement ? Tu peux également mettre en place une liste de créanciers autorisés. Autorisés à quoi ? Bah, à débiter ton compte, via ta mobile app préférée, par exemple. Cela veut dire que tu devras le faire pour tout nouveau créancier. Mais c'est ton risque, pas le mien. D'ailleurs, moi, je les revois une fois par trimestre, j'ai un rappel. Et ceux avec qui je ne bosse plus, je les zappe. Ça réduit mon exposition. Demande également à ton banquier d'exiger une validation via l'application mobile pour chaque nouveau mandat de prélèvement. Ouais, je sais, c'est chiant. Aussi, ne donne jamais ta carte à ton épouse. Ou à ton mari. Ouf, je me suis rattrapé. C'était moins une. Non, il n'est pas de la CNIL, évidemment, celui-là. Mais je te parle des conseils, et j'en ai oublié le principal. Celui de Simon Sinek. Start with why. Commence toujours pourquoi. Donc pourquoi tu dois faire gaffe avec ton IBAN ? Bah en fait, c'est ton identifiant. En Belgique, on a fait très fort. On est le pays du surréalisme. Pas que de Magritte d'ailleurs, on a également Benoît Poelvoorde et François Damiens, je te rappelle. Donc nous, pauvres RSSI que nous sommes, on dit qu'il ne faut pas mettre Tes mots de passe sur les post-it, mais nos banques belges mettent l'Iban sur notre carte de banque. Weak authentication quand on nous tient. Donc l'Iban peut, dans certains cas, permettre à un pirate d'émettre des ordres de prélèvement illégitimes qui ciblent les Ibans obtenus frauduleusement. Le pirate peut tout aussi bien usurper l'Iban d'une autre personne en le communiquant lors de la création d'un mandat prélèvement. dans le cadre d'une souscription de service. Certains sont bien sécurisés. D'autres s'en fichent, car c'est pas PCI-DSS, donc ils n'ont pas d'obligation. Merci, il y en a un qui suit. Et là aussi j'ai envie de dire, ça dépend. Et en plus, l'Iban, on doit le mettre sur les factures, et parfois sur les sites web, donc on pourrait dire que c'est SAFE, par l'absurde, puisqu'on l'expose. Et qu'il est prévu pour être partagé avec le débiteur, quoi qu'il en soit. On peut toujours contrefaire une domiciliation, c'est de plus en plus compliqué, et il faut alors forger des signatures. et avoir des infos personnelles supplémentaires. Donc oui, un IBAN peut permettre d'envoyer de l'argent. Mais attention, au travers du mandat SEPA et de son système de débit direct, c'est possible pour une société de te charger. Ok, ils ont besoin d'un mandat qui peut être frauduleux, mais tu as 13 mois, d'après ce que j'ai lu, pour contester. Donc fais quand même ta revue d'accès une fois par an, comme en ISO 27001, au minimum une fois par an d'ailleurs, et tous les deux mois selon ton comportement, à risque ou pas. Car... Tu as en général deux mois pour demander un remboursement à ta banque. Bon, revenons sur Terre, cette fraude-là, elle existe, mais elle est rare. Mais tous les sites web et tous les réseaux ne sont pas aussi sécures qu'on voudrait nous le faire croire. Je te parie que dans certains pays, voire des sites ou des régions, un peu plus loin de la Banque mondiale, on peut te charger juste avec ton IBAN, une adresse et un nom, sans MFA ou d'autres vérifications. Tu sais les données qu'ils ont déjà tous sur nous, en fait, sur le Dark Web. L'Iban de ton livret, par contre, il est safe. Car la loi interdit d'envoyer de l'argent direct sur le livret ou du livret direct vers un autre compte. Il doit toujours passer par ton compte. Donc la chose dont on vient de parler au niveau fraude, ça me paraît un peu plus compliqué. Ça existe, mais c'est vraiment compliqué. Par contre, reste là. Parce que ce qui suit, on va s'en servir pour d'autres choses. Ils vont faire du phishing ultra crédible. et c'est le plus courant aujourd'hui et facile à faire. Puisque l'attaquant connaît ton IBAN et connaît ton fournisseur d'énergie éventuellement, il t'envoie un email ou un texto, SMS, RCS, réaliste, pour te faire donner encore plus de données sur ta carte bancaire, sur ton one-time password, etc. Il a l'autorité, puisqu'il a ton IBAN, non ? Et en entreprise, un IBAN, je le classe comme confidentiel. Pas parce que RGPD l'impose directement, mais parce que c'est une donnée personnelle à impact financier, souvent combinée avec d'autres infos. Donc c'est simple, même niveau de protection côté données RH ou client. Et si ça fuite ? Ben c'est un data breach RGPD, et dans certains cas ça peut devenir un incident NIS2, si l'impact dépasse le simple cas individuel. Et aussi au moment où j'ai eu l'idée d'écrire ce podcast, pour ce vendredi, J'ai eu une conversation avec un de mes coma breakers qui m'a expliqué que son épouse allait divulguer son IBAN par téléphone. Suite à une transaction, son épouse demande un remboursement, elle fait tout de son côté, et là il entend au téléphone « Mais vous avez mon IBAN » « Et là, la copie de ma carte de banque également » Il a fait un bond de sa chaise. Quoi ? Il y avait le code CVC, et l'autre personne au bout du fil demandait expressément la date de validité. Il a annulé et demandé un mandat SEPA. Good move. Rien à voir avec le plan de mobilité bruxellois ici. Donc ce que je veux que tu retiennes, il y a forcément des prélèvements, c'est pas frauduleux. C'est le seul vrai risque technique. Un attaquant peut tenter de créer un faux mandat de prélèvement et débiter ton compte sans ton accord. Même si en théorie, il faut une autorisation. En pratique, les contrôles sont parfois faibles. Deuxièmement, ça va rendre le phishing ultra crédible. C'est le plus courant aujourd'hui, l'attaquant connaît ton IBAN. Il connaît ton fournisseur, telco, énergie, que sais-je, et là, il va t'envoyer un email ou un SMS hyper réaliste. Pour te faire donner quoi ? Beaucoup plus d'infos. Et donc t'attaquer. Et j'ai glissé les mots « coma breakers » . Si tu me découvres par cet épisode, peut-être que tu ne sais pas encore c'est quoi un coma breaker. Un coma breaker, c'est quelqu'un qui refuse la conformité endormie, refuse les checklists sans réflexion, refuse de réciter sans comprendre, C'est quelqu'un qui comprend avant d'appliquer, challenge les évidences, relie la norme ou les normes au réel, et parle aux humains, pas aux frameworks. En opposition, il casse le bullshit des certifications, seul. Le théâtre de l'audit également, les politiques écrites pour rien. On ne suit pas la conformité, on la comprend. Que veux-tu ? Les autres ont des communautés, moi j'ai des coma breakers. Et un jour, peut-être qu'on se croisera sur scène ou dans la salle. T'es encore là ? Alors tu es probablement déjà un comma breaker. Si tu as apprécié, n'hésite pas à commenter, partager, mais t'abonner surtout, et partage les bonnes pratiques avec ta famille et ton DRH, qui a ton IBAN. Je te dis déjà vendredi prochain pour un nouvel épisode de Compliance Without Coma.
