Connect with us

Technologie

L’anonymat des dénonciateurs du NHS à la merci de l’insuffisance des politiques et des processus informatiques de confiance

Published

on


Les dénonciateurs du NHS risquent d’être évincés et persécutés par la suite parce que les systèmes et les politiques informatiques des fiducies du NHS ne protègent pas leur identité après avoir soulevé des préoccupations.

Il existe des preuves fondées sur le tribunal de dénonciateurs qui ont été persécutés dans des fiducies du NHS. À moins que l’anonymat ne puisse être garanti, beaucoup hésiteront à faire part de leurs préoccupations, qui peuvent parfois être une question de vie ou de mort.

Le NHS a une politique interne pour protéger le personnel qui ont des préoccupations, connu sous le nom NHS Freedom to Speak Up (FTSU), qui a été introduit 2016. Mais les identités des dénonciateurs sont souvent stockées dans les fichiers Word et Excel sur les ordinateurs de confiance NHS, les laissant ouverts à l’espionnage par les cadres supérieurs.

Toutes les fiducies du NHS et de la fondation ont un tuteur ftsu en poste, travaillant à la direction du Bureau du Guardian national (ONG). Les tuteurs de l’UFTS sont des personnes au sein de fiducies avec lesquelle les dénonciateurs peuvent soulever des préoccupations. Ces tuteurs s’inquiètent d’une enquête et tiennent le dénonciateur informé. À aucun moment le tuteur ne révélera le nom du dénonciateur.

Mais un ancien tuteur du FTSU, qui a traité des centaines de cas sur quelques années à une fiducie NHS, a déclaré à Computer Weekly: « Il n’y a rien d’arrêter les cadres dans de nombreuses fiducies NHS regarder les fichiers informatiques sur les cas. »

Il a dit à la fiducie où il travaillait, les informations ftsu a été stocké dans un fichier protégé par mot de passe sur un lecteur partagé, à laquelle un cadre supérieur avait été donné accès. « Lorsque j’étais tuteur, un cadre supérieur faisait l’objet d’une enquête par l’entremise du FTSU. J’ai découvert qu’elle avait contacté le service informatique pour avoir accès aux dossiers Freedom to Speak Up et qu’elle avait eu accès aux dossiers d’enquête à son sujet.

Lorsque le tuteur a soulevé des préoccupations au sujet de l’accès à l’information par l’exécutif, il a été suspendu après qu’une contre-allégation a été faite contre lui.

La haute direction n’a pas été réprimandée.

Un autre tuteur du FTSU, actuellement en poste dans une fiducie qui stocke l’information dans un fichier protégé par mot de passe sur un disque partagé, a déclaré que si un cadre supérieur de la fiducie devait approcher un membre subalterne du personnel informatique pour y avoir accès, elle doutait qu’ils soient refusés.

Sécurité en mauvaise santé

Computer Weekly a parlé du nombre de sources bien placées au sujet de la politique ftsu. Les contacts, qui ont souhaité garder l’anonymat, ont raconté des histoires de gestion de l’accès faible et de sécurité technologique lorsqu’il s’agissait d’informations faites aux tuteurs du FTSU, y compris l’identité de ceux qui se présentent.

« Le problème est que beaucoup stockent ces informations sur des feuilles de calcul et dans des documents Word auxquels les personnes au sein des fiducies peuvent accéder », a déclaré un professionnel de l’informatique ayant une connaissance détaillée de la politique ftsu.

Les pénuries d’équipement de protection individuelle, mises en évidence par le personnel du NHS au plus fort de la pandémie de Covid-19, nous rappellent pourquoi la dénonciation de la confiance est essentielle. Les problèmes non signalés dans le NHS peuvent conduire à une inaction dangereuse.

NHS FTSU a suivi les recommandations de Robert Francis QC dans son 2015 Liberté de s’exprimer Rapport. Cela faisait suite à une enquête qui a examiné les causes des défaillances dans les soins au Mid Staffordshire NHS Foundation Trust entre 2005 et 2009, où il y avait un taux de mortalité élevé chez les patients admis en cas d’urgence. Un rapport de la commission des soins de santé a critiqué la direction de la fiducie, détaillant les conditions épouvantables et les insuffisances à l’hôpital.

L’enquête Francis a examiné les raisons pour lesquelles le personnel du NHS ne ferait pas prendre conscience aux fiducies des problèmes qui pourraient menacer la sécurité des patients. « Il y a des rapports troublants sur ce qui arrive à ceux qui soulèvent des préoccupations. Pourtant, l’absence de discours peut coûter des vies », a déclaré l’introduction du rapport.

Le FTSU est décrit par NHS Improvement, l’organisation qui réglemente les fiducies du NHS en Angleterre, comme « une politique nationale intégrée de dénonciation qui aidera à normaliser la façon dont les organisations du NHS devraient soutenir le personnel qui soulève des préoccupations ».

Plus de 35 000 personnes se sont manifestées par l’entremise de l’ESFT au cours des trois dernières années, certains soulignant de graves problèmes de sécurité. Selon le Bureau du Guardian national, environ un tiers concernait la sécurité des patients et 45 % concernaient l’intimidation du personnel. Pour toute la dénonciation externe à la FTSU, il y aura beaucoup plus de préoccupations soulevées à l’interne.

La confiance est primordiale

Le succès d’une politique comme celle-ci exige la confiance dans le système. Une enquête de la FTSU menée en 2015 auprès de 15 000 employés du NHS a révélé que 36,6 % des employés de l’employeur utilisaient globalement la procédure de leur employeur pour signaler les préoccupations. Environ 20 % de ceux qui n’ont jamais Préoccupation a dit que c’était parce qu’ils ne faisaient pas confiance au système, et près de 15% ont dit que c’était parce qu’ils craignaient la victimisation.

Une bonne politique de dénonciation est essentielle pour le service de santé, mais la technologie qui le sous-tend doit garantir la vie privée du personnel si d’autres sont à soulever des préoccupations.

Les fiducies du NHS reçoivent des conseils sur la protection de l’identité des personnes qui présentent des préoccupations, mais les fiducies sont laissées pour décider de la façon dont elles respectent les directives, y compris la façon dont elles stockent l’information.

Une demande d’accès à l’information adressée à l’Epsom et à St Helier University Hospitals NHS Trust l’année dernière par l’ancien psychiatre consultant du NHS Minh Alexander, qui milite pour la protection des dénonciateurs, a révélé que les données Freedom to Speak Up sont stockées dans des feuilles de calcul Excel et des documents Word dans une campagne de confiance ainsi que dans une boîte de réception dédiée.

« ans le NHS, avec un effectif de 1,3 million et des milliers de préoccupations du personnel soulevées chaque jour sur la prise en charge de la confidentialité, il est horrible de penser que certains gestionnaires pourraient être fouiner comme Big Brother sur les divulgations de leur personnel »

Minh Alexander, ancien psychiatre consultant du NHS

La fiducie a déclaré qu’il n’était pas possible pour les personnes non autorisées d’accéder aux données de l’affaire Freedom to Speak Up si elles choisissent de ne pas suivre la politique de confiance. « Seul le personnel autorisé peut accéder à ces dossiers – les deux gardiens de freedom to speak up et un avocat de Freedom to Speak Up », a-t-il déclaré.

Alexander a récemment lancé une pétition au Parlement demandant des changements à la législation britannique « pour protéger les dénonciateurs et le public ».

La Loi de 1998 sur la divulgation de l’intérêt public (PIDA) est la loi visant à protéger les dénonciateurs contre les mauvais traitements de leur employeur. La pétition appelle le gouvernement à  » … réformer la loi sur la dénonciation pour : exiger que les divulgations soient appliquées et que les dénonciateurs soient protégés, avec des sanctions pénales et civiles pour les organisations et les individus qui ne le font pas; créer un organe parlementaire indépendant sur la dénonciation; et fournir un accès facile à la réparation ».

Les modifications apportées à la loi doivent s’accompagner de modifications apportées aux systèmes informatiques et aux politiques d’accès, a ajouté M. Alexander. Elle a déclaré que le fait que les cadres de la fiducie du NHS puissent accéder aux données « e tourne totalement en dérision tout statut théorique protégé en vertu de la loi et rend le personnel du NHS extrêmement vulnérabl ».

« La confidentialité des dénonciateurs, et dans certains cas l’anonymat, est d’une importance cruciale pour leur protection et, par conséquent, dans l’intérêt public », a déclaré M. Alexander.

« Les systèmes informatiques non sécurisés qui sont ouverts à l’abus des données personnelles des dénonciateurs et les détails de leurs divulgations, ou qui sont même conçus en raison d’abus, sont très dangereux. Ils représentent une menace pour une enquête efficace sur des actes répréhensibles, augmentent le risque que des preuves soient détruites malhonnêtement et donnent aux employeurs violents plus de possibilités de réduire au silence et de victimiser les dénonciateurs.

« Dans le NHS, avec un effectif de 1,3 million d’employés et des milliers de préoccupations du personnel soulevées quotidiennement sur l’hypothèse de la confidentialité, il est horrible de penser que certains gestionnaires pourraient fouiner comme Big Brother sur les divulgations de leur personnel. »

Le Bureau du Guardian national, qui fournit des conseils ftsu, conseille que les cas doivent être enregistrés en conformité avec les données locales, la gestion de l’information et les politiques de sécurité.

La façon dont les fiducies sont en mesure de garder les renseignements confidentiels est une question à régler. L’ONG n’a pas d’autre pouvoir que de dire aux fiducies comment elles doivent faire les choses.

Henrietta Hughes, gardienne nationale du NHS, qui dirige le Bureau du National Guardian, a déclaré : « Les directives que j’ai publiées montrent très clairement que la prise de parole des cas doit être enregistrée de manière cohérente et systématique; dans le respect de la confidentialité; et en conformité avec la gestion locale des données et de l’information, et les politiques de sécurité.

« En plus des questions de protection des données qui découleraient de toute autre personne que le tuteur qui accède à l’information transmise en toute confidentialité, une telle mesure porterait également atteinte fondamentalement à l’indépendance du rôle de gardien qui est un élément essentiel de leur travail pour aider à faire de la prise de parole comme d’habitude dans le NHS. »

Computer Weekly a demandé à NHS Improvement s’il y avait des processus en place, par écrit, pour empêcher les cadres de fiducie du NHS d’accéder aux fichiers Freedom to Speak Up, et quelles mesures disciplinaires seraient prises contre un cadre de fiducie du NHS qui a obtenu l’accès à un fichier Freedom to Speak Up.

L’organisme de réglementation du NHS a déclaré : « L’amélioration ouverte des soins et des pratiques de travail est bonne pour les patients et est bonne pour le personnel, c’est pourquoi tous les directeurs exécutifs du NHS et leurs équipes ont la responsabilité de créer une culture sûre et un environnement dans lequel les travailleurs sont en mesure de mettre en évidence les problèmes.

« e plus en favorisant une culture d’apprentissage favorable, chaque membre du personnel du NHS devrait chercher à faire des suggestions d’amélioration telles qu’elles sont énoncées dans nos directives Freedom to Speak Up, élaborées conjointement avec le Bureau du Guardian national, ainsi que pour suivre toutes les exigences en matière de protection des données.

Technologie habilitante de l’anonymat

Si les fiducies du NHS doivent accroître la confiance des dénonciateurs, il existe des options technologiques et de processus.

Alexei Balaganski, analyste principal chez KuppingerCole Analysts, a déclaré que la sécurisation des politiques des lanceurs d’alerte doit commencer par un moyen de permettre des communications sécurisées et anonymes entre les dénonciateurs et leurs tuteurs.

« déalement, il doit être un outil qui est crypté de bout en bout, ne laisse aucune piste et offre des fonctions d’anonymisation supplémentaires. De toute évidence, il ne devrait pas s’agir d’un courriel ou d’un partage quelconque de documents Office, puisque ceux-ci révèlent trop de métadonnées sur l’expéditeur », a-t-il dit. « Ien ne doit être stocké sur place, ni sur l’ordinateur du gardien ni sur un serveur de fichiers géré par l’entreprise »

« À tout le moins, les gens devraient envisager de chiffrer toutes leurs données sensibles à l’aide d’outils qui ne sont pas régis par des politiques d’accès aux entreprises »

Alexei Balaganski, Analystes kuppingerCole

Il a dit qu’il y avait une sélection de plates-formes de dénonciation comme un service sur le marché aujourd’hui. « Mais si ce n’est pas une option, à tout le moins, les gens devraient envisager de chiffrer toutes leurs données sensibles à l’aide d’outils qui ne sont pas régis par des politiques d’accès aux entreprises. »

Mais Balaganski a ajouté que les outils de sécurité ne valent rien lorsqu’il n’y a pas de politiques organisationnelles et de flux de travail établis. « Il est également important de se rappeler que les administrateurs de l’entreprise seraient en mesure d’accéder à un ordinateur géré par l’entreprise à distance et de copier les fichiers actuellement ouverts. Ainsi, encore une fois, les outils seuls sans formation et sensibilisation adéquates peuvent être insuffisamment fiables.

Par exemple, les mots de passe peuvent être glanés grâce à des techniques d’ingénierie sociale par des gestionnaires utilisant leur ancienneté pour tenter d’y accéder.

L’ancien tuteur du FTSU a déclaré à Computer Weekly qu’il y a trois ans, il avait reçu une formation d’un jour pour devenir tuteur et qu’il ne s’en souvenait pas, y compris les détails sur le stockage électronique ou la transmission d’informations.

Renforcer la confiance du personnel du NHS pour faire part de ses préoccupations est un défi à multiples facettes, la technologie ayant une dimension essentielle, mais les choses ne sont pas facilitées par une feuille de route ternie.

Selon l’enquête nationale du personnel du NHS 2019, le NHS est en proie à l’intimidation, et le personnel est réticent à le signaler. Dans le sondage de 2019, environ 65 000 employés de toutes les fiducies ont déclaré avoir été victimes d’une forme quelconque de harcèlement, d’intimidation ou d’abus de la part d’un gestionnaire, et plus de 97 000 ont déclaré avoir été harcelés, intimidés ou maltraités par d’autres collègues – mais seulement 43 % des cas ont été signalés. L’échantillon était de 540 000, sur un total d’un peu plus d’un million d’employés.

Traitement injuste des dénonciateurs

Il existe également des exemples bien documentés de dénonciateurs persécutés après s’être manifestés, y compris d’être congédiés injustement. Les fiducies du NHS ont été portées devant les tribunaux en vertu de la PIDA, mais pas avant que la vie des dénonciateurs ne soit bouleversée.

En 2016, Linda Fairhall, infirmière du NHS, a été suspendue après 40 ans après avoir soulevé des préoccupations au sujet de problèmes de dotation sécuritaires au North Tees and Hartlepool NHS Trust, où elle travaillait depuis 1979.

Elle a été suspendue puis licenciée après avoir tenté d’entamer un processus de dénonciation. Fairhall a contesté avec succès la décision de son employeur de la congédier, mais l’impact de l’épreuve l’a laissée incapable de travailler. Selon un Teeside Live rapport, un comité du tribunal a noté la proximité entre le début de son processus de dénonciation et sa suspension.

En 2015, Andrew Smith, représentant syndical et infirmier, a été congédié par le Mid Essex Hospital NHS Trust après avoir soulevé des préoccupations. Un tribunal a conclu qu’il avait été injustement rejeté de la fiducie pour dénonciation.

En 2011, Kevin Beatt, cardiologue aux Services de santé croydon, a été congédié après avoir dénoncé des équipements dangereux. Il a obtenu un tribunal de l’emploi et a finalement reçu une indemnité de 870 000 euros. Il n’a pas obtenu le statut de dénonciateur protégé et a plutôt été congédié pour ce que la fiducie prétendait être des « allégations non fondées et non prouvées d’un service dangereux » équivalant à une faute grave.


• Lire la pétition visant à accroître la protection juridique des dénonciateurs •

Continue Reading
Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Technologie

SonicWall corrige 11 vulnérabilités de pare-feu

Published

on


Le constructeur de pare-feu SonicWall a corrigé un total de 11 vulnérabilités et expositions communes (CVE) divulguées dans son système d’exploitation SonicOS par des chercheurs de Positive Technologies, dont l’un s’est vu attribuer un score CVSS critique de 9,4.

La vulnérabilité la plus grave, CVE-2020-5135, est une vulnérabilité de débordement tampon dans SonicOS Gen 6, versions 6.5.4.7, 6.5.1.12, 6.0.5.3 et SonicOSv 6.5.4.v. Il pourrait être utilisé contre les produits affectés par des acteurs malveillants pour provoquer le déni de service (DoS) et exécuter du code arbitraire.

« La solution testée utilise un service d’accès à distance SSL-VPN sur les pare-feu, et les utilisateurs peuvent être déconnectés des réseaux internes et de leurs postes de travail en cas d’attaque DoS », a déclaré Nikita Abramov, chercheur chez Positive Technologies, qui a travaillé sur la divulgation aux côtés de Craig Young de Tripwire.

« Si les attaquants parviennent à exécuter du code arbitraire, ils peuvent être en mesure de développer une attaque et de pénétrer les réseaux internes de l’entreprise », a déclaré M. Abramov.

Une deuxième vulnérabilité, CVE-2020-5133, a été notée 8.2 sur la matrice CVSS, et pourrait permettre à un attaquant distant et non authenté de provoquer des attaques DoS en raison d’un débordement de mémoire tampon, conduisant à un crash pare-feu. D’autres défaillances dans SonicOS pourraient également être causées par l’exploitation réussie des CVE 2020-5137, 5138, 5139 et 5140, tous exploitables à distance, et les CVE 2020-5134 et 5136, qui sont moins sévères que de les exploiter nécessiteraient l’authentification.

D’autres vulnérabilités détectées, selon Positive Technologies, incluent CVE-2020-5141, qui pourrait permettre à un attaquant distant et non authentisé de forcer brutalement une identité de billet d’assistance virtuelle dans le service SSL-VPN ; CVE-2020-5142, une vulnérabilité de script inter-sites (XSS) qui permet à un attaquant distant et non authentint d’exécuter du code JavaScript arbitraire dans le portail SSL-VPN pare-feu ; et CVE-2020-5143, qui existe dans la page de connexion SonicOS SSL-VPN et qui pourrait permettre à un attaquant distant et non auuthnisé d’effectuer l’énumération du nom d’utilisateur de l’administrateur de gestion du pare-feu en fonction des réponses du serveur.

SonicWall, qui est derrière un cinquième des appareils de sécurité de passerelle selon les statistiques IDC, a déclaré qu’il n’était pas au courant de l’une des vulnérabilités traitées ayant été exploitées de manière proactive par les cybercriminels jusqu’à présent.

Tout client utilisant un produit impacté est conseillé de mettre à niveau son firmware – un contrat de support valide n’est pas tenu de le faire.

SonicWall a déclaré à Computer Weekly qu’il maintient les normes les plus élevées pour assurer l’intégrité de ses produits, solutions, services, technologie et toute propriété intellectuelle connexe et, en tant que telle, prend chaque divulgation ou découverte très au sérieux.

« C’est la meilleure pratique pour la collaboration fournisseur-chercheur dans l’ère moderne », a déclaré Aria Eslambolchizadeh, responsable de l’ingénierie de la qualité chez SonicWall.

« Ces types de relations ouvertes et transparentes protègent l’intégrité du paysage en ligne et assurent une meilleure protection contre les menaces avancées et les vulnérabilités émergentes avant qu’elles n’aient un impact sur les utilisateurs finaux, comme ce fut le cas ici. »

La liste complète des vulnérabilités divulguées est disponible auprès de SonicWall, ainsi que des instructions et des conseils sur la façon de mettre à jour les produits à risque.

Continue Reading

Technologie

Les organismes de bienfaisance mis en garde contre les cybercriminels « Robin des Bois »

Published

on


Les organismes de bienfaisance, les organismes sans but lucratif et les organisations connexes devraient être sur leurs gardes contre un nouveau développement dans le monde de la cybercriminalité qui a des experts en sécurité perplexe et les experts juridiques alarmés – le don d’argent extorqué de victimes ransomware à la charité.

D’abord rapporté par la BBC, la tactique a été adoptée par un groupe de ransomware relativement nouveau connu sous le nom DarkSide, l’un d’un nombre croissant de groupes de plus en plus sophistiqués et professionnalisés cybercriminalité qui prennent une approche commerciale au jeu ransomware.

DarkSide, lors de son émergence au début de 2020, est allé jusqu’à produire un communiqué de presse réel révélant comment il analyse soigneusement les finances de ses cibles avant une attaque, et fait un point de ne jamais attaquer les organisations médicales, les organismes à but non lucratif ou les organismes gouvernementaux.

Maintenant, le groupe a pris la décision de « donner quelque chose en retour » et dans un billet de blog fait le 13 Octobre, a déclaré qu’il était « seulement juste » que certains de l’argent qu’il a extorqué devrait aller à la charité. Elle a effectué deux paiements de 0,88 bitcoin, soit 10 000 $, à deux organismes de bienfaisance basés aux États-Unis, Children International dans le Missouri et The Water Project dans le New Hampshire, par l’intermédiaire de The Giving Block, une entité créée spécifiquement pour gérer les dons de crypto-monnaie à des œuvres caritatives. Le groupe DarkSide a également affiché des reçus d’impôt pour les dons.

Selon les premiers rapports, Children International a déclaré qu’il n’a pas l’intention de garder l’argent, tandis que the Giving Block a déjà commencé une enquête sur l’endroit où les fonds provenaient et comment les retourner.

Mais quelles sont les ramifications pour les organisations qui pourraient se trouver sur la fin de réception d’un tel don? Pour Judy Krieg, associée au cabinet d’avocats Fieldfisher, ce n’est pas une question délicate. « En bref, la réponse est : ne le faites pas », a-t-elle déclaré à Computer Weekly.

En vertu de la loi, techniquement parlant, l’acceptation des paiements ransomware sous quelque forme que ce soit constituerait un blanchiment d’argent.

L’argent extorqué par des attaques ransomware devient des produits de la criminalité, qui est également connu sous le nom de biens criminels. Par conséquent, a déclaré Krieg, en vertu de l’article 329 de la Loi de 2002 sur les produits de la criminalité du Royaume-Uni, la principale loi britannique sur le blanchiment d’argent, une organisation ou une personne qui acquiert, utilise ou possède des biens criminels commet une infraction.

Dilemme moral

Même si la loi est très claire sur le profit de la cybercriminalité, Javvad Malik, défenseur de la sensibilisation à la sécurité à KnowBe4, dit que de tels actes de philanthropie supposée aurait encore présenté les bénéficiaires avec un dilemme moral, bien que celui qui devrait être facile à surmonter.

« Il ne faut pas regarder au-delà du fait que l’argent a été obtenu illégalement par le biais d’actions criminelles et qu’aucun montant de contributions de bienfaisance ne peut effacer cela », a déclaré Malik.

« haque fois qu’une organisation est extorquée par ransomware ou d’autres moyens, que l’argent a un impact sur les individus réels. Beaucoup de gens ont perdu leur emploi au fil des ans, il ya eu des organisations qui ont cessé d’exister, et il ya même eu quelques discussions récemment sur le rôle que ransomware a dû jouer dans la mort malheureuse d’un patient transporté dans un autre hôpital.

« Les criminels doivent comprendre qu’il y a un impact très réel de leurs actions, et le simple fait de donner un montant à des organismes de bienfaisance ne peut compenser cela. »

Relations publiques

Kelvin Murray, un chercheur principal sur la menace à Carbonite Webroot, a déclaré que les dons semblaient être en ligne avec une tendance croissante parmi les opérateurs ransomware pour essayer de blanchir leur image.

« Nous l’avons vu avec le gang Maze, entre autres, où, tout au long de la pandémie de Covid-19, ils nous ont constamment rappelé qu’ils n’ont pas ciblé les hôpitaux par souci moral », a-t-il dit.

« Cela coïncide également avec leur tactique relativement nouvelle consistant à voler des données à leurs victimes et à les publier publiquement sur des sites Web. Ces grands gangs font également beaucoup d’affichage public sur le dark web comme ils courtisent les clients et forment des alliances d’affaires.

« J’imagine que les relations publiques sont plus préoccupantes pour eux maintenant, parce qu’ils comptent davantage sur la publicité et la bonne foi de leurs parties prenantes et de leurs victimes pour que leurs tactiques d’extorsion soient couronnées de succès. »

Comparitech.com spécialiste de la sécurité Brian Higgins prend une ligne similaire. « Je doute que ce soit autre chose que la recherche d’attention de la part du groupe DarkSide », a-t-il déclaré.

« Tout d’abord, 10 000 $ est une somme dérisoire par rapport aux énormes sommes d’argent qu’ils ont extorquées à leurs victimes, donc ce n’est guère un grand geste philanthropique, et deuxièmement, aucun organisme de bienfaisance crédible n’acceptera jamais des dons qui sont manifestement le produit de la criminalité. »

Selon Higgins, il reste un minuscule possibIl est que, en faisant ces dons, DarkSide testait les eaux pour essayer de blanchir le produit de ses entreprises, mais il a dit qu’il est plus probable que les criminels ont juste trop de temps sur leurs mains, sans parler de « trop » d’argent volé frapper. Il ya, après tout, une limite au nombre de Lamborghini on peut afficher en évidence sur Instagram sans attirer l’attention.

« S’ils étaient vraiment sérieux au sujet de « faire du monde un meilleur endroit », ils vendraient tous leurs ordinateurs portables et resteraient hors de l’Internet, » a dit Higgins.



Continue Reading

Technologie

De la conformité à l’ouverture bancaire en passant par la finance intégrée – tout cela grâce aux API

Published

on


Les banques, les assurances et la finance ont toujours été fortement centralisées dans leur hiérarchie, leurs modèles d’affaires et leurs systèmes d’information. Mais à l’ère numérique, ces industries nécessitent des modifications et de l’innovation.

Avec l’explosion des canaux et des applications numériques, les générations modernes ne visitent plus leur succursale bancaire locale pour leurs besoins financiers. Ils veulent avoir accès aux services bancaires non pas là où se trouvent les banques, mais où ils sont. C’est à la banque de s’adapter aux trajets clients modernes et multicanals.

Cette nouvelle demande, combinée à l’émergence de technologies logicielles innovantes, crée une nouvelle forme de financement qui est intégrée par des interfaces de programmation d’applications (API) qui permettent à vos services bancaires et vos données de se retrouver sur des applications tierces.

Les dirigeants bancaires qui n’obtiennent pas le potentiel commercial créé par les API vont manquer le passage de la banque traditionnelle à la banque moderne et distribuée, ce qui représente un passage de 3,6 milliards de dollars à 7,2 milliards de dollars, selon Simon Torrance, conseiller financier au Forum économique mondial. La prochaine croissance du secteur bancaire sera-t-elle une croissance des banques ? Pas si sûr.

En 2010, les décideurs britanniques et européens ont créé des réglementations obligeant les banques à ouvrir des données et des services à des tiers en toute sécurité afin de favoriser l’innovation qui transformerait et créerait de meilleurs produits financiers pour les consommateurs. Cela a conduit à des investissements plus importants dans l’écosystème des fintech, car de nombreux entrepreneurs et investisseurs ont saisi l’occasion de revolutiser les banques avec le soutien de l’infrastructure actuelle en place, qui pourrait enfin être accessible et exploité par les startups.

Cette initiative, appelée open banking, a été repoussée au Royaume-Uni avec la réglementation Open Banking UK et en Europe continentale avec la directive 2 du service de paiement (PSD2). Certains chefs de file de l’industrie ont compris le potentiel commercial passionnant, mais beaucoup ont choisi de maintenir le statu quo en se concentrant simplement sur la conformité.

Ils ne pouvaient pas voir que, alors que la concurrence est maintenant sur le produit bancaire vs produit, il serait bientôt sur la plate-forme vs plate-forme, puis l’écosystème vs écosystème. Et comment devenir une plate-forme et un écosystème ? En étant intégré et intégré dans les applications et les expériences clients d’autres personnes.

Beaucoup d’entreprises regardent venir la vague de l’économie axée sur l’API, mais si elles ne sont pas prêtes à surfer – elle finira par les noyer.

Les logiciels mangent le monde bancaire

Les API permettent aux applications de connecter et d’échanger des données de manière programmable et automatisée. Par exemple, si vous souhaitez connecter plusieurs comptes bancaires en une seule application, l’application en coulisses doit se connecter aux API des différentes banques pour déclencher et agréger les données. Nous ne le voyons pas comme des utilisateurs, mais en fait les applications qui sont connectées à de nombreuses API font bouger les choses.

Et ces interfaces techniques ont d’énormes avantages commerciaux. Cela signifie que vous pouvez être intégré dans des applications tierces et conquérir des expériences client qui étaient auparavant hors de portée.

Grâce à ces interfaces, les banques et les assureurs peuvent exporter leurs services vers d’autres voyages clients et se retrouver non seulement sur leur propre application mobile, mais dans un trésor de plates-formes extérieures. Des applications pour des choses comme l’achat de véhicules ou les agences immobilières qui aident à faire des offres de location ou d’achat, les sites web de commerce électronique qui permettent aux consommateurs de payer à crédit au moment de l’achat et une multitude d’autres expériences client existent en dehors du monde bancaire, mais bénéficient énormément des services bancaires.

Pour cette raison, l’économie de la banque et de la finance embarquée est estimée à près de 7,2 milliards de dollars – soit plus du double du marché bancaire actuel. Cela a créé une opportunité monumentale pour les acteurs traditionnels et les fintechs.

L’apocalypse de l’API bancaire

Dans un contexte commercial, les API ne sont pas des interfaces techniques, ce sont des produits numériques prêts à être intégrés pour fournir et exporter des capacités permettant de nouvelles expériences bancaires clients.

Selon le rapport État trimestriel de l’API bancaire de la marquet 2020, nous avons plus de 200 banques avec une plate-forme d’API ouverte, représentant plus de 1 400 produits API disponibles, intégrables et intégrés dans d’autres applications de sociétés accréditées. Principalement poussée par la réglementation, la repartition des produits API est principalement l’information sur les comptes (31%), suivie par les paiements (25%), car ces deux types de produits API sont ceux exigés par les règlements Open Banking UK et PSD2.

Mark Boyd, auteur du rapport, dit: « es banques en Europe sont en train de passer aux exigences réglementaires et créent la « onfirmation des fonds’ API en plus de leurs exigences d’ouverture des paiements PSD2. Cela aide les banques à offrir une suite complète de traitement des paiements d’API à la fintech.

« Il est intéressant de noter qu’à la suite d’une tendance amorcée par Capital One aux États-Unis dès les premiers jours de l’exposition d’API ouvertes pour de nouvelles affaires, les banques ouvrent connaissance de votre client (KYC)/API d’identité. Les API de pré-approbation de notation de crédit et de prêt augmentent également en fréquence. Les banques ouvrent souvent des guichets automatiques et des produits bancaires API d’abord, car ceux-ci sont à faible risque. Dans des régions comme l’Australie et le Royaume-Uni, elles sont également obligatoires dans le cadre de la réglementation.

« À mesure que les API commencent à être consommées par les fintech dans les applications de budgétisation et d’épargne, ces API de produits pourraient être utiles pour créer des fonctionnalités comme la commutation de produits et l’identification de meilleurs produits bancaires de création de richesse pour les consommateurs. »

En Europe, le nombre d’entreprises accréditées autorisées à construire des applications bancaires embarquées a augmenté de 7,5 % entre le premier trimestre et le deuxième trimestre pour atteindre plus de 2 500. Le Royaume-Uni est en tête du mouvement avec 189 fournisseurs accrédités – plus de 40% de plus que le deuxième pays sur la liste, l’Allemagne, avec seulement 115 fournisseurs accrédités.

Il est intéressant de noter que cela ne concerne pas la taille du pays, mais se concentre principalement sur la part du PIB apporté par la finance dans l’économie, par exemple le Luxembourg 16ème avec 77, ou la numérisation de la société avec l’Estonie (18ème) avec 72.

Les banques n’étaient pas préparées

Pendant des années, les décideurs ont travaillé sur la réglementation du bâtiment pour ouvrir les banques afin de créer de l’innovation dans l’industrie pour tous les utilisateurs. Les banques n’étaient pas préparées, parce que leur modèle d’affaires était basé sur des clients retenus captifs par leur monopole. Maintenant, ils sont obligés d’ouvrir des API, ce qui a nivelé les règles du jeu. En conséquence, les startups sont en mesure d’attirer de nouveaux utilisateurs, grâce à des méthodes plus agiles et plus de boucles de rétroaction qui leur permettent d’offrir une meilleure expérience utilisateur.

Aujourd’hui, nous avons un niveau de concurrence beaucoup plus sain entre les titulaires et les nouveaux acteurs, même si les startups sont autorisées à utiliser l’infrastructure des acteurs établis.

En 1994, Bill Gates a déclaré : « Nous avons besoin de services bancaires, nous n’avons pas besoin de banques. » Vingt-six ans plus tard, les banques sont toujours là et plus fortes que jamais, mais les banques vont au-delà de leurs murs d’entreprise, vers une pléthore de nouveaux canaux et d’expériences d’utilisateurs finaux. Les banques gagnent largement et fortement, mais pas nécessairement en raison des institutions financières traditionnelles.

Les banques qui ne restent ouvertes qu’à suivre la réglementation bancaire ouverte seront perdantes face à toutes les entreprises qui viendront consommer leurs API et les concurrencer. Pour réagir, survivre et continuer à croître, les banques, les compagnies d’assurance et les sociétés financières traditionnelles doivent adopter l’esprit API et viser à être intégrés dans toutes les applications potentielles et les expériences clients qui ont besoin de services bancaires, de continuer à atteindre de nouveaux clients à leurs propres conditions.

Les banques ne seront pas en mesure d’attirer tous les utilisateurs sur leurs canaux numériques – la seule façon de les atteindre est d’être intégrées dans les applications d’autres personnes.

Le besoin de services financiers ne disparaîtra jamais. En fait, nous avons besoin de plus de services bancaires que jamais auparavant. Ce qui a changé, c’est que nous avons besoin de plus de services bancaires intégrés dans nos vies pour nous donner ce que nous voulons, quand et où nous en avons besoin, et pour ce faire, plus de banques ont besoin de plus d’API.

C’est l’avenir de la banque. Ignorer la finance intégrée n’est pas une option.

Mehdi Medjaoui est un entrepreneur en logiciels et auteur qui a cofondé la plateforme API d’identité OAuth.io. Il est également le fondateur de Conférences APIdays et professeur invité dans les principaux MBA de l’UE et EMBA (HEC, EMLyon). APIdays Londres aura lieu virtuellement les 27 et 28 octobre et explorera comment les API permettront aux titulaires de capitaliser sur Finances.

Continue Reading

Trending