Dans un secteur où la notion de sécurité est centrale, l’association des équipements est un défi majeur et bien compris des acteurs du marché. État de l’art de protéger les sites bancaires...
Visuel : À travers sa division SECURE Bank, AFIMES conçoit, fabrique et installe des parois métalliques industrialisées pour murs d’argent. La fabrication industrialisée offre de nombreux avantages en termes d’élaboration des projets en Bureau d’Etudes, de validation des plans d’exécution, de délais de fabrication et de mise en œuvre rapide sur site. AFIMES fabrique également des portes blindées, des équipements de sécurité physique et de protection de valeurs. Fabriqués en grande partie dans ses ateliers, les produits AFIMES Secure Bank fournissent des solutions particulièrement adaptées aux besoins spécifiques de ses clients répartis sur tout le territoire.
Engagée depuis déjà plusieurs années, l’automatisation massive des établissements bancaires a porté ses fruits : selon la troisième étude annuelle consacrée par la société NCR aux opérations libre-service en Europe (NCR Self-Service Consumer 2004), 65 % des consommateurs gèrent entre la moitié et la totalité de leurs transactions bancaires au moyen d’un automate. En France comme ailleurs, le libre-service bancaire s’est imposé comme un modèle d’efficacité et de souplesse, mais également de sécurisation des valeurs et des personnes. Les solutions d’automation des flux d’argent profitent en effet d’équipements de sécurité adaptés, aux technologies éprouvées. Dans ce domaine, les bénéfices résultent toujours de solutions combinées de sécurité physique et électronique.
La métamorphose des guichets
C’est un fait désormais constaté presque partout : la mise en place de solutions automatisées pour la gestion et la sécurisation des flux d’argent a entraîné la disparition des guichets traditionnels. Les agences bancaires sont passées d’un modèle basé sur la présence de portes blindées, sas, vitrage anti-balles à un concept de point commercial fondé sur une idée différente de la relation clientèle. En parallèle, les opérations de retraits et dépôts d’espèces, d’impression de comptes, de remises de chèques se sont déportées vers les guichets et distributeurs automatiques. Ces fonctions automatisées sont concentrées vers une zone dédiée et sécurisée selon une configuration courante : des automates de distribution d’espèces en façade et des automates de services bancaires installés dans une enceinte de sécurité, accessibles à des horaires étendus. Ce déploiement de l’automatisation a entraîné une conséquence immédiate, comme le résume Jean-Pierre Schultz (société Virelec) : « il n’y a quasiment plus d’argent en surface, toutes les valeurs sont conservées dans des zones sécurisées d’automates. Un agresseur qui prend un employé en otage, si tant est qu’il dispose d’un accès aux automates, ne pourra pas faire grand-chose face à un coffre-fort verrouillé, sécurisé et temporisé. » « La plupart des agences sont parties du postulat que le personnel ne devait plus manipuler de liquidités, confirme Daniel Gicquel (Directeur Marketing Banque Gunnebo France). Murs d’automates et bureaux de conseils ont des fonctions différenciées. »
Typologie des automates bancaires
Ces machines, automates destinés à offrir des services aux clients utilisateurs, se déploient suivant une typologie précise, pour des besoins différents. « On dénombre trois principaux types d’automates, explique Michel ROLAND (société AFIMES). Les machines de retrait en extérieur, accessibles 24h/24 et des distributeurs à l’intérieur d’un espace Libre-Service Bancaire (LSB), ouverts dans la journée et jusqu’à une certaine heure le soir, dotés d’un accès restreint par carte bancaire. Des automates de dépôt permettant d’effectuer des remises de fonds, à destination des professionnels. Enfin, des automates de consultation libre-service permettant au client de dialoguer avec son compte et sa banque. »
Visuel : NCR SelfServ 26 Cet automate mural intérieur ou extérieur est intégré dans une structure USB et protégé par une série de solutions anti-fraude et d’intégrité physique.
Des zones de haute sécurité
En matière de gestion et de sécurisation des flux d’argent, la machine s’est donc imposée comme la meilleure interface possible. La zone dédiée au libre-service est le seul endroit où transitent les valeurs. Cette évolution a entraîné le développement des machines et de leurs enceintes techniques. Ces locaux, centres névralgiques d’une agence comme l’étaient autrefois la chambre des coffres, font l’objet d’une sécurisation poussée et optimisée par différents niveaux de dissuasion et de protection. Michel ROLAND : « La mise en place d’un automate est conditionnée par l’implantation d’un local sécurisé. Dès que les fonds restent en place, la structure d’accueil de cet automate doit obligatoirement être sécurisée. » Une protection qui s’applique du côté de la zone réservée au client, avec un accès restreint nécessitant une carte bancaire, un contrôle de présence avec possibilité de levée de doute vidéo, une détection de chocs pour identifier toute tentative d’agression. Le mur d’automates doit également offrir une résistance mécanique suffisante, ne serait-ce que pour résister à une tentative de crochetage de la façade avant du distributeur de billets à l’aide d’un matériel léger. Du côté du local technique, le coffre et son accès, constitués d’une structure en panneaux blindés, font l’objet d’une sécurisation en termes de contrôle d’accès et de gestion d’ouvrants. Dans cet objectif, Gunnebo a conçu une gamme d’automates, SecurWave, capable d’appliquer les règles définies par un établissement en matière d’accès sécurisés. Par exemple, si la porte externe sur la rue est ouverte, l’accès au coffre est interdit et inversement. Outre le contrôle d’accès, cet automate, qui constitue le cœur de la solution de sécurité de l’agence, est aussi capable de piloter des fonctions d’alarme et d’intrusion, de vidéo et de transmission en les intégrant toutes si nécessaire. L’optimisation de la sécurité de l’enceinte technique est capitale, car une agence bancaire doit s’équiper en fonction des autorisations d’accès qu’elle a pris soin d’établir. En effet, « soit une banque choisit de sous-traiter toutes les interventions au niveau de ses distributeurs, auquel cas un prestataire se charge de transférer les fonds par un moyen d’accès qui lui est propre (sas, accès sécurisé), conformément au décret » Transporteurs de fonds « . Soit elle autorise l’accès de ses automates à certains de ses employés, auquel cas des dispositifs de sécurité doivent être prévus : contrôle d’unicité de passage dans la partie technique des automates, équipés pour la plupart de retardateurs à l’ouverture. » (Jean-Pierre Schultz)
Prévenir et retarder, une règle d’or
En pratique, l’objectif de tout dispositif de sécurité en agence bancaire est double : en effet, toute tentative d’agression doit pouvoir faire l’objet d’une alerte ET d’une temporisation. Un principe qui, dès lors, ouvre la voie à la combinaison la plus judicieuse possible d’éléments de sécurité physique et électronique. Une approche transversale revendiquée par les intervenants du secteur, comme la société Virelec. « Notre société intervient à deux niveaux, développe Jean-Pierre Schultz : la sécurité physique ou mécatronique (les périmètres de sécurité, soit les portes, sas, murs de sécurité) et la sécurité électronique (au travers du contrôle d’accès, de l’intrusion et de la vidéosurveillance). Car ces deux types de procédés de sécurisation sont complémentaires, l’un permettant de retarder et l’autre d’avertir. » A ce titre, les effets de retard à l’ouverture ont bien prouvé leur efficacité : lorsque l’on sait que les malfaiteurs se tournent quoi qu’il arrive vers des agressions rapides, dans un temps inférieur à 12 minutes, tout dispositif visant à prolonger le délai d’ouverture d’un coffre ou d’un local sécurisé est fortement dissuasif.
Taux d’équipement : harmonies et disparités
Visuel : Les solutions de vidéosurveillance Mobotix Spécialisée dans la vidéosurveillance haute résolution, la société Mobotix conçoit et commercialise une offre produits particulièrement bien adaptée au secteur bancaire. Le DevKit M12 est un système miniaturisé, conçu pour s’adapter avec une discrétion totale dans la structure des guichets automatiques, derrière une petite fenêtre fumée. Composé d’une carte électronique associée à deux objectifs séparés, le DevKit s’avère une solution très avantageuse pour récolter des informations de transactions (date, heure, numéro de transaction, etc.) et les insérer dans un enregistrement vidéo en cas de plainte. Lorsqu’un utilisateur insère sa carte bancaire, une prise de vue est effectuée, les données de la carte sont incrustées dans l’image via une liaison RS232 et l’ensemble est transmis à une base de données. Le DevKit permet d’appliquer des zones de masquage afin de préserver la confidentialité d’une saisie sur le clavier, par exemple. Déjà implantée en Allemagne, cette solution est actuellement en cours d’intégration en France.
Si les exigences de sécurité varient peu d’un réseau bancaire à l’autre, chaque établissement se doit néanmoins de choisir la solution la plus pertinente possible. « La sécurité consiste à placer ce qu’il faut, là où il faut, rappelle Gilbert Louard (société NCR). Tout dépend du contexte : pour assurer la sécurité d’un distributeur de billets en pleine campagne, une banque a davantage intérêt à adopter un système de prévention d’enlèvement par maculation qu’en pleine ville. » En matière de sécurité physique, force est de constater que tous les réseaux bancaires semblent s’être alignés, si bien que le même taux d’équipement est constaté un peu partout. Michel ROLAND : « Aujourd’hui, 80 à 90% des locaux sont réalisés en structures métalliques, selon des critères définis par le client ou selon des critères de résistance validés par des centres d’agrément comme le CNPP. » Selon Jean-Pierre Schultz, « les cahiers des charges sont en général rédigés au travers d’une définition de produits : tel profilé en tôle de telle section, telle structure acier de telle épaisseur. Mais il est rarement fait référence à une caractéristique particulière d’homologation. Par exemple, l’épaisseur des tôles est comprise entre 4 et 6 mm et ne varie pas d’un cahier des charges à l’autre. » Mais l’harmonisation des équipements n’est pas constatée dans tous les domaines, notamment en matière de vidéosurveillance. En raison tout d’abord, des contraintes de lieux. Tous les sites bancaires ne sont pas égaux, comme en témoigne Patrice Ferrant, de la société Mobotix : « Une problématique fréquente est liée à la discrétion du positionnement des caméras. Ensuite, il existe un problème lié aux larges surfaces vitrées qui équipent beaucoup d’agences. Une caméra est comme l’œil, soumise aux problèmes de contre-jour et d’illumination excessive. C’est pourquoi nous avons intégré à nos caméras un dispositif de création de zones d’exposition. Enfin, il existe des zones un peu complexes où les angles présentent des obstacles à l’efficacité de la vidéosurveillance. Maintenant, les agences présentent un cadre de construction plus aisé, mais dans un certain nombre d’agences, les lieux obligent à multiplier le nombre de caméras. Avec une seule caméra haute résolution, il est pourtant possible de couvrir un champ plus large et de réduire la complexité de l’installation. Néanmoins, le secteur bancaire reste encore de nos jours sur des technologies CIF, en basse définition et angles de vision réduits. Même si en France le taux d’équipement est assez satisfaisant, ces installations sont-elles conformes à l’arrêté ministériel définissant les normes techniques en termes de qualité d’image, de définition, d’enregistrement, de signature numérique ? On s’aperçoit qu’une bonne partie des systèmes ne sont pas conformes. On assiste donc aujourd’hui à un renouvellement du marché, qui s’oriente vers des caméras haute résolution, à l’angle de vision étendu, capables de maîtriser les problèmes d’exposition et de jouer le rôle de plusieurs caméras standard. »
Risques et solutions
Visuel : Caméra Hemispheric Q22M, Mobotix Grâce à son champ de vision de 360°, cette caméra haute résolution fournit une remarquable efficacité de surveillance. Une solution discrète et robuste remplaçant plusieurs caméras standard et autorisant de nombreuse configurations : surveillance à 360° avec montage au plafond, panoramique à 180° en montage mural. La Q22 permet de surveiller simultanément quatre directions via la fonction logicielle « Surround ».
La restructuration des agences et le confinement des liquidités dans des enceintes sécurisées ont engendré une baisse manifeste et générale des agressions, comme le montrent les statistiques depuis quelques années. Les banques ont compris que la suppression des liquidités en surface éliminait les risques d’agressions directes… risques aujourd’hui déportés sur les populations qui manipulent l’argent, gabistes et transporteurs de fonds. Depuis les agressions physiques jusqu’aux risques liés aux systèmes informatiques, les banques restent néanmoins confrontées à des événements de natures diverses et variées : attaques physique et mécanique (arrachage de distributeurs), utilisations frauduleuses de cartes (card skimming, card trapping), fraudes informatiques. À l’aide de solutions physiques et logicielles, la société NCR couvre la majorité des risques liés au maniement d’argent. Gilbert Louard : « Nous proposons des coffres forts capables de résister aux attaques thermiques, mécaniques, aux chocs. Des dispositifs associés comme les systèmes de maculation par de l’encre indélébile permettent de faire face à des risques complémentaires, type explosions ou voiture-bélier. En parallèle, ces éléments de coffres forts bénéficient de systèmes d’alarmes, de capteurs thermiques, de détecteurs d’ouverture de chocs et d’asservissement des ouvrants. Contre les risques liés à une utilisation frauduleuse de la carte bancaire (copie, vol des données, récupération de données de la piste), NCR a développé des dispositifs physiques visant à décourager la pose d’un piège, complétés par des dispositifs électroniques comme l’IFD (Intelligent Fraud Detection), logiciel permettant de détecter un dispositif de skimming. Cette solution peut-être complétée par d’autres éléments afin de perturber la lecture de la piste magnétique et de s’affranchir de la possibilité de copier le signal magnétique de la piste. Les risques associés à des failles ou à des attaques informatiques concernent en général tout un réseau de machines. L’offre Solidcore est une solution logicielle offrant un contrôle et une protection contre les menaces inconnues que peuvent rencontrer les GAB en libre-service. Les opérateurs peuvent immédiatement identifier toute tentative interne ou externe d’installation ou d’exécution de codes non autorisés. »
Transport de fonds : ce que dit la loi
La loi du 10 juillet 2000 relative à la sécurité du dépôt et de la collecte de fonds par les entreprises privées définit comme suit les obligations des entreprises : « Les personnes faisant appel, de façon habituelle, à des personnes physiques ou morales exerçant l’activité de transport de fonds (…) doivent aménager leurs locaux de façon à sécuriser l’accès des véhicules utilisés pour cette activité et limiter le transport à pied des valeurs qu’elles leur confient. » Le décret 2000-1234 du 18 décembre 2000 (aménagements des locaux desservis par les personnes physiques ou morales exerçant l’activité de transport de fonds) revient quant à lui sur les différents dispositifs de sécurité applicables aux établissements bancaires. Il impose notamment la mise en place d’un sas isolé, équipé de portes blindées et télécommandées, d’un système de restriction des ouvrants et d’une installation de vidéosurveillance ou encore, d’un trappon permettant l’accostage latéral ou l’accolement du véhicule en façade de l’immeuble desservi. Dans un cas comme dans l’autre, les manœuvres de transports de fonds doivent s’exercer à l’écart du public et limiter au maximum les contraintes de temps et de mouvement des convoyeurs.
Identification biométrique aux guichets automatiques : des marchés spécifiques
Gilbert Louard, Responsable Marketing NCR : « La biométrie n’est pas une réponse universelle, mais plutôt une réponse adaptée à des situations particulières. Il faut considérer que dans la zone Euro, le niveau de fraudes constaté n’exige pas l’adoption de telles solutions ni la remise en cause de l’association puce-code confidentiel. Si des besoins supplémentaires se faisaient ressentir, il serait possible de mettre en place des codes confidentiels à 6 chiffres, par exemple. En revanche, d’autres pays comme le Chili et la Colombie, ont développé des systèmes de retrait par biométrie. Ils permettent à une certaine population de retirer des espèces via une identification biométrique. Il s’agit d’une population un peu particulière, peu accoutumée au principe d’utilisation d’un système de carte, du code confidentiel. La biométrie intervient ici comme système de substitution, dans un contexte très différent du nôtre. »
En savoir plus
Cet article est extrait du Magazine APS n°180 – Avril 2009.
Pour plus d’information sur nos publications, contactez Juliette Bonk .
Commentez