Imaginé par le groupe BPCE, la société « SEPAmail.eu » réunit cinq grands groupes bancaires Français dans un projet visant la simplification des échanges entre banques, entreprise et grand public d’une manière rapide, sécurisée, dématérialisée et à coût réduit. SEPAmail est un réseau interbancaire sécurisé de messagerie privée. Il permet d’échanger des messages identifiés par BIC et IBAN et de numériser des documents (avis, factures, mandats, etc…). SEPAmail se greffe aux applications bancaires (banque en ligne, mobile en ligne, automates, plates-formes EDI bancaires) et lie un ensemble d’informations aux données de règlement dans un même écosystème. Les adhérents de SEPAmail deviennent ainsi des fournisseurs d’accès au réseau sécurisé et aux applications bâties sur celui-ci. C’est un socle technique d’échanges au-dessus duquel se développent des services à valeur ajoutée.
Notions de base et principes
- Messagerie au minimum 4 coins, 2 utilisateurs, 2 adhérents, couverts par au moins trois contrats
- Echanges de dialogues structurés formalisés au sein d’applications, qui, lorsqu’elles sont éditées par la norme, ont une portée globale (à tous les adhérents)
- Mise en œuvre un procédé d’accusé de réception systématique (l’acquittement) qui est garanti par les adhérents. Cet accusé de réception induit l’authentification des adhérents et l’intégrité des messages échangés
- Garantie de l’authentification des personnes physiques liés à un identifiant (le qxban). Le transcodage entre un IBAN et un QXBAN est toujours assuré par l’adhérent émetteur du QXBAN. L’IBAN est ainsi protégé dans le dialogue entre les utilisateurs, même lorsque un message articule un paiement
- Proposition de services à valeur ajoutée : enrichissement du flux, vérification, articulation d’un paiement (le rôle des établissements de paiement est un plus pour l’utilisateur)
- Garantie du respect de règles communes. Il ya une charte des adhérents et un cadre juridique édicté par la banque de France
- Transport par les messages de l’information permettant de réaliser l’action suivante
- Utilisation et accès à SEPAmail par divers canaux d’échange de l’information entre un adhérent et son client, l’utilisateur et notamment le moyen de l’authentification de l’utilisateur par l’adhérent
- Fonctionnement en mode canonique avec les infrastructures et les protocoles de messageries électroniques standards. SEPAmail est une messagerie sur internet, le mode d’échange canonique est donc celui de la messagerie électronique, c’est à dire le mécanisme d’échange proposé par le protocole SMTP.
Les services à valeur ajoutée ou les pierres précieuses
Rubis
RUBIS : Règlement Universel Bancaire Immédiat & SEPA (application SEPAmail)
L’application permet de gérer des demandes de règlement, et peut aussi permettre d’initier des paiements correspondant à ces demandes.
La circulation des flux se fait en respectant le modèle 4 coins : créancier, banque du créancier, banque du débiteur, débiteur.
- Envoi de la demande de paiement comportant
- Les références de la demande de règlement, qui serviront de références pour le virement (libellé, end2end, ultimate, sur la base des champs du virement SEPA)
- Le montant
- Le compte du créancier à créditer
- D’éventuelles informations complémentaires sur la livraison des biens ou la mise à disposition du service
- Acceptation par le débiteur en donnant un ordre de règlement à sa banque
- Génération d’un message de retour en confirmant l’acceptation par le donneur d’ordre (débiteur)
- virement de fonds réalisé par la banque du débiteur vers la banque du créancier
- Réception des fonds
- Contrôle et dénotage du virement, de la confirmation de règlement vis-à-vis de la demande de règlement émise par le créancier
Gemme
GEMME : Global European Mandate Management & Exchange (Application SEPAmail)
L’application permet d’initier des mandats de prélèvements ainsi que tous les flux autour du prélèvement : pré-notification des échéances, acceptation ou refus d’échéance, acceptation ou refus de l’autorisation de mandat de prélèvement, demande de copie.
Sur ce concept les interactions initiales peuvent se représenter sur le schéma suivant :
- le flux commercial entre le client et le créancier se conclut par un accord sur le bien ou le service, le mode de paiement par prélèvement et l’échange de l’IBAN
- le créancier formate un mandat avec le numéro et tous les élements constitutifs dont l’IBAN et donne le tout à sa banque
- celle-ci le route vers la banque du débiteur facilement avec SEPAmail car elle connait l’IBAN
- cette dernière met le mandat à disposition du client-débiteur dans la banque à distance ou tout autre canal de son choix (choix de la banque du débiteur). Le débiteur peut donc valider, avec les moyens d’authentification proposés par la banque, le mandat. Le routage vers la banque du créancier puis vers le créancier complétera le processus.
- le créancier peut envoyer les notifications d’échéances sous un format électronique : l’adresse de son client reste l’IBAN ; le débiteur peut recevoir directement, par sa banque à distance ou tout autre canal mis à disposition par sa banque, les notifications et y répondre rapidement en cas de désaccord
- un message complémentaire de “Demande de Copie” permet de compléter le dispositif. En effet si un client réclame car il indique ne pas avoir signé de mandat pour un prélèvement, sa banque prend l’IBAN du créancier dans le prélèvement et est ainsi capable de formater un message de demande de copie vers la banque du créancier.
Diamond
DIAMOND : Direct Identity control for Account Management ON Demand.
L’application permet pour un utilisateur SEPAmail de fiabiliser un ou plusieurs identifiants de type IBAN
AGATE
AGATE : A Generic ATtachment Exchange
L’application permet d’envoyer un ou plusieurs courts messages de 140 caractères et une pièce jointe.
La séquence pour l’envoi d’un message générique :
- l’émetteur transmet de 0 à n chaînes de caractères (encodage ISO) ainsi qu’un contenu indéfini pour la banque de l’émetteur
- la banque de l’émetteur utilise message SEPAmail SendRequest
- un accusé de réception du message est envoyé via un acquittement SEPAmail
- la banque du destinataire transmet à son client le contenu du message via son interface avec le client sans traitement métier du message
IOLITE
IOLITE : InvOincing LITE
L’application permet de transmettre à un partenaire commercial (client, fournisseur) une facture
Le cœur de cible de IOLITE est la dématérialisation de la facturation, notamment pour toutes les entités de taille moyenne et les cas d’asymétrie coûteuse entre les acteurs :
- des entreprises spécialistes de l’intermédiation sur le web transmettant une facture fournisseur et une facture de commission avant virement du solde ou demande de règlement du solde
- des entreprises désirant transmettre à son client une structure agrégée et détaillée de facturation (facturation de fluide, au poids, au forfait)
- des entreprises facturant à l’acte et cumulant la demande de règlement sur une période
JADE
JADE : Jointed Additional Data & Exchange
L’application permet d’initier un avis de virement en lui joignant un document explicatif, puis le virement, éventuellement en fonction de la réponse attendue.
Voici le diagramme de séquence type de cette application :
un diagrammede séquence type de JADE
On y trouve les acteurs :
- celui qui initie le virement : le donneur d’ordre
- la banque du donneur d’ordre
- celui qui reçoit le virement, le bénéficiaire
- la banque du bénéficiaire
Ce qui donne la séquence d’opérations suivante :
- 1. la génération du justificatif de virement par le donneur d’ordre
- 2. la transmission du justificatif et de l’ordre de virement (il est possible d’utiliser un message SEPAmail JADE CreditTransferAdvise) du donneur d’ordre à sa banque
- 3. la génération du message d’avis de virement CreditTransferAdvise et sa transmission par la banque du donneur d’ordre à la banque du bénéficiaire. Ce message précise la date prévue du virement et si ce virement est conditionné à une réponse et quelle réponse
- 4. un accusé de réception de l’avis de virement est envoyé via un acquittement SEPAmail
- 5. l’avis de virement est distribué par la banque du bénéficiaire à son client
Si le payé répond :
- 6. le bénéficiaire répond avec son interface à sa banque
- 7. la banque du bénéficiaire transmet la réponse sous la forme d’un message CreditTransferReply
- 8. un accusé de réception de la réponse est envoyé via un acquittement SEPAmail
- 9. cette réponse est transmise par la banque du donneur d’ordre au donneur d’ordre
Dans tous les cas :
- 10. le virement est émis à date si les conditions de l’avis initial sont réunies
JASPE
JASPE : Jointed Attached Signed PDF & Exchange
L’application est orientée document. Elle permet à plusieurs acteurs de signer un document (format pdf) selon un parcours défini.
Voici le diagramme de séquence type de cette application pour un parcours simple de signature (un émetteur/signataire et un signataire) :
un diagramme de séquence JASPE pour un parcours simple de signature
On y trouve les acteurs :
- l’émetteur du document et du parcours de signature qui peut éventuellement être lui même signataire du document
- la banque de l’émetteur
- le destinataire signataire du document
- la banque de ce signataire
Ce qui donne la séquence d’opérations suivante :
- 1. l’émetteur génère le document au format PDF à signer, éventuellement avec le formulaire à remplir avant signature
- 2. l’émetteur transmet ce document ainsi qu’un parcours de signature à sa banque pour gestion de ce parcours de signature
- 3. la banque de l’émetteur vérifie le parcours et sa capacité à le traiter (traitement parallèles ou en série, nombre et niveaux des signataires)
- 4. la banque de l’émetteur transmet à la banque du signataire via un message SEPAmail SignatureRequest
- 5. un accusé de réception du message précédent est envoyé via un acquittement SEPAmail
- 6. la banque du signataire distribue le document à signer à son client
- 7. le client signe le document, en remplissant préalablement si besoin le formulaire inclus dans le document
- 8. la banque du signataire transmet à la banque de l’émetteur le document signé via un message SEPAmail SignatureReport
- 9. un accusé de réception du message précédent est envoyé via un acquittement SEPAmail
- 10. la banque de l’émetteur transmet une notification pour chaque retour à l’émetteur si celui-ci a demandé un suivi/pilotage
- 11. la banque de l’émetteur transmet le document final à l’émetteur
Si cela est prévu
- 12. la banque de l’émetteur transmet à la banque du signataire le document signé via un message SEPAmail SignatureCopy
- 13. un accusé de réception du message précédent est envoyé via un acquittement SEPAmail
- 14. la banque du signataire met à disposition de son client le document signé
SAPPHIRE
SAPPHIRE : Security, Authentication, Privacy, Public Key Infrastructure, Highly Innovative, Interoperable, Reliable & Exchange
SAPPHIRE spécifie les conditions d’une authentification d’un client avec sa banque avec la possibilité de signature et plusieurs niveaux dans la sécurisation de l’échange. C’est une proposition fonctionnelle d’authentification permettant la signature numérique.
Sapphire est un protocole permettant d’utiliser :
- un terminal électronique (pc, téléphone portable, tablette),
- une interface applicative hors « banque à distance »,
- le réseau internet
- un dispositif cryptographique (matériel et éventuellement logiciel)
pour :
- s’authentifier sur une prise SEPAmail,
- signer électroniquement (plusieurs niveaux) des messages d’une famille SEPAmail pour l’envoyer sur le connecteur SEPAmail de sa banque
- s’authentifier sur tout autre système de la banque ou un système partenaire
Sapphire vise donc à implémenter une sécurisation maîtrisée du canal internet entre l’utilisateur et sa banque, avec des procédures d’enregistrement (enrollment) utilisant les canaux sécurisés existants.
L’espace de confiance entre un utilisateur et sa banque s’enrichit ainsi d’une prise d’authentification sécurisée utilisant :
- le réseau internet pour le transport
- une application sur le terminal de l’utilisateur
- un certificat permettant une authentification de l’utilisateur (authentification sapphire) puis des données envoyées selon le niveau de service demandé (signature électronique, signature électronique avancée, signature électronique qualifiée)
La messagerie
Le système SEPAmail se compose :
- d’un réseau interbancaire sécurisé assurant le transport de messages structurés conformément aux normes partagées par les utilisateurs de SEPAmail. Le réseau SEPAmail se déploie par l’interconnexion entre serveurs conformes à la norme installés dans chaque établissement adhérent.
- de services métiers à valeur ajoutée, supportés par le système SEPAmail au travers de l’utilisation d’une famille de messages structurés liés à chaque service métier mis en ligne sur ce réseau.
SEPAmail décrit également les connecteurs permettant aux entreprises d’envoyer, de recevoir et de gérer des messages –- ou plus exactement, en termes SEPAmail, des missives – à travers diverses formes d’interfaces : courriel, Web service, et même échange de fichiers.
Les espaces de confiance
Pour assurer une parfaite sécurisation des échanges et des données, SEPAmail repose sur trois espaces de confiance complètement distincts et indépendants :
- L’espace expéditeur – banque de l’expéditeur, dont la sécurité repose sur les systèmes en place : banque à distance et authentification associée, remise de fichiers …
- Le réseau interbancaire SEPAmail dont la sécurité repose sur :
- Un nom de domaine unique géré par le « scheme-manager » et associant l’adresse BIC.sepamail.eu à la bonne adresse physique de routage de la banque possédant le BIC
- Une déclaration au scheme-manager de la clé publique qui sera utilisée par S/MIME, déclaration faite en même temps que la fourniture de l’adresse IP de la banque
- L’espace banque du destinataire – destinataire, dont la sécurité repose également sur les systèmes en place : banque à distance et authentification associée, remise de fichiers, …
- Il y a un certificat S/MIME de signature et un certificat S/MIME de chiffrement par BIC et par application SEPAmail.
La structuration du système
L’élément de base pour les échanges d’informations, dans SEPAmail, est la missive. Quel que soit le canal d’échange, et quels que soient l’expéditeur et le destinataire, toutes les informations circulant dans le système sont systématiquement structurées en missives. Il existe quatre types de missives, qui seront décrites en détail par la suite :
- la missive nominale, qui sert d’acheminement à un message
- la missive d’acquittement, élément essentiellement protocolaire qui permet notamment à l’expéditeur d’être sûr de la réception des informations transmises
- la missive de service, permettant d’échanger des commandes et des réponses entre des éléments actifs du système. Elle ne peut pas être utilisée en interbancaire.
- la missive d’interfaçage (SMAPI), permettant à l’éditeur d’une solution SEPAmail de donner accès à des fonctions internes de sa plate-forme. Elle ne peut être utilisée qu’en intrabancaire.
La missive est sécurisée par des mécanismes de signature et de chiffrement. Elle peut être vue comme une enveloppe, dont le contenu peut être quelconque, mais n’est accessible qu’au destinataire. Dans la plupart des cas, et notamment dans le cas des missives nominales, le contenu d’une missive est un message SEPAmail. Le message contient des informations relatives au service mis en jeu, la nature de ces informations variant bien entendu selon le message. L’ensemble des éléments de SEPAmail, missives et messages, sont des structures XML. Tous les éléments sont décrits par des schémas XML précis, s’appuyant, dans la mesure du possible, sur la norme et le dictionnaire de données ISO 20022. Enfin, les missives sont échangées, entre les acteurs du système SEPAmail, par le biais d’un mécanisme d’échange. Trois mécanismes, qui sont détaillés par ailleurs, sont actuellement définis et implémentés dans le système :
- le courrier électronique
- un web-service
- un système d’échange de fichiers.
Le schéma ci-dessous récapitule les éléments de structure du système SEPAmail:
Rappel S/MIME
- Le standard S/MIME étend le format de courrier MIME pour permettre, au travers de plusieurs mécanismes cryptographiques, de chiffrer et signer les différents composants d’un message. Il s’applique donc directement sur le contenu du message et non sur le canal de transport de ce contenu.
- La clé de session est insérée dans l’en-tête de chaque partie S/MIME, après avoir été chiffrée à l’aide de la clé publique de chacun des destinataires. Ainsi ces derniers pourront par la suite déchiffrer, à l’aide de leurs clés privées, la clé de session et accéder au contenu de la partie S/MIME.
- Par ailleurs, la signature d’une partie S/MIME est générée à l’aide de la clé privée de l’expéditeur. La vérification de cette signature à l’aide de la clé publique de l’expéditeur permet de garantir au destinataire l’identité de celui-ci et de contrôler l’intégrité de la partie S/MIME.
Références
Site SEPAMAIL | http://www.sepamail.eu/fr/ |
Site SEPAMAIL | http://documentation.sepamail.eu/wiki/Accueil |
Site SEPAMAIL | http://sepamail.blogspot.fr |
Article de presse | http://www.bnpparibas.com/actualites/presse/communiqu%C3%A9-presse-bnp-paribas-sepamail |
Article de presse | http://www.itespresso.fr/sepamail-eu-5-reseaux-bancaires-dematerialisent-reglement-factures-73846.html |
Article de presse | http://www.banques-en-ligne.fr/actualites/detail.php?idactu=594 |
Article de presse | http://www.lesechos.fr/31/05/2013/LesEchos/21447-129-ECH_le-paiement-de-facture-en-ligne-lance-en-2014.htm |
HP et SEPAMAIL | http://www8.hp.com/fr/fr/campaigns/sepamail/overview.html |
Utilisation de RUBIS (NATIXIS) | https://www.youtube.com/watch?feature=player_embedded&v=H6dSpFCOfro#! |
Syrtals SI et SEPAMAIL | https://www.youtube.com/watch?v=eszFJIMVl3Ihttps://www.youtube.com/watch?v=oN0MsNlUglg
https://www.youtube.com/watch?v=VemL_hyCcnY |