Planet

La tokenisation: Tout ce qu'il faut savoir

Dernière mise à jour le 19/06/24

La tokenisation est un moyen pour les entreprises de protéger les données sensibles. Fondamentalement, elle permet aux entreprises de transformer des données sensibles en données non sensibles. Les données non sensibles sont appelées "jetons", d'où leur nom.

Les jetons n'ont aucun lien avec les données originales en termes de valeurs. Cependant, il existe toujours des moyens (tels que le format) de relier les jetons aux données d'origine. Cela permet à l'entreprise de poursuivre ses activités tout en réduisant le risque de fuites et de violations de données.

Nous examinons ici tout ce que vous devez savoir sur la tokenisation des paiements. Nous discutons des avantages et des inconvénients, de la différence entre la tokenisation et le cryptage, des types de tokens, et bien plus encore.

Qu'est-ce qu'un token?

Un token est un élément de données. La nature de ces données peut varier considérablement en termes de longueur et de format. Cependant, il remplacera toujours d'autres données. En utilisant un petit nombre d'informations conservées à partir des données d'origine, un jeton peut efficacement les remplacer.

Il est important de se rappeler qu'un jeton n'a pas de valeur en soi. Sans les données d'origine, un jeton n'a pratiquement aucune signification. Cependant, les jetons sont utilisés à la place de certaines des données les plus sensibles au monde, telles que les cartes de crédit et les numéros d'identification.

Une bonne façon d'appréhender les jetons est d'imaginer une carte de clé d'hôtel. Lorsqu'une personne s'inscrit dans un hôtel, elle reçoit généralement une carte clé à la réception une fois que son identité a été authentifiée et que la réservation a été confirmée. 

This keycard can then be used to access various areas in the hotel e.g. If you have special access to the VIP area or if you want to restrict children from the pool area but still allow them access to their rooms. This is much more convenient than having to carry identification papers or multiple keys at all times.

Quels sont les avantages de la tokenisation?

Laissons de côté les analogies pour entrer dans le monde réel. Voici quelques-uns des principaux avantages de la tokenisation:

  • Il est plus difficile pour les pirates d'accéder aux données sensibles. En effet, même en cas de violation, les données n'auront plus aucune signification.
  • La tokenisation ne nécessite généralement pas la mise à niveau des systèmes pour les adapter aux nouvelles normes. Le cryptage, en revanche, peut nécessiter la mise à niveau des systèmes existants.
  • La tokenisation ne nécessite pas beaucoup de ressources et constitue une alternative moins coûteuse que d'autres systèmes de sécurité des données tels que le cryptage.
  • Il facilite la mise en conformité avec les régulateurs en ajoutant une couche de sécurité supplémentaire. Nous reviendrons plus en détail sur ce point.
  • Elle peut offrir de nouvelles possibilités d'efficacité dans les secteurs financiers. La tokenisation permet d'offrir des services tels que le paiement en un clic chez les commerçants. En effet, elle permet aux entreprises de se conformer à la norme PCI DSS, qui est une exigence pour les paiements en un clic.
  • Permet d'autres formes de règlement des contrats, comme l'utilisation de la blockchain, qui peuvent présenter des avantages par rapport aux systèmes existants. Par exemple, le règlement d'un contrat par l'intermédiaire de Monero pour des raisons de confidentialité et d'anonymat.

Quels sont les inconvénients de la tokenisation?

Aucun système n'est parfait. Cela vaut également pour la tokenisation. Voici les principaux inconvénients de la tokenisation :

  • Il n'existe pas de réglementation claire concernant la tokenisation. Cela crée une incertitude qui pourrait s'avérer coûteuse pour les entreprises à l'avenir. Par exemple, une entreprise peut être contrainte de modifier son système de tokenisation si les réglementations industrielles l'obligent à adhérer à de nouvelles normes.
  • Dans certains cas, les systèmes à jetons peuvent présenter des vulnérabilités qui facilitent leur ciblage et leur violation. Par exemple, des vulnérabilités techniques peuvent permettre à des pirates d'accéder à des données sensibles grâce à l'utilisation d'un jeton.
  • La tokenisation peut être complexe et rendre la structure informatique d'une entreprise un peu plus difficile à comprendre. Tout nouveau technicien informatique devra comprendre l'ensemble du système tokenisé avant d'être en mesure d'en assurer la maintenance ou d'y apporter des modifications.
  • La tokenisation nécessite le stockage de données sensibles en externe. L'entreprise qui choisit le fournisseur peut être exposée à des violations de données.
  • Tous les processeurs de paiement ne prennent pas en charge la tokenisation. Les entreprises et les commerçants ont donc moins d'options lorsqu'il s'agit de choisir un processeur de paiement par rapport à une approche traditionnelle.

Détokénisation

Jusqu'à présent, nous avons parlé de la tokenisation et de ses avantages et inconvénients. Une fois les données tokenisées, l'émetteur peut y accéder par le biais d'un processus connu sous le nom de "détokenisation". 

Voici comment fonctionne la détokénisation:

Le système de tokénisation d'origine est le seul à pouvoir accéder aux données sensibles. Les données sensibles sont stockées en toute sécurité auprès du fournisseur de services de sécurité.

Souvent, un jeton ne sera utilisé qu'une seule fois. C'est le cas, par exemple, de l'authentification à deux facteurs. Ces jetons sont ensuite supprimés car ils n'ont plus d'utilité. Il est important de se rappeler que les jetons n'ont aucune valeur en soi. Ils ne sont qu'une représentation des données originales.

Chaque entreprise dispose d'un système de tokenisation unique. Ainsi, le processus de détokénisation (accès aux données tokenisées) est unique pour chaque entreprise. C'est précisément la raison pour laquelle la tokenisation est si sûre.

Tokenisation ou cryptage

Pour les personnes peu familiarisées avec le monde de la technologie, la tokenisation peut sembler être un concept assez proche du cryptage. Cependant, les deux processus sont fondamentalement différents.

Le cryptage est une méthode qui consiste à modifier les valeurs des données sur la base d'un code précis et d'une clé de cryptage. Les utilisateurs peuvent alors déchiffrer les données s'ils possèdent la clé. Une fois décryptée, une donnée revient à son état d'origine.

Problèmes de cryptage

Comme les données ont été mélangées sur la base du cryptogramme, la clé de cryptage inversera exactement le même processus. Cela peut poser un problème car n'importe qui peut accéder aux données s'il parvient à accéder à la clé de cryptage. Cela peut se produire si le détenteur de la clé est compromis. Un pirate informatique peut également être en mesure d'accéder à la clé si elle est inscrite dans un document.

Un autre problème lié au cryptage est que de nombreux systèmes de cryptage peuvent être déchiffrés. Cela se produit lorsqu'un ordinateur dispose de suffisamment de temps et de puissance. Il essaiera toutes les combinaisons de clés possibles et finira par accéder aux données. Cela n'est pas possible en pratique pour de nombreux systèmes de cryptage avancés. De nombreux systèmes de bas niveau peuvent facilement être la proie d'attaques par force brute.

En quoi la tokenisation diffère-t-elle?

Un jeton ne peut pas être déchiffré ou inversé. En fait, il n'y a pas de clé ou d'indicateur qu'une personne pourrait utiliser pour voir les données sensibles qui se trouvent derrière le jeton.

Les jetons ne peuvent retrouver leur forme initiale qu'en accédant à des données supplémentaires. Ces données sont généralement stockées à l'extérieur pour des raisons de sécurité. En tant que telle, la tokenisation tend également à être une option plus rentable.

Cela signifie que même si la sécurité d'un centre de données est violée, les données obtenues dans un système tokenisé n'auront aucune valeur pour le pirate. Cette couche de sécurité supplémentaire est précisément la raison pour laquelle la tokenisation est devenue plus importante ces dernières années.

Il n'y a pas de gagnant clair entre la tokenisation et le cryptage. Le choix de la tokenisation ou du cryptage dépend de l'entreprise et de la nature de ses activités. De nombreuses entreprises utilisent les deux. C'est particulièrement vrai pour les entreprises qui ont beaucoup de données très sensibles.

Types de tokens

Il existe de nombreuses façons de classer les jetons. De nombreuses sociétés de recherche classent les jetons à leur manière. Il n'existe donc pas de véritable méthode de classification des jetons. L'une des raisons en est que la majeure partie du secteur n'est pas réglementée.

Voici une façon de classer les jetons :

1. Jetons de paiement

Les jetons de paiement sont utilisés pour acheter et vendre des articles par voie numérique. Le principal avantage de l'utilisation des jetons de paiement est qu'il n'y a pas besoin d'intermédiaire. Ces jetons sont utilisés pour acheter des biens et des services sur un réseau externe. Le secteur des jetons de paiement est assez obscur.

Ils ne sont pas classés comme des titres. En fait, dans la plupart des pays, il n'existe aucune réglementation qui classe ces jetons d'une manière ou d'une autre. En outre, ils ne garantissent pas l'accès à quoi que ce soit une fois qu'ils ont été échangés. La plupart des crypto-monnaies, telles que le bitcoin et l'ethereum, sont de bons exemples de jetons de paiement. Les jetons de paiement sont aussi parfois appelés jetons de monnaie.

2. Jetons d'utilité

Les jetons d'utilité sont différents des jetons de paiement. Ils représentent quelque chose sur la blockchain mais ne sont pas utilisés comme une monnaie. Dans ce cas, le jeton fournit à son détenteur un produit ou un service. C'est l'émetteur du jeton qui en décide.

Par exemple, un jeton peut permettre à son détenteur de recevoir des crédits de programmation chez l'émetteur. Il peut aussi permettre au détenteur d'accéder à certains services à prix réduit. Il ne faut pas oublier que les jetons d'utilité peuvent perdre instantanément leur valeur. Ils ne sont pas considérés comme un investissement et sont largement non réglementés dans le monde. Golem et Brickblock en sont des exemples.

3. Jetons de sécurité

Comme leur nom l'indique, ces jetons s'apparentent à des titres. Ces jetons sont aussi parfois appelés jetons d'actifs. Certaines réglementations autour des security tokens varient selon les pays. Pour la plupart, les jetons de sécurité promettent un rendement positif. Nombreux sont ceux qui considèrent qu'ils se comportent de la même manière que les obligations et autres instruments de crédit.

Dans de nombreux cas, les jetons de sécurité sont utilisés pour symboliser des instruments financiers tels que les obligations. Les monnaies et les jetons de titres immobiliers sont également courants. Ceux qui sont basés sur des actifs réels sont généralement connus sous le nom de jetons adossés à des actifs, tandis que d'autres sont appelés jetons d'actions.

4. Jetons DeFi

Les jetons DeFi sont utilisés, comme leur nom l'indique, pour la finance décentralisée. Ils sont utilisés pour alimenter les applications et les services qui peuvent être utilisés pour effectuer des transactions sur les applications. Pour l'essentiel, les jetons DeFi sont construits sur la blockchain Ethereum. Ces jetons peuvent être utilisés pour effectuer des opérations bancaires et des investissements. Cela peut se faire à la fois pour des actifs traditionnels qui ont été tokenisés et pour des actifs liés à la blockchain.

5. Jetons non fongibles

Les jetons non fongibles sont des certificats qui représentent la propriété numérique de quelque chose. Il peut s'agir de quelque chose d'aussi simple qu'une capture d'écran d'un mème ou d'une peinture d'un artiste.

Les NFT ont connu une grande popularité pendant une courte période, leur valeur montant en flèche avant de s'effondrer. Bien qu'ils soient considérés comme une mode par beaucoup, ils peuvent encore avoir une certaine valeur en matière d'art.

Normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS)

La norme PCI DSS est l'une des principales raisons pour lesquelles la tokenisation est importante. La conformité aux réglementations PCI DSS est essentielle pour tout commerçant qui souhaite pouvoir accepter des paiements par carte dans son entreprise.

La principale raison d'être de la norme PCI DSS est de garantir la protection des données des clients. La règle la plus importante est sans doute que les numéros de carte de crédit ne peuvent pas être stockés par le commerçant après la transaction. Cela inclut la base de données du commerçant et les terminaux de point de vente.

Comment la tokenisation contribue à la norme PCI DSS

Avant que la tokenisation ne devienne populaire, le cryptage était la méthode la plus répandue pour assurer la conformité. Cependant, nous avons déjà vu les avantages et les inconvénients de cette méthode. Le principal problème est que le coût peut être assez élevé. Le cryptage nécessite des systèmes de données capables de gérer les calculs requis pour un cryptage avancé. Ce problème est d'autant plus important pour les petits commerçants disposant d'un faible budget.

Un petit commerçant peut avoir besoin d'une mise à jour massive pour crypter ses données. La tokenisation est une alternative viable. Avec la tokenisation, seuls les quatre derniers chiffres de la carte sont stockés dans les systèmes du commerçant. Les données réelles du titulaire de la carte sont stockées dans un endroit sécurisé par un tiers.

Ce tiers est également responsable de l'émission des jetons. Le jeton est créé en remplaçant les numéros de carte par des valeurs aléatoires. Ce jeton peut ensuite être utilisé pour une transaction spécifique avec le commerçant.   Dans le monde en constante évolution de la technologie et de la sécurité des données, la tokenisation se distingue comme un outil essentiel pour la protection des informations sensibles. Elle offre aux entreprises un moyen rentable, sûr et adaptable de protéger des données telles que les numéros de cartes de crédit et les informations d'identification, réduisant ainsi le risque de violations et de fuites.

De l'analogie avec les cartes-clés d'hôtel aux applications pratiques dans divers secteurs, les attributs uniques de la tokenisation la distinguent du cryptage, offrant une couche de sécurité supplémentaire. Cependant, le chemin vers l'adoption de la tokenisation n'est pas sans défis. L'absence de réglementation claire, les vulnérabilités potentielles, la complexité de la structure informatique et d'autres inconvénients rendent le processus de prise de décision nuancé et spécifique au contexte.

La tokenisation est en passe de devenir un élément de plus en plus important du paysage de la sécurité numérique, en offrant des possibilités d'efficacité dans le secteur financier et en facilitant la conformité avec des normes essentielles telles que PCI DSS. Alors que les entreprises sont confrontées à l'évolution des menaces du monde numérique, il est essentiel de comprendre la tokenisation, ses applications, ses distinctions par rapport au cryptage et la gamme de tokens disponibles. Les entreprises qui envisagent de recourir à la tokenisation devraient comparer ses nombreux avantages à ses inconvénients potentiels et consulter des experts pour élaborer une stratégie adaptée à leurs besoins et objectifs spécifiques.

En fin de compte, la tokenisation est plus qu'un simple mot à la mode ; c'est une solution tangible qui a le potentiel de remodeler notre façon de penser la sécurité des données et la protection de la vie privée dans une économie mondiale de plus en plus interconnectée. Sa mise en œuvre stratégique pourrait bien devenir une pratique standard, transcendant les industries et façonnant l'avenir de la gestion sécurisée des données. Qu'une entreprise décide d'utiliser la tokenisation, le cryptage ou une combinaison des deux, il est clair que la quête de sécurité à l'ère numérique reste un défi complexe et en constante évolution.

Foire aux questions (FAQ)

    On parle de carte sur fichier lorsqu'une entreprise stocke les informations d'un client en vue de transactions futures. Cela ne peut se faire qu'avec le consentement de la personne concernée. De nombreuses réglementations régissent les transactions carte sur fichier, notamment la norme PCI DSS. La tokenisation permet aux entreprises de s'assurer que les informations qu'elles détiennent sont en sécurité. Les jetons ne peuvent pas être utilisés pour accéder aux informations relatives aux cartes de crédit, même en cas de violation. La tokenisation s'applique à toutes les cartes. Cela signifie que la carte d'un client est protégée, qu'il s'agisse d'une carte de débit, de crédit ou prépayée.

    Il est possible d'utiliser la tokenisation pour rendre les données anonymes. Certains secteurs exigent des commerçants et des entreprises qu'ils conservent des données qui ne permettent pas de remonter jusqu'à leurs propriétaires. La tokenisation permet aux entreprises de dissocier les données originales de leur source. Elle peut être utilisée pour répondre à des préoccupations d'ordre réglementaire. Toutefois, il est important de tokéniser les données de manière à ce qu'elles ne puissent pas être retracées.

    Oui, la tokenisation masque les données en remplaçant les valeurs originales par des alternatives. Les données originales ne peuvent être consultées par personne d'autre que l'émetteur. Avec la tokenisation, les données originales sont stockées en toute sécurité tandis que la version tokenisée (masquée) est mise à disposition pour être utilisée au sein de l'organisation.

    Un client n'a aucun lien avec la tokenisation. En tant que tel, il ne doit rien payer pour cela. La tokenisation est une mesure de protection prise par la banque émettrice. Dans de rares cas, elle est prise en charge par le réseau de cartes comme Mastercard ou Visa.

    Vous pouvez également être intéressé par...

    Quels sont les moyens de paiement les plus populaires en Chine ?
    Auth0: Aperçu technique et principaux avantages
    Qu'est-ce que la PSD3 ? Guide du nouveau règlement européen