Le défi de l’authentification forte dans le secteur bancaire – Par Philippe Regniers, Gemalto

La révolution numérique touche pratiquement tous les secteurs d’activité. Les services financiers ne font pas exception à la règle obligeant les autorités, tant nationales qu’européennes, à légiférer afin d’encadrer la numérisation des services financiers.

L’Union Européenne a récemment promulgué le Règlement Général sur la Protection des Données (RGPD) qui touche plusieurs secteurs. Le secteur des services financiers se prépare, lui, à l’application de la deuxième Directive sur les Services de Paiement (DSP2), votée en 2015 par le Parlement européen et actuellement en cours de transposition par les États membres. Cette directive entrera en vigueur dans la plupart des États de l’Union européenne dès le début de l’année 2018.

L’une des principales nouveautés de la DSP2 est l’obligation de mise en œuvre d’une authentification forte du client afin d’améliorer la sécurité des transactions. Cette directive est loin d’avoir reçu un accueil favorable unanime. En effet, certains opérateurs de paiement peinent encore à mettre en place ces mesures additionnelles de mise en conformité.

Mais comment les banques doivent-elles se conformer à ces normes ? Principalement en utilisant au moins deux des trois éléments suivants pour authentifier leurs clients :

  • Quelque chose qu’ils possèdent (une carte de crédit)
  • Quelque chose qu’ils connaissent (un mot de passe ou un code PIN)
  • Quelque chose qui les identifie (les empreintes digitales, le visage, la voix)

Aujourd’hui, la combinaison la plus couramment utilisée regroupe les deux premiers facteurs. Mais avec l’utilisation croissante des appareils mobiles pour les transactions bancaires, la biométrie (reconnaissance faciale, vocale ou encore comportementale) est vouée à prendre de plus en plus d’importance.  Nombreux sont les smartphones qui intègrent aujourd’hui des fonctions de reconnaissance d’empreintes digitales et de reconnaissance faciale. 

Comment la réglementation peut-elle être bénéfique aux banques ?

Les réglementations, telles que la directive DSP2, sont indispensables pour maintenir les avancées technologiques du monde numérique et les besoins de sécurité qui en découlent.

Depuis la première directive sur les services de paiement en 2007, la sécurité s’est améliorée pour les institutions financières – comme le démontre le rapport annuel Breach Level Index qui analyse les incidents de violation de données dans divers secteurs économiques. Dans le secteur des services financiers, le nombre d’incidents de violation diminue depuis plusieurs années. En 2016, ce secteur comptabilisait seulement 1 % de pertes de données**. Même si les cybercriminels sont de toute évidence attirés par les précieuses informations détenues par les banques, le secteur a fait ses preuves en mettant en œuvre des mesures de sécurité qui ont permis de réduire le nombre d’incidents.

À l’heure actuelle, la mise en œuvre technique de l’authentification forte du client n’est qu’un des aspects d’un plus grand défi à relever en matière de sécurité. Pour réussir, les banques et autres fournisseurs de services financiers doivent s’assurer que les utilisateurs bénéficient de l’amélioration des mécanismes de protection. Une récente enquête a analysé l’importance de la protection des données et de la facilité d’utilisation lors de la sélection d’un service de paiement. Des utilisateurs finaux en Australie, au Benelux, en France, en Allemagne, en Russie, aux Émirats Arabes Unis, en Arabie Saoudite, en Inde, au Japon, au Royaume-Uni et aux États-Unis ont été invités à partager leurs expériences et leurs attentes.***

Les résultats de cette enquête ont montré l’importance de la sécurité pour les consommateurs. En effet, 58 % des sondés s’attendent à subir un vol de données dans le futur. A titre d’exemple, si les données dérobées étaient détenues par une enseigne en ligne, 60 % des interrogés arrêteraient d’effectuer leurs achats sur ce site marchand – principalement pour sanctionner le manque de sécurité. Ce pourcentage passe à 66 % pour les entreprises subissant un vol d’informations financières ou d’autres données sensibles.

Bien que les réglementations se soient attachées depuis longtemps à protéger les consommateurs, les nouvelles technologies offrent de nouvelles possibilités d’attaques, les cybercriminels sont de mieux en mieux organisés, et le secteur des services financiers se doit de toujours garder une longueur d’avance.

Prêts pour cette nouvelle ère bancaire ? 

Les défis à relever pour mettre en œuvre une authentification forte pour les clients sont considérables car ils impliquent de nombreux acteurs et diverses procédures. Les technologies et processus sélectionnés doivent se conformer aux normes établies, tout en respectant les attentes des utilisateurs.

Outre les enjeux de conformité, les facteurs psychologiques doivent également être pris en compte. En effet, les institutions politiques ne sont pas les seules à réclamer davantage de sécurité : les consommateurs estiment que les fournisseurs de services ont aussi une obligation dans ce domaine. Selon l’enquête consommateur mentionnée précédemment, les utilisateurs pensent que la sécurité relève à 70 % de la responsabilité des entreprises, et seulement à 30 % des utilisateurs.

Mais les consommateurs ne souhaitent pas seulement bénéficier de plus de sécurité : ils veulent aussi un plus grand confort d’utilisation. Si la sécurité doit les ralentir, ils abandonneront tout simplement leur panier d’achat virtuel, ce qui aurait pour conséquence une baisse de satisfaction des consommateurs, des commerçants, et des opérateurs de paiement.

Pour relever les défis liés aux nouvelles technologies, aux exigences de conformité et aux demandes des utilisateurs en matière de sécurité et de commodité, les entreprises doivent se doter de partenaires pouvant leur apporter un savoir-faire en authentification et vérification. Ces systèmes sont d’une grande complexité et nécessitent des compétences spécifiques pour garantir la conformité aux normes et améliorer la qualité des services, tout en trouvant un équilibre parfait entre sécurité et commodité.

Comment bénéficier de la création de valeur ?

L’Union européenne a clairement indiqué son souhait d’ouvrir le marché des services financiers à de nouveaux acteurs. Bien que les banques puissent se sentir menacées par cette déclaration, elles peuvent jouer sur la demande accrue de sécurité et faire basculer le rapport de force en leur faveur. Pour ce faire, elles doivent pouvoir proposer des solutions de sécurité répondant à la fois aux attentes des utilisateurs et du législateur. Les fournisseurs de services de paiement doivent développer des méthodes d’authentification protégeant les utilisateurs, tout en autorisant de nouveaux usages. Grâce à leurs bases de clients existants, ils bénéficient d’un avantage pour se positionner dans le cadre de cette révolution numérique.

Mais, ils doivent faire preuve de la plus grande prudence lors de la gestion des différentes tâches, telles que la sécurité et la certification, qui leur garantiront une adoption rapide de leurs services. Un simple faux pas pourrait ruiner tous leurs efforts. C’est la raison pour laquelle, l’authentification forte du client représente bien plus qu’un enjeu technologique ou légal. C’est un élément essentiel à la sécurité : une sécurité qui offrira aux banques de nouvelles perspectives, et qui leur permettra d’innover et de bénéficier de la création de valeur.

 

1 L’authentification forte est, en sécurité des systèmes d’information, une procédure d’identification qui requiert la concaténation d’au moins deux facteurs d’authentification.

** Breach Level Index 2017 http://www.breachlevelindex.com/

*** Breach Level Index 2017 « Consumer vs Business » http://www6.gemalto.com/2016-data-breaches-customer-loyalty-report-pr

Morgane Palomo
Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?