L'avenir de l'authentification pour les banques et les établissements financiers

90 %
90% des attaques de logiciels malveillants commencent par du phishing.

L’année dernière a été marquée par une hausse de l’utilisation des services bancaires en ligne. Comme les Français sont restés à domicile plus que d’ordinaire, ils ont utilisé Internet pour travailler, faire des achats, garder le contact et gérer leur argent. Cette transition vers les services bancaires en ligne représente une aubaine pour les enseignes qui privilégient le digital. Toutefois, elle constitue également une cible pour les cybercriminels qui cherchent à tirer profit des violations de données et des prises de contrôle de comptes.

Les banques et leurs clients s’adaptent à une nouvelle forme de relation à distance ; ce faisant, la qualité de la protection de la sécurité en ligne va gagner en importance au fil du temps et, pour certains établissements, elle deviendra même une source d’avantage par rapport à la concurrence.

Lors de la configuration de leur compte, dans la plupart des cas, les clients ont la possibilité de créer un mot de passe combiné avec un identifiant afin d’en obtenir l’accès. Cette forme d’authentification est déjà bien connue et utilisée pour d’autres services de connexion ; ce qui l’est peut-être moins, c’est le contrôle supplémentaire d’authentification forte, comme un code d’accès unique généré par un lecteur de carte ou envoyé sous forme de message à un téléphone portable enregistré.

Les faiblesses des mots de passe

L’authentification forte, deuxième ligne de défense, est extrêmement importante pour les services financiers, car les mots de passe sont réputés pour leur incapacité à empêcher les prises de contrôle de comptes bancaires. Les mots de passe réutilisés augmentent la vulnérabilité des comptes multiples. En effet, lors d’une violation de données, ces informations peuvent se retrouver entre les mains de cybercriminels. Les identifiants peuvent également être devinés à partir d’une série de combinaisons de mots et de chiffres couramment utilisés, sans oublier que les coordonnées bancaires figurent parmi les données les plus convoitées par les acteurs malveillants.

La mise en place de contrôles d’identité supplémentaires renforce donc la sécurité, mais toutes les formes d’authentification forte ne sont pas totalement égales face aux menaces de sécurité. Ainsi, les codes à usage unique utilisés sur les téléphones portables, qui sont si populaires auprès des banques, peuvent être vulnérables SIM Swapping, une technique de piratage de plus en plus utilisée par les cybercriminels qui consiste à prendre le contrôle du numéro de téléphone d’un individu pour ensuite accéder à ses informations personnelles, y compris ses données bancaires. Ils peuvent également être vulnérables aux attaques modernes de phishing et de type « man-in-the-middle » (MitM). Dans ce type d’attaque, la victime innocente croit communiquer avec une organisation légitime, telle que sa banque, mais en réalité les informations sont interceptées et relayées par un tiers malveillant. Il n’est pas évident de les repérer, même pour les cyberinitiés, car les attaquants créent des communications personnalisées et convaincantes pour duper leurs cibles. Parmi les voies d’accès, on peut citer le Wi-Fi non protégé et les URL manipulés.

Dans le cas plus connu du phishing, les victimes sont incitées à communiquer des informations personnelles telles que leurs identifiants de connexion. Ces éléments usurpés par ce type d’attaque sont ensuite utilisés pour accéder au compte de l’utilisateur et peuvent être mis à profit pour tenter d’accéder à d’autres services dans le cadre d’une prise de contrôle de plusieurs comptes.

Gérer l’expérience client

Pour les services financiers, le recours à l’authentification la plus forte possible pour protéger les données et les comptes ne fait pas toujours bon ménage avec une expérience client optimale. Chaque vérification supplémentaire peut ajouter du temps et de la frustration à l’étape de connexion, empêchant les clients d’accéder à leur compte quand ils le souhaitent si, par exemple, ils se trouvent dans un endroit interdit aux téléphones portables.

L’authentification forte doit par conséquent satisfaire à une double exigence : protéger les données du compte, les informations financières et personnelles, tout en offrant une expérience utilisateur conviviale, de préférence sans friction. À cela s’ajoute une autre considération : la facilité avec laquelle il est possible d’intégrer une authentification supplémentaire dans les systèmes « back-end », ou arrière-plan, tant pour le portefeuille de produits existant que pour les innovations ultérieures. Compte tenu de la vitesse à laquelle les services financiers se digitalisent et le rythme auquel les paiements évoluent vers un mode « sans espèce », la plupart des banques seront confrontées à ce défi. Le secteur de la finance a aussi la lourde tâche d’assurer la conformité avec les diverses réglementations du secteur, notamment le Règlement Général sur la Protection des Données (RGPD) ou encore la nouvelle directive des services de paiement (DSP2), qui régissent l’accès aux données sensibles.

Protéger l’infrastructure au sein même des établissements

Les organismes financiers se doivent également de protéger l’accès à leurs propres systèmes et applications. Ici, les difficultés sont accentuées par le fait que la plupart des infrastructures bancaires combinent des systèmes traditionnels sur site et des services privés ou publics hébergés dans le cloud. Chacun doit être protégé contre les accès non autorisés, un défi qui a été exacerbé par la transition rapide vers le travail à domicile à grande échelle opérée l’année dernière.

Les équipes financières et les employés travaillant dans des lieux peu familiers élargissent la surface d’attaque potentielle, les réseaux domestiques et les appareils personnels intégrant soudainement le parc informatique de la banque. Une authentification multifacteurs transparente, pratique et hautement sécurisée doit être mise en place pour protéger les données et les actifs de l’entreprise afin que les employés puissent accéder aux systèmes à distance en toute sécurité, sans pour autant générer de nouveaux risques et vulnérabilités.

Les services financiers se tournent de plus en plus vers des outils matériels, tels que les clés de sécurité, pour s’assurer une authentification forte, laquelle protège les données des entreprises et des clients sans perturber ces derniers, qui se montrent toujours plus impatients. Lorsqu’il s’agit de la protection de leurs données financières contre les attaques de phishing, les utilisateurs préfèrent que les dispositifs d’authentification soient quelque chose qu’ils possèdent, plutôt que quelque chose qu’ils connaissent. Pour les clients, ces solutions assurent la protection des comptes, tandis que dans le cadre de l’entreprise, elles permettent de sécuriser l’accès aux systèmes et aux applications. Peu importe qu’il s’agisse de mettre à niveau l’infrastructure existante d’une banque ou d’une nouvelle génération de développeurs fintech opérant uniquement dans le cloud, une telle approche offre une intégration transparente avec les systèmes d’exploitation et garantit la conformité avec les normes d’authentification mondiales.

Si le secteur de la finance veut protéger efficacement les clients et leurs données tout en offrant aux consommateurs d’aujourd’hui l’expérience à laquelle ils aspirent, il n’a d’autre choix que de sortir du cadre de la protection classique pour fournir une authentification forte mais sans friction. Il est frappant de constater qu’à l’heure actuelle, les comptes des réseaux sociaux sont souvent mieux sécurisés que les comptes bancaires. Dans la mesure où les consommateurs sont de plus en plus exposés à une meilleure protection partout ailleurs, ils exigeront bientôt les mêmes garanties de sécurité pour leur compte bancaire.


A découvrir