TYC : la nouvelle équation de la confiance numérique

Au-delà de la vérification d’identité initiale, les institutions financières doivent recalculer la confiance à chaque interaction client. La fraude s’est déplacée vers la durée du compte, obligeant les organisations à passer d’une architecture KYC (Know Your Customer) à une logique TYC (Trust Your Customer) capable de corréler en temps réel identité, appareil, contexte et comportement.

Christophe Chaput, Principal Product Manager
By Christophe Chaput Published on 1 juillet 2026 4h00
Verification,action,professionals,working,process,performance,password,and,register
TYC : la nouvelle équation de la confiance numérique - © Economie Matin
29%Les demandes d'assistance pour fraude aux virements ont augmenté de 29% en 2024.

Vérifier l'identité d'un client dès le premier contact n'a jamais été aussi efficace. Et pourtant, cela n'a jamais été aussi insuffisant. Une bascule silencieuse est en train de redéfinir ce que les entreprises doivent à leurs clients, et ce que les régulateurs exigeront demain.

Toute entreprise qui opère en ligne a passé la dernière décennie à perfectionner la reconnaissance et l'identification de ses clients dès leur arrivée. Vérification documentaire, biométrie, contrôles renforcés…

La France, en particulier, s'est dotée d'un écosystème d'identification parmi les plus exigeants d'Europe. Les résultats sont là.

Ouvrir un compte frauduleusement, en 2026, est devenu beaucoup plus difficile qu'il y a cinq ans.

Et pourtant, la fraude n'a pas reculé. Elle s'est déplacée.

Elle s'est déplacée parce que les attaquants ont compris ce que les institutions tardent à reconnaître : vérifier l'identité ne garantit pas de pouvoir faire confiance dans la durée. La vérification de l'identité se joue en quelques minutes. La confiance, elle, ne se décrète pas, elle se construit dans la durée, à chaque interaction. C'est ce décalage, longtemps ignoré, qui pose aujourd'hui un vrai problème.

La fraude vit dans la durée

L'essentiel des pertes constatées aujourd'hui par les institutions financières européennes ne provient plus du moment de l'inscription, mais de tout ce qui se joue après, souvent longtemps après la création du compte. Des identités synthétiques sont construites pour franchir les contrôles initiaux puis activées des mois plus tard, des prises de contrôle progressives de comptes parfaitement légitimes sont réalisées, des manipulations en temps réel d'utilisateurs authentiques amenés à autoriser eux-mêmes la transaction frauduleuse. Et toutes ces fraudes partagent un point commun ; aucune n'aurait pu être bloquée par un meilleur contrôle lors du processus d'inscription et d'identification. Elles se construisent là où l'identification initiale ne regarde plus.

Une entreprise qui ne sécurise que l'entrée à ses services se retrouve aveugle au risque auquel elle est exposée. Elle peut être parfaitement conforme à ses obligations, et structurellement vulnérable.

Le paradoxe français

La France illustre cette tension mieux que personne. Elle a bâti un référentiel d'exigence pour la vérification d'identité à distance appelé PVID, qui est un des dispositifs les plus solides d'Europe. Cette avance devrait être un atout. Cette excellence devrait être un avantage compétitif. Elle peut devenir, paradoxalement, un piège, si elle entretient l'illusion que la robustesse de l'identification dispense d'une vigilance continue sur les comportements et les usages.

Or c'est précisément après l'identification que la fraude prospère. Une fois le compte ouvert, la vigilance s'effondre. On surveille les transactions, isolément. On programme des revues périodiques, espacées de plusieurs mois. On ne remet jamais vraiment en question la confiance accordée à l'entrée, même quand le comportement du client a changé. Ce déséquilibre entre la rigueur à l'entrée et le relâchement dans la durée n'est plus tenable. Ni face aux attaquants, ni face aux régulateurs, ni face aux clients eux-mêmes.

Une exigence qui change de nature

Les autorités européennes ont commencé à durcir leurs attentes, et surtout, à changer ce qu'elles regardent. Hier, un régulateur jugeait un dispositif sur ses procédures. Demain, il le jugera sur sa capacité à réagir en temps réel à un risque qui bouge. Être conforme ne va pas cesser de compter, mais ça ne suffira plus à se protéger.

Plusieurs sanctions récentes infligées à des établissements pourtant en règle envoient déjà ce signal. Il ne suffit plus d'être en règle sur le papier, il faut démontrer que le dispositif fonctionne, à chaque instant, sur chaque client.

Ce qui sépare ceux qui ont compris de ceux qui suivent

Dans les comités exécutifs qui ont engagé cette transformation, la conversation a changé. On ne parle plus d'empiler les contrôles à l'entrée ; on parle d'orchestrer ce qui se joue après. On ne parle plus d'ajouter des contrôles ; on parle de les unifier, parce que la confiance ne se lit pas dans un signal isolé, mais dans la cohérence de plusieurs signaux.

Cette orchestration ne tient pas à une multiplication des outils. Elle suppose une lecture unifiée, portée par une infrastructure unique, capable de corréler en temps réel ce que l'identité, l'appareil, le contexte et le comportement disent ensemble d'un même client. C'est ce changement d'architecture, plus que n'importe quelle nouvelle fonctionnalité, qui définit aujourd'hui la frontière entre les organisations en avance et les autres.

Au passage, cette logique résout une vieille contradiction. Pendant des années, sécurité et expérience client ont été présentées comme un arbitrage : plus de sécurité, plus de friction. Cette opposition n'a plus lieu d'être. Une lecture continue et corrélée du risque permet exactement l'inverse, alléger la friction pour la grande majorité des clients dont le comportement reste cohérent, et concentrer la rigueur sur la minorité qui présente une rupture de signal.

Fluidité quand tout va bien, vigilance quand quelque chose change. C'est ce que les anciennes architectures de KYC, par construction, ne pouvaient pas offrir.

Le vrai test

C'est ce changement d'architecture qui sépare aujourd'hui les institutions qui défendent réellement leurs clients de celles qui se contentent de les avoir identifiés. Le Trust Your Customer (TYC) ne se substitue pas au KYC. Il en prolonge la logique sur la durée du compte, là où se concentre désormais l'essentiel du risque. Pour les dirigeants qui en font le choix, ce n'est ni un sujet de conformité ni un sujet de sécurité au sens étroit. C'est un sujet de continuité : la capacité, à chaque interaction, de savoir avec qui l'on traite. Dans un environnement où les identités circulent, se recomposent et se compromettent, cette continuité n'est plus une option défensive. Elle devient ce qui qualifie une institution sérieuse.

No comment on «TYC : la nouvelle équation de la confiance numérique»

Leave a comment

* Required fields