Les banques sont-elles les futures gardiennes de l’identité ?

Pour pouvoir acheter des biens ou des services sur un site e-commerce, l’argent est essentiel. Même en entrant son identité numérique imposée par ce type de site, tels que ses identifiants, ces méthodes d’authentification ne sont pas infaillibles.

Selon Dave Birch de Consult Hyperion, auteur de "Identity is the New Money", l’identité et l’argent se dirigent vers un objectif commun : la nouvelle monnaie. Cela amène la question suivante : les banques, organismes de confiance depuis des centaines d’année de l’argent, vont-elles devenir logiquement les futures gardiennes de l’identité ?

Beaucoup de questions et défis se présentent lorsqu’on parle d’identité numérique comme : qu'est-ce que l'identité numérique exactement ? Qui possède l'identité numérique ? Qui est responsable de sa sauvegarde ? Qui est responsable si l’identité numérique est piratée, volée ou authentifiée à tort ?  Comment sécuriser les identités numériques sans nuire à l'expérience utilisateur ?

À l'ère des services internet illimités, de l'informatique mobile et de l'Internet des objets, il n'est plus possible - ni même prudent - pour les utilisateurs de saisir des informations d'identification et de répondre aux diverses questions de sécurité quand cela leur est demandé.

L’utilisation des solutions de la Fédération de l’identité et des initiatives bancaires poussées par la directive européenne DSP2, exige que les banques dévoilent ou donnent accès aux données de compte et de paiement, de manière sécurisée, en temps réel. Cela doit être fait par une application tierce, à condition d’obtenir l’autorisation du titulaire de compte. Ces accès, sont une aubaine pour les entreprises de la fintech car elles vont pouvoir améliorer, développer leur service et ainsi renforcer leurs liens avec les clients des banques.

L'identité comme base de confiance

Dave Birch et d'autres scientifiques définissent l'identité par le nom mais également par la réputation - AKA social capital - et par la confiance qu’elle inspire. Une grande partie de la réputation réside dans ce que Dave Birch appelle le graphe social. C’est-à-dire qu’il est possible de savoir, de rechercher des éléments sur une personne via ses réseaux sociaux (est-il un travailleur acharné, comment est-il considéré par ses collègues, est-il digne de confiance…). Dave Birch soutient également que le téléphone portable est en train de devenir le facilitateur principal des transactions identitaires et monétaires.

Grâce aux architectures fédérées de l’identité (AIF), les banques peuvent ainsi offrir les informations importantes sur l’identité mais aussi la réputation et la fiabilité des clients. C’est en effet un atout précieux aussi bien pour l’utilisateur que pour les banques car cette AIF est composée d’un ensemble d’organisations qui ont établi des relations de confiance entre elles afin d’échanger des données de manière sûre, tout en préservant l’intégrité et la confidentialité de l’information. Cependant, les banques sont mises au défi par l’arrivée des fintech qui utilisent les nouvelles technologies et bouleversent le monde classique de la banque en alliant : innovation et flexibilité.

Pourquoi les banques sont-elles, logiquement, les gardiennes et fournisseurs d'identité 
La confiance 

Les consommateurs font déjà confiance aux banques pour protéger leur argent et cette confiance est primordiale quand il s’agit de données. En 2017, Capgemini qui a mené une étude mondiale auprès de 7 600 consommateurs dévoile que 83% d’entre eux font confiance aux banques et aux assureurs pour protéger leurs données.

L’information

Les banques sont depuis longtemps la référence de l’identité et de l’information financière. Pour ouvrir un compte, faire un crédit ou approuver une demande d’hypothèque, les banques doivent disposer d'informations précises sur la solvabilité et l’emploi de la personne. Pour de nombreux clients, les banques détiennent des informations précieuses sur les revenus et les habitudes de consommation sur des dizaines d'années.

La directive DSP2

Cette nouvelle réglementation contraint les acteurs du secteur des paiements à repenser leur mode de fonctionnement dans un marché qui s’est ouvert à de nouvelles formes de concurrence. Certains critères tels que la sécurité, la connaissance du client, les contrôles de lutte contre le blanchiment d’argent gagnent en importance et les banques doivent appliquer des normes plus strictes en matière de vérification de l’identité de leurs clients si elles ne veulent pas faire face à de lourdes amendes.

Le contact humain / les relations humaines

L’échange en direct, de visu avec les clients est essentiel pour établir l’identité, une confiance. C’est pour cela que la plupart des banques ont des succursales dans différentes agglomérations car cela est plus pratique pour établir des relations avec les clients.

Le Le sondage mondial d'EY réalisé en 2016 auprès de 55 000 clients dans 32 pays a révélé que 60% d'entre eux estiment que la présence physique d'une banque est toujours très importante. Cependant, les banques devront repenser le rôle de leur succursale et mettre en place des stratégies et des services numériques innovants adaptés à une expérience client omnicanal. L'EFNA et le rapport World Branch 2017 de Synechron ont constaté que 58% des banques ont demandé à leurs services bancaires, destinés aux particuliers, d’amorcer une transformation : introduire une expérience digitale (38%) et rajouter de l’automatisation en libre-service (30%

L’avenir est ici

Les banques ont déjà amorcé leur transformation via des partenariats avec des organisations de gestion fédérée des identités. Par exemple :

o   Les clients des services en ligne de la banque Barclays, au Royaume-Uni peuvent désormais utiliser leurs identifiants pour accéder au processus d’enregistrement d’identité GOV.UK.

o   La Commonwealth Bank d’Australie fournit une vérification d'identité pour la sous-traitance de la plateforme en ligne d'Airtasker.

o   L'USAA a établi un partenariat avec une agence fédérale anonyme pour permettre aux utilisateurs de s'authentifier sur les deux sites avec le même nom d'utilisateur et mot de passe.

o   Capitol One utilise une application pour permettre aux sites Web d'authentifier les clients et de partager les informations d'identité.

Ce qu’il faut

Les banques sont légitimes pour être les gardiennes et les fournisseurs d’identité. Cependant, pour appuyer ce rôle et garantir l’authentification fédérée auprès des dizaines de fintech et autres services, ces institutions vont devoir continuer à améliorer leur infrastructure d'identité et d'authentification.

En plus de l'authentification multifactorielle largement répandue, le succès du "spear phishing", du "malware zero-day" et des "keyloggers" impose d'autres stratégies pour s'assurer que l'identité peut être authentifiée avec précision dans un monde de mobilité. Par exemple :

o  Conseil Fingerprinting (empreinte digitale) : identifier le dispositif d'authentification d'un utilisateur grâce au fuseau horaire de l'adresse IP, le système d'exploitation, le navigateur, les polices du navigateur et les dimensions de l'écran. Ces informations recueillies vont aider à confirmer l’Identité de l’utilisateur et vérifier également si l’appareil utilisé n’a pas été l’objet de précédentes tentatives de piratage.

o  Endpoint browser protection/ navigation protégée : permet d’identifier les logiciels malveillants et d’empêcher les attaques de hackers tels que la manipulation de session web, le détournement des cookies et les attaques "Man- in-the-Browser" qui modifient le contenu d’un site web lors de transactions frauduleuses.

o   Protection des applications : assurer que les dispositifs de transactions ne viennent pas de produits débridés et que ses applications n’ont pas été clonées ou modifiées.  

o   Analyses comportementales : exploitation des données sur les transactions antérieures des clients afin de déterminer le risque de fraude pour chaque nouvelle transaction. La majorité des clients de cartes de crédit connaissent la fonction "faire opposition" qui permet de bloquer une transaction suspecte.

Biométrie comportementale : surveiller la pression des touches du clavier, la dynamique de la souris et la frappe de l’utilisateur lors de la navigation dans les services bancaires afin d’établir un profil biométrique comportemental et donc de détecter les changements de profil.

o  Signature de transaction : obligation des clients à utiliser une authentification numérique sur les appareils mobiles permettant à l'utilisateur de pouvoir approuver une transaction avec un simple glissement de doigt.

Il ne fait aucun doute que les banques vont développer de nouveaux services pour rivaliser avec les fintech tels que ceux relatifs aux regroupements de comptes, aux demandes de paiements et aux innovations. Cependant, leur rôle de surveillant d’identité sera indispensable tant que les innovations financières évolueront. Les banques ont leurs propres challenges, défis en fonction du développement des fintech mais avoir la confiance de leurs clients et détenir les informations sur l’identité sont des atouts qu’elles peuvent apporter.

Même si on détient toujours son identité dans 10 ans, sa banque peut être le gardien et fournisseur de confiance.