L'authentification renforcée redéfinit la sécurité des transactions bancaires
Les attaques frauduleuses sont de plus en plus sophistiquées et fréquentes – selon la Fédération bancaire française, la moitié des citoyens interrogés disent en avoir déjà été victimes (52%).
De son côté, la Banque de France dresse un constat similaire dans un rapport de 2022[1] : 7,2 millions de transactions frauduleuses ont été réalisées en 2022, représentant un préjudice de 1,192 milliard d'euros. Les institutions financières sont donc contraintes d’améliorer constamment leurs mesures de sécurité pour protéger les informations et les transactions sensibles. L'authentification renforcée ou « step-up » semble être l'une des solutions les plus efficaces pour renforcer la sécurité sans compromettre l’expérience client. Mise en lumière de ce concept singulier, ses cas d’usages et ses différences avec les autres méthodes d’authentification.
La restriction des accès, clé de la maîtrise des opérations à risque
Mais qu'est-ce que l'authentification « step-up » ? Ce terme désigne la pratique consistant à exiger des étapes d'authentification supplémentaires pour certaines activités à risque, notamment dans le secteur bancaire. Contrairement à l’authentification multifacteur (MFA), qui exige plusieurs facteurs d'authentification lors de la première connexion, comme un mot de passe et la saisie d'un code généré par une application d'authentification, l'authentification « step-up » est déclenchée lors de certaines actions considérées comme sensibles. Par exemple le transfert d'une somme d'argent importante, l'accès à des données personnelles, ou la modification de celles-ci. Cette approche garantit que seuls les utilisateurs autorisés peuvent effectuer ces actions à haut risque. La menace de fraude est ainsi considérablement réduite.
Prenons le cas d’un utilisateur qui se connecte à son compte bancaire et souhaite transférer une somme d'argent importante. Le système peut lui demander de saisir un code envoyé sur son smartphone, de vérifier son identité par une vérification biométrique ou de passer par une identité numérique. Une solution d’identité numérique simplifie et sécurise l’enrôlement et l’authentification. Elle permet aux utilisateurs de vérifier et de réutiliser leur identité numérique de manière instantanée. Les utilisateurs peuvent remplacer les mots de passe traditionnels par une authentification robuste et réutilisable, rendant ainsi les échanges numériques plus sûrs et plus pratiques. Ce niveau de protection supplémentaire garantit que même si un fraudeur a pu accéder à un compte dans un premier temps, il ne pourra pas effectuer d'actions critiques sans vérification supplémentaire.
Protection forte et fluidité : un équilibre stratégique
L'objectif premier de l'authentification « step-up » est de trouver un équilibre entre sécurité et facilité d'utilisation. En adaptant la demande d'identité au niveau du risque de l'action, elle offre une protection fiable sans complications inutiles pour l’utilisateur. Cette adaptabilité est essentielle pour la lutte contre la fraude, car elle permet de mettre en place des mesures de sécurité flexibles – telles que les identités numériques – qui ne perturbent pas l'utilisateur dans l'exécution d'activités de routine, tout en renforçant la protection dans les cas où elle est le plus nécessaire.
Cette approche novatrice s'avère cruciale face aux défis croissants auxquels sont confrontées les institutions financières. En effet, ces dernières font face à une recrudescence alarmante des cas de fraude, allant de l'usurpation d'identité à la prise de contrôle de comptes. Une analyse quantitative réalisée par le cabinet d'études Aberdeen[2]montre que l'impact global des prises de contrôle de comptes est désormais si important qu'il peut entraîner des risques commerciaux considérables pour les banques. A titre d’exemple, le préjudice financier dans la région EMEA s'élève à plus de 12 millions d'euros par an.
L'authentification « step-up » joue ainsi un rôle important dans la réduction de ces types de fraude en garantissant que les transactions à risque et les modifications des paramètres du compte, comme l'ajout d'un nouveau bénéficiaire ou la réinitialisation d'un mot de passe, sont soumises à des processus de vérification stricts. Cela protège à la fois l'institution financière et ses clients, et réduit la probabilité d'un accès non autorisé au compte.
Nouvelle génération d'authentification : dépasser les standards actuels
Dans le cas d’une compromission de compte, un criminel prend possession du compte bancaire réel d'une autre personne, soulignant l’urgence de mettre en place des systèmes d’authentification plus robustes et adaptatifs, à l’image de l'authentification « step-up », qui apporte un verrou supplémentaire aux autres méthodes de sécurité MFA et RBA.
- L'authentification multifactorielle (MFA) joue la carte de la sécurité renforcée. En exigeant plusieurs preuves d'identité à chaque connexion, elle élève considérablement le niveau de protection. Elle peut également être utilisée dans le cadre d’un processus d’authentification par étapes. Cependant, cette exigence peut s’avérer contraignante, transformant l'accès quotidien aux services en un parcours du combattant numérique.
- L'authentification basée sur les risques (RBA) se veut plus subtile. Tel un observateur vigilant, elle scrute chaque tentative de connexion, évaluant le risque en temps réel. Un appareil inconnu ou un comportement inhabituel ? La RBA dresse aussitôt des barrières supplémentaires. Néanmoins, son approche uniforme ne fait pas de distinction entre les différentes activités au sein d'un même compte.
- C'est là que l'authentification « step-up » entre en scène, alliant le meilleur des deux mondes. Flexible et intelligente, elle adapte son niveau de sécurité à la sensibilité de l'action entreprise. Les tâches routinières restent fluides, tandis que les opérations délicates bénéficient d'un bouclier renforcé. De la vérification de documents à la reconnaissance biométrique, en passant par l’identité numérique, elle déploie un éventail de méthodes pour garantir que seuls les utilisateurs légitimes franchissent ses barrières, et ce, uniquement lorsque cela est nécessaire.
Les prestataires de services financiers et autres institutions à haut risque peuvent donc utiliser l'authentification « step-up » pour protéger les points de contact critiques du parcours client, tels que la réinitialisation des mots de passe, le changement de bénéficiaire et la demande de nouveaux services. En intégrant ces méthodes d'authentification, comme les identités numériques, les institutions financières seront en mesure de mieux protéger leurs clients et ainsi conserver leur confiance. Une défense essentielle dans le paysage numérique actuel, où les attaques contre les comptes bancaires se multiplient.
[1] Banque de France - Observatoire de la sécurité des moyens de paiement (2022)
[2] https://www.nevis.net/de/offers/credential-stuffing-und-kontouebernahmen-im-b2c-bereich