L’année écoulée a été marquée par une augmentation de l’utilisation des services bancaires numériques. Alors que les gens restaient à la maison, ils sont allés en ligne pour travailler, faire des achats, rester en contact et gérer leur argent.

Si ce passage à la banque en ligne représente une opportunité pour les prestataires de services ayant une approche numérique, il constitue également une cible pour les cybercriminels désireux de tirer profit des violations de données et des rachats de comptes. Les banques et leurs clients s’adaptent à une nouvelle relation à distance ; à mesure qu’ils le font, la force de la protection de la sécurité en ligne deviendra un sujet de discussion plus important et, pour certaines institutions, même une source d’avantage concurrentiel.

Selon certains rapports, pas moins de six millions de personnes au Royaume-Uni sont passées à la banque numérique en mars/avril de l’année dernière. Les clients qui créent leur compte auront créé un mot de passe ou un numéro d’identification personnel (NIP) à utiliser avec un code d’utilisateur pour accéder à leur compte.

Cette forme d’authentification est familière aux autres services de connexion ; ce qui l’est moins, c’est le contrôle supplémentaire de l’authentification forte du client (SCA), tel qu’un code d’accès à usage unique généré par un lecteur de carte ou envoyé sous forme de texte à un téléphone mobile enregistré.

Faiblesses des mots de passe

Cette deuxième ligne de défense est extrêmement importante pour les services financiers, car les mots de passe sont notoirement faibles pour empêcher les prises de contrôle de comptes bancaires. La réutilisation des mots de passe rend plusieurs comptes vulnérables si une violation des données met ces informations entre les mains de cybercriminels.

Les mots de passe peuvent également être devinés grâce à une série de combinaisons de mots et de chiffres couramment utilisées, et les coordonnées bancaires font partie du butin le plus convoité en cas de violation de données.

Des contrôles d’identité supplémentaires renforcent donc la sécurité, mais toutes les formes d’authentification renforcée ne sont pas totalement résistantes aux menaces de sécurité. Les codes à usage unique basés sur la téléphonie mobile, si populaires auprès des banques, par exemple, peuvent être vulnérables au remplacement de la carte SIM et aux attaques modernes de type « man-in-the-middle » (MitM) et de phishing.

Lors d’une attaque MiTM, la partie innocente croit qu’elle communique avec une organisation légitime, comme sa banque, mais en réalité les informations sont interceptées et relayées par un tiers malveillant. Il n’est pas facile de reconnaître ce type d’attaque, même pour les cyberfutés, car les attaquants créent des communications personnalisées et convaincantes pour tromper leurs cibles. Les voies d’accès peuvent être des réseaux Wi-Fi non protégés et des URL manipulées.

Dans le cas de l’attaque par hameçonnage, plus connue, les personnes sont amenées à communiquer des informations personnelles, telles que des données de connexion. Les informations d’identification hameçonnées sont ensuite utilisées pour accéder au compte de l’utilisateur et peuvent être utilisées contre d’autres services dans le cadre d’une prise de contrôle de plusieurs comptes.

Gérer l’expérience client

Pour les services financiers, l’authentification la plus forte possible pour protéger les données et les comptes ne va pas toujours de pair avec la meilleure expérience client. Chaque vérification supplémentaire peut ajouter du temps et de la frustration à l’expérience de connexion, empêchant les clients d’accéder à leurs comptes quand ils le souhaitent – si, par exemple, ils se trouvent dans un endroit où la mobilité est restreinte.

L’authentification forte doit donc répondre à la double exigence de protéger les détails du compte et les informations financières et personnelles, tout en offrant une expérience utilisateur pratique, de préférence sans friction.

À cela s’ajoute une autre considération : la facilité avec laquelle il est possible d’intégrer une authentification supplémentaire dans les systèmes dorsaux, tant pour le portefeuille de produits existant que pour les innovations futures. Compte tenu de la vitesse à laquelle les services financiers se numérisent et les paiements deviennent scripturaux, c’est un défi que la plupart des banques trouveront préoccupant.

Le secteur financier est également confronté au besoin crucial d’assurer la conformité avec les diverses réglementations du secteur, notamment le GDPR, le PCI DSS et les mandats PSD2 qui régissent l’accès aux données sensibles.

Protéger l’infrastructure de l’entreprise

Les institutions financières doivent également protéger l’accès à leurs propres systèmes et applications. Ici, le défi est exacerbé par le fait que la plupart des infrastructures bancaires sont un mélange de systèmes hérités sur site et de services privés ou publics hébergés dans le cloud.

Elles doivent toutes être protégées contre les accès non autorisés, un défi qui a été accentué par la transition rapide vers le travail à domicile à grande échelle l’année dernière.

Les équipes financières et les employés travaillant depuis des lieux inconnus élargissent la surface d’attaque potentielle, les réseaux domestiques et les appareils personnels faisant soudainement partie du parc informatique d’une banque. Une authentification multifactorielle (MFA) transparente, pratique et à haut niveau d’assurance doit être mise en place pour protéger les données et les actifs de l’entreprise afin que les employés puissent accéder aux systèmes à distance en toute sécurité sans introduire de nouveaux risques et vulnérabilités.

Les services financiers commencent à adopter des outils matériels tels que les clés de sécurité comme moyen d’authentification forte, qui protègent les données des entreprises et des clients sans incommoder des clients financiers de plus en plus impatients. Lorsqu’il s’agit de leurs données financières, les utilisateurs apprécient que les dispositifs d’authentification soient quelque chose qu’ils possèdent, plutôt que quelque chose qu’ils connaissent, afin de se protéger contre les attaques de phishing.

Pour les clients, ils assurent la protection des comptes, tandis que dans le cadre de l’entreprise, ils peuvent sécuriser l’accès aux systèmes et aux applications. Qu’il s’agisse de mettre à niveau l’infrastructure existante d’une banque ou d’une nouvelle génération de développeurs fintech opérant uniquement dans le cloud, une telle approche peut offrir une intégration transparente aux systèmes d’exploitation et une conformité aux normes d’authentification mondiales.

Si le secteur de la finance veut protéger efficacement les clients et leurs données tout en offrant l’expérience utilisateur que les consommateurs d’aujourd’hui attendent, il doit aller au-delà des méthodes de protection de base pour fournir une authentification forte mais sans friction.

Il est choquant de constater que les comptes de médias sociaux sont souvent plus sécurisés que les comptes bancaires à l’heure actuelle. Comme les consommateurs sont de plus en plus exposés à une meilleure protection ailleurs, ils exigeront bientôt les mêmes garanties de sécurité pour leur compte bancaire.