10 ans en préparation : les régulateurs financiers mettent à jour le guide d'authentification FFIEC

Pour la première fois en une décennie, les États-Unis Conseil fédéral d'examen des institutions financières ( FFIEC ) a mis à jour son Authentification et accès aux services et systèmes des institutions financières Orientation au 11 août 2021. Si 10 ans entre les mises à jour semblent longs, c'est le cas. Il y a dix ans, la dynamique autour de la cybersécurité, de la sécurité de l'information et de l'évaluation des risques était différente.

Les ransomwares n'existaient pas et la vérification basée sur les connaissances (KBV), où une personne se voit présenter une liste de questions pour vérifier son identité avant de recevoir des informations d'authentification, était la norme et, pour la plupart, digne de confiance.

La FFIEC est un organe interinstitutions formel composé du Conseil des gouverneurs du Système fédéral de réserve (FRB), de la Federal Deposit Insurance Corporation (FDIC), de la National Credit Union Administration (NCUA), du Bureau du contrôleur de la monnaie (OCC ) et le Bureau de protection financière des consommateurs (CFPB). La FFIEC est chargée de « faire des recommandations pour favoriser l'uniformité de la surveillance des institutions financières ».

Le guide de la FFIEC s'applique aux institutions financières réglementées (IF) et aux tiers qui fournissent un accès aux systèmes d'information et aux contrôles d'authentification au nom de l'IF. Selon le Guide, les « principes et pratiques s'adressent aux entreprises et aux consommateurs, aux employés et aux tiers qui accèdent aux services bancaires numériques et aux systèmes d'information des institutions financières ».

Faits saillants du nouveau guide de la FFIEC

La FFIEC recommande que les IF identifient leurs utilisateurs et clients qui justifient des contrôles d'authentification et de gestion des accès ainsi que les utilisateurs et clients qui peuvent exiger des contrôles d'authentification plus stricts, comme l'authentification multifacteur (MFA).

De manière appropriée, la FFIEC avertit les IF réglementées que l'authentification à un seul facteur, généralement quelque chose que l'on connaît comme un nom d'utilisateur et un mot de passe statique, est insuffisante. Il déclare que : « Les attaques contre les systèmes et les utilisateurs protégés par une authentification à un seul facteur conduisent souvent à un accès non autorisé entraînant le vol ou la destruction de données, des impacts négatifs de ransomware, la fraude de compte client et l'usurpation d'identité. En conséquence, l'utilisation de l'authentification à un seul facteur comme seul mécanisme de contrôle s'est avérée inadéquate contre ces menaces. »

Le guide ajoute également que « ... les activités malveillantes entraînant la compromission des comptes des clients et des utilisateurs et la sécurité du système d'information ont montré que l'authentification à un seul facteur, seule ou en combinaison avec une sécurité en couches, est inadéquate dans de nombreuses situations. »

Ceci est soutenu par une présentation au Forum FedID 2020 par le Financial Crimes Enforcement Network (FinCEN) du département du Trésor américain.Le FinCEN a décrit comment les criminels exploitent les faiblesses des systèmes d'identité pour commettre plus d'un milliard de dollars chaque mois dans la cybercriminalité.Les principales cibles de l'authentification faible incluent la compromission des e-mails professionnels (BEC), qui représente 433 millions de dollars de pertes par mois, suivie de près par les attaques de prise de contrôle de compte (ATO) qui volent 350 millions de dollars par mois.

En outre, la FFIEC note à juste titre que toutes les solutions MFA n'offrent pas la même convivialité et la même sécurité. Il souligne que "certains facteurs MFA peuvent être sensibles aux attaques" Man in the Middle "(MIM), par exemple lorsqu'un pirate informatique intercepte un code de sécurité à usage unique envoyé à un client". Ceci est vrai car le NIST utilise cet exemple dans son Directives relatives à l'identité numérique : authentification et gestion du cycle de vie (Publication spéciale 800-63B). En juillet 2020, le NIST a publié Publication spéciale 800-63 : FAQ sur les lignes directrices sur l'identité numérique rappelant aux lecteurs que SMS-OTP est un « limité ” authentificateur.

Bien que les directives mises à jour couvrent le paysage des menaces en expansion et mentionnent que les services bancaires numériques se sont étendus via les applications pour smartphones, l'informatique mobile et d'autres technologies, ils manquent une occasion de recommander aux IF de sécuriser leurs applications contre les logiciels malveillants, d'empêcher la falsification et le débogage et de sécuriser leur application mobile. même sur des appareils jailbreakés, rootés et potentiellement compromis.

Section 11 : Vérification de l'identité

La section 11 du guide se concentre sur la vérification de l'identité, un élément essentiel des réglementations Know Your Customer (KYC). Il note que « les méthodes de vérification qui détectent les activités frauduleuses, telles que les identités synthétiques et les cas d'usurpation d'identité, se sont avérées efficaces pour minimiser les risques associés à la vérification de l'identité. » Ceci est particulièrement critique étant donné que dans la présentation FinCEN mentionnée ci-dessus, le vol d'identité et la fraude d'identité synthétique représentent désormais 256 millions de dollars américains de cybercriminalité chaque mois.

La FFIEC souligne que « les méthodes de vérification fiables ne dépendent généralement pas uniquement de questions fondées sur les connaissances pour vérifier l'identité ». Nous acceptons et recommandons des méthodes de vérification d'identité numérique telles que Vérification des documents d'identité et comparaison faciale .

Ces technologies connaissent une adoption rapide en raison de la pandémie. Alors que la pandémie a forcé les institutions financières à embarquer à distance de nouveaux clients, le calendrier de 2018 Loi sur la croissance économique, l'allégement de la réglementation et la protection des consommateurs a permis à de nombreuses IF de continuer à acquérir de nouveaux clients en dehors d'une succursale et sans avoir besoin d'une législation d'urgence. L'article 213 de la loi autorise l'utilisation d'un permis de conduire numérisé ou d'une autre carte d'identité émise par le gouvernement, vérifiée pour être authentique et combinée à la vérification de l'individu, ce qui pourrait inclure KBV et faire correspondre la photo sur le permis de conduire à un selfie pris sur son téléphone portable pendant le processus de demande.Cela tire parti de la technologie d'appariement facial et le processus satisfait aux exigences de la FFIEC.

Évaluation des solutions d'authentification

Pour aider les IF à sélectionner des solutions d'authentification appropriées à leur niveau de risque, le Guide comprend une annexe qui répertorie les options d'authentification clés, telles que :

• Authentification basée sur l'infrastructure à clé publique (PKI) : Les solutions certifiées par le Alliance Fast Identity Online (FIDO) conforme au cahier des charges de l'Alliance. Bien que la FFIEC ne nomme pas spécifiquement FIDO, elle note la publication spéciale 1800-17 du NIST, Authentification multifacteur pour le commerce électronique : implémentations FIDO Universal Second Factor basées sur les risques pour les acheteurs .
• Mots de passe à usage unique (OTP) à l'aide d'un matériel spécifique ou d'une application mobile. (Remarque, ce n'est pas la même chose que SMS-OTP.)
• Biométrie comportementale : Cette technologie d'authentification analyse la façon dont une personne interagit avec son appareil, y compris la dynamique de la frappe, la pression des doigts sur le clavier et l'angle sous lequel elle tient son téléphone. Il permet une authentification persistante mais totalement transparente tout au long de la session bancaire.
• Identification et inscription de l'appareil : Les identifiants ou caractéristiques uniques, tels que la géolocalisation et l'adresse IP, « d'un appareil sont identifiés et utilisés pour s'authentifier en obtenant une « empreinte digitale » complexe de l'appareil ou par d'autres techniques d'identification sécurisées ».

Avec l'évolution rapide des technologies de l'information, des contrôles de sécurité et des menaces liées à l'environnement bancaire en ligne, je ne m'attends pas à ce que la FFIEC attende encore une décennie pour mettre à jour ses directives d'authentification pour les IF.

En tant que l'un des secteurs d'infrastructure critiques du pays, il est essentiel que le secteur des services financiers se conforme à ces directives pour protéger les clients et leurs informations, la réputation de leur marque et la valeur actionnariale grâce à une authentification efficace. Alors que de nombreuses IF proposent aujourd'hui à leurs clients des solutions d'authentification forte, toutes ne le font pas. La bonne nouvelle pour les clients bancaires américains est que si votre institution financière ne vous a pas déjà offert la possibilité d'utiliser votre propre appareil pour une authentification plus forte, il y a de fortes chances que ce soit bientôt le cas.