Authentification avancée : un plan d’attaque pour votre pile d’authentification
La dernière année a été marquée par une expansion spectaculaire des services bancaires numériques, ce qui amène la nécessité de faire appel à des méthodes modernes d’authentification avancée. En fait, certaines banques ont signalé qu’en mars et avril 2020, elles ont vu une augmentation pouvant atteindre 200 % dans le nombre de leurs clients accédant pour la première fois aux canaux de libre-service bancaire numériques par l’entremise d’un appareil mobile ou d’un navigateur Web. Au moins quatre de ces nouveaux utilisateurs finaux sur cinq, si ce n’est pas plus, continueront de réaliser certaines de leurs opérations bancaires en ligne. Dans un contexte où les fraudeurs ciblent très activement les utilisateurs de services bancaires numériques, il est encore plus urgent pour les banques de renforcer leur gestion des accès et de passer à une pile d’authentification moderne afin de protéger les transactions et les renseignements confidentiels de leurs clients.
Récemment, OneSpan a organisé un webinaire sur la façon dont les institutions financières peuvent dresser un plan pour moderniser leur authentification, surmonter les réticences à investir dans l’authentification et obtenir l’adhésion des dirigeants de l’entreprise. Le webinaire a été présenté par David Mattei, analyste principal du service de la lutte contre la fraude et le blanchiment d’argent à Aite-Novarica Group, ainsi que par OneSpan.
Si vous avez manqué ce webinaire, en voici les faits saillants. Vous pouvez également voir le webinaire complet sur demande .
Des maillons faibles dans les méthodes de défense contre la fraude et dans l’authentification de base
Les recherches d’Aite-Novarica Group démontrent qu’entre 2005 et 2021 environ, les banques de démarquaient à titre de chefs de file dans la protection des comptes en ligne.
Or, aujourd’hui, les mots de passe sont devenus un problème persistant. Le vol de mots de passe, conjugué à la distribution de mots de passe volés sur le Web invisible (ce qu’on appelle le password dumping en anglais), est toujours la méthode que les fraudeurs utilisent le plus couramment pour obtenir l’accès à un compte utilisateur. Les consommateurs s’exposent à des risques lorsqu’ils choisissent des mots de passe peu robustes ou déjà utilisés par le passé, ou compromettent la sécurité de leurs propres données en adoptant des comportements non sécuritaires comme la divulgation de mots de passe à une autre personne. De plus, certains prestataires de services financiers font appel à des protocoles réactifs; par exemple, ils prennent des mesures seulement une fois qu’une fraude a été commise plutôt que de privilégier la prévention de la fraude.
L’un des problèmes fondamentaux est que les systèmes de sécurité et les méthodes d’authentification traditionnelle que les banques ont mis en place ont tendance à être présents à la fois du côté client et du côté serveur des transactions numériques. Malheureusement, il n’y a pas réellement de contrôle au « centre » de la transaction.
« Du côté client, les banques ont déployé des noms d’utilisateur et des mots de passe, ainsi que des mots de passe uniques (MPI). Du côté serveur, elles ont développé des systèmes de détection de la fraude qui analysent la transaction pour déterminer si elle doit être approuvée ou refusée », explique M. Mattei.
La pièce manquante, c’est la surveillance des risques en continu pendant la session de services bancaires, de l’ouverture de session jusqu’à la déconnexion. Ce n’est pas parce qu’un utilisateur a ouvert une session avec succès qu’il s’agit de l’utilisateur qui a l’autorisation d’interagir avec le compte. De nos jours, il n’est plus suffisant de se fier à cet événement d’authentification ponctuel. Les banques et les autres institutions financières doivent faire une surveillance en continu.
L’authentification fondée sur les connaissances est une autre vulnérabilité que les banques doivent régler. Cette stratégie d’authentification de base s’appuie sur des questions de sécurité, par exemple : « Qui était votre enseignant de première année? » « Qui est votre acteur préféré? » « Quel était votre ancien numéro de téléphone? » Les publications sur les médias sociaux incitent souvent les gens à fournir volontairement ce genre d’information, ce qu’ils font de leur propre gré, sans réaliser que des fraudeurs ont rédigé ces publications et qu’ils prennent notre des réponses dans le but de prendre le contrôle de comptes bancaires.
M. Mattei exhorte les banques à réfléchir à ce qu’elles peuvent faire dès maintenant pour s’assurer que leurs systèmes de prévention de la fraude peuvent gérer les menaces futures. Ces gestes concrets peuvent notamment consister à examiner ce qui se passe à l’extérieur du secteur bancaire pour prendre connaissance de ce que les autres entreprises en ligne ont mis en place. Les entreprises de technologie financière, les plateformes de cryptomonnaie, les sociétés de commerce électronique et les autres marchands numériques innovent dans ce domaine. Bon nombre d’entre eux se tournent vers des protocoles d’authentification modernes, comme l’authentification multi-facteurs et des portails d’orchestration, dans le but de lutter contre les fuites de données, le vol d’identité, le hameçonnage, les maliciels et les incidents de prise de contrôle de comptes.
Les portails d’orchestration sont l’avenir
Dernièrement, les experts en matière de sécurité ont constaté que les portails d’orchestration de l’authentification et de la prévention de la fraude sont extrêmement prometteurs. Les portails d’orchestration surveillent le profil de risque de la transaction en entier, du début à la fin de la session de services bancaires. Comme cette surveillance en continu se déroule habituellement en arrière-plan, elle ne présente pas d’inconvénient pour le client. Par exemple, un portail d’orchestration au cœur duquel se trouve un système avancé de prévention de la fraude peut faire appel à l’intelligence artificielle et à l’apprentissage automatique pour évaluer si le comportement d’un utilisateur est conforme à celui qu’une véritable personne adopterait lors d’une transaction légitime. Si les signaux de risque d’une transaction sonnent l’alarme, l’identité numérique du client peut être confirmée au moyen d’un nouvelle méthode d’authentification et d’un deuxième facteur, ce qui garantit un accès sécurisé à l’application.
L’orchestration, l’authentification robuste et la surveillance de la fraude en temps réel sont des outils idéaux pour améliorer la sécurité des transactions bancaires numériques sans nuire à l’expérience client. Les portails qui rassemblent ces fonctionnalités permettent aux banques de partager des renseignements à l’interne entre leurs différentes équipes tout en diminuant le suivi et les interventions manuels. Imaginez des outils automatisés utilisés dans différents services de l’entreprise, qui communiquent entre eux pour déceler la fraude, quel que soit l’endroit où elle a d’abord été détectée dans l’organisation.
Les différents outils déployés à cette fin comprennent des technologies passives et des technologies actives. Parmi les outils passifs, que M. Mattei décrit comme étant « sans friction », on trouve l’authentification par empreinte digitale, la biométrie comportementale, la surveillance de la géolocalisation/de l’adresse IP, la détection de bots, et la détection du bourrage d’identifiants.
Dans la catégorie des outils actifs, que M. Mattei décrit comme présentant une « friction appropriée », on trouve :
- L’authentification biométrique
- La vérification de l’identité au moyen de documents
- Les mots de passe uniques (MPU) envoyés par notification poussée, application d’authentification, dispositif d’authentification matériel, ou SMS
Comment surmonter les réticences à investir dans des méthodes d’authentification avancée
Les institutions financières ont tendance à redouter les risques et supposent que c’est également le cas de leurs clients. Par conséquent, elles ont comme inquiétude que si elles passent des méthodes traditionnelles d’authentification comme les mots de passe à des solutions d’authentification modernes, comme l’authentification multi-facteurs ou l’authentification à deux facteurs, leurs clients vont transférer leurs comptes dans une autre institution. Or, l’histoire nous démontre que les clients ne sont pas aussi opposés au changement que les banques le croient. Par exemple, lorsque les restrictions liées à la COVID ont forcé les gens à se tourner vers les services bancaires numériques, l’adoption de ces services a été rapide et répandue. Maintenant qu’ils ont l’habitude d’utiliser les services bancaires numériques, les clients continueront de s’en servir.
La clé est de rendre cette utilisation simple et sécuritaire pour les clients, à l’aide de méthodes avec lesquelles ils sont à l’aise. L’authentification biométrique offre une occasion avantageuse — pour les banques comme pour leurs clients — de renforcer la sécurité et d’améliorer l’expérience client. En particulier, la lecture des empreintes digitales et la reconnaissance faciale offertes par de nombreux téléphones (notamment TouchID et FaceID sur l’iOS d’Apple) permettent aux gens d’accéder à leurs applications bancaires mobiles sans avoir à entrer de mot de passe. De plus, les clients qui utilisent la biométrie pour accéder à leurs applications bancaires ont tendance à percevoir ces applications comme plus sécuritaires, étant donné qu’elles tirent parti de la biométrie.
Toutefois, malgré le besoin urgent de mettre en place des mesures de cybersécurité accrues dans un contexte où la fraude en ligne s’accroît au même rythme que les services bancaires en ligne, ces mesures ne sont pas toujours une priorité à l’échelle des entreprises. Cette situation s’explique par diverses raisons, y compris le budget et un manque de ressources. Il s’agit de trouver le juste équilibre entre un niveau acceptable de risque de fraude et les pertes liées à la fraude pour la banque. Tant que les pertes ne surpassent pas le coût de mettre en œuvre des méthodes d’authentification plus robustes, les banques ne perçoivent pas l’avantage de ces méthodes.
La bonne nouvelle, c’est que les recherches démontrent que lorsque la modernisation de l’authentification est mise en relation avec l’expérience client, ces projets ont une bien meilleure chance d’être financés.
« Si vous introduisez de nouveaux outils qui améliorent l’expérience au nom de vos clients, le secteur d’activités est susceptible de collaborer avec vous pour faire progresser ces initiatives », explique M. Mattei.
Cas d’utilisation de l’authentification avancée : l’argument ultime
Le risque que les fraudeurs obtiennent un accès aux comptes bancaires des gens est bien réel. Les banques et les autres institutions financières doivent commencer à envisager de moderniser leurs pratiques d’authentification, en se tournant vers l’authentification sans mot de passe qu’offrent les portails d’orchestration. Cette façon de faire leur permettra de procéder à une authentification sans causer de friction inutile, et, dans les situations qui comportent des risques importants, de mettre en œuvre une authentification dont le niveau de fiction est approprié.
Certains outils de sécurité luttent plus efficacement contre la fraude que d’autres. Les entreprises qui connaissent le plus de succès au fil du temps sont celles qui font les investissements à long terme nécessaires non seulement pour mettre en place les outils de sécurité, mais pour continuer d’améliorer leurs fonctionnalités au fur et à mesure que les fraudeurs continuent de s’y adapter. Les outils doivent évoluer en fonction des changements au sein de l’environnement de sécurité, tout comme les fournisseurs qui offrent des outils et services de sécurité. Il n’existe aucun outil unique qui permet de répondre à tous les besoins d’une banque en matière de sécurité numérique; par conséquent, plutôt que de se concentrer de façon pointue sur la prévention, il est plus efficace de comprendre les besoins des clients et l’expérience utilisateur qu’ils souhaitent vivre.
OneSpan peut vous aider à y parvenir. Notre solution d’authentification adaptative intelligente vous facilite la tâche lorsque vous souhaitez vous débarrasser entièrement des mots de passe pour privilégier l’authentification forte client. Si vous voulez en savoir plus sur la façon d’améliorer vos processus d’authentification, nous vous recommandons ces ressources :
- Livre blanc : Authentification adaptative : améliorer l’expérience utilisateur et augmenter son chiffre d’affaires grâce à la sécurité intelligente
- Webinaire sur demande : un plan d’attaque pour votre pile d’authentification (disponible en anglais seulement)
Webcast
Un plan d'attaque pour la mise à jour de votre pile d'authentification
Dans ce webinaire, David Mattei, analyste chez Aite, et OneSpan expliquent pourquoi les institutions financières devraient donner la priorité à la mise à jour de leur technologie d'authentification.
Regarder
