Authentification forte du client : Pourquoi envisager des méthodes et outils adaptatifs

Frederik Mennes, novembre 13, 2018

Le respect de la directive révisée sur les services de paiement (PSD2) est actuellement une priorité clé pour les institutions financières (IMF) en Europe et au-delà. En particulier, les institutions financières doivent se conformer aux exigences relatives à l'authentification des clients et à l'analyse des risques liés aux transactions. Ces exigences sont énoncées dans les Normes techniques réglementaires (SRT) pour l'authentification des clients forts (SCA) et la communication commune et sécurisée (CSC). Les institutions financières doivent s'y conformer au plus tard le 14 septembre 2019. Certaines des principales exigences entreront en vigueur six mois plus tôt.

Dans ce blog, nous fournissons un aperçu des principales exigences d'authentification dans le RTS et comment bien se conformer à eux.

PSD2 : Authentification client forte et analyse des risques de transaction

Les exigences d'authentification les plus importantes dans le RTS sous PSD2 sont les :

  • Authentificationà deux facteurs: les IF agissant en tant que fournisseur de services de paiement doivent authentifier les utilisateurs en fonction d'un mécanisme d'authentification qui utilise deux des trois éléments d'authentification possibles :

    En outre, les éléments d'authentification doivent être indépendants les uns des autres. Le mécanisme d'authentification doit générer un code d'authentification qui n'est valable qu'une seule fois (et dans la pratique, pour une durée limitée).

    • Possession (c.-à-d., quelque chose que seul l'utilisateur a)
    • Connaissance (c.-à-d., quelque chose que seuls les utilisateurs savent)
    • Inhérence (c.-à-d., quelque chose que seul l'utilisateur est)
  • Liaison dynamique: Le lien dynamique est également communément appelé signature de données de transaction ou authentification de transaction. Les législateurs qui ont rédigé PSD2 ont introduit l'exigence de liaison dynamique pour contrer les attaques de l'homme dans le milieu, où un mauvais acteur modifie les détails d'une transaction après que le payeur l'a authentifiée. L'exigence de liaison dynamique comporte trois parties. Tout d'abord, il exige qu'un payeur authentifie une transaction financière en calculant un code d'authentification sur certaines données de transaction (au moins le montant et certaines informations identifiant le bénéficiaire), de sorte que le code d'authentification soit lié à la Transaction. Deuxièmement, la confidentialité et l'intégrité des données de transaction doivent être protégées (c.-à-d. cryptées) tout au long du processus d'authentification. Troisièmement, l'utilisateur bancaire en ligne doit être au courant des données de transaction qu'il authentifie.
  • Indépendance des éléments d'authentification : Cette exigence est principalement axée sur la sécurité des applications mobiles. Les exigences d'authentification client forte permettent l'utilisation des applications mobiles comme un facteur de possession convivial. Lorsque le mécanisme d'authentification repose sur des appareils tels que les téléphones mobiles ou les tablettes, les IF doivent adopter des mesures de sécurité pour atténuer le risque que l'application mobile fonctionne dans un environnement d'exécution peu fiable (c.-à-d. appareil et système d'exploitation), où elle peut être victimes d'attaques de surchauffe, d'injection de code et d'autres menaces.
  • Analyse des risques de transaction : Les banques doivent effectuer une analyse des risques de transaction pour prévenir, détecter et bloquer les paiements frauduleux. L'analyse des risques de transaction doit être basée sur des éléments tels que le montant du paiement, les scénarios de fraude connus, les signes d'infection par les logiciels malveillants dans la session de paiement, etc. Le règlement prévoit que les paiements à faible risque peuvent être exemptés d'une forte authentification des clients. Toutefois, cela implique que l'analyse des risques de transaction comprend des éléments supplémentaires tels que les modes de paiement, l'analyse comportementale, l'emplacement du payeur et du payeur, les informations sur l'appareil utilisé pour effectuer le paiement, et même la possibilité de recueillir des données auprès de canaux multiples tels que mobile, en ligne, atM et succursale.

De l'authentification autonome à l'authentification adaptative

Lors de l'évaluation et de la mise en œuvre de solutions de conformité aux exigences d'authentification client, les IF devraient envisager des méthodes et des outils adaptatifs. L'authentification adaptative n'est pas un facteur d'authentification, comme une nouvelle application ponctuelle de jeton ou d'authentification. Il s'agit d'un flux de travail qui analyse en permanence les activités, l'environnement et les comportements d'un utilisateur pour déterminer le niveau précis de sécurité, au bon moment pour chaque transaction unique.

L'authentification adaptative se distingue des outils d'authentification autonomes en utilisant des méthodes d'authentification spécialisées basées sur l'analyse des risques en temps réel. Au lieu d'obliger un événement initié par l'utilisateur, comme la saisie d'un NIP ou d'un mot de passe, un utilisateur peut avoir à passer par une série de vérifications d'authentification pour accéder à des services particuliers pour des interactions plus risquées - ou pas de contrôles supplémentaires du tout pour les transactions à faible risque ( p. ex., vérifier le solde de votre compte).

C'est aussi ce qu'on appelle l'authentification par étapes. Avec le score de risque comme guide, les étapes d'authentification sont appliquées dynamiquement à la transaction en temps réel, et l'utilisateur peut avoir à prendre des mesures. Par exemple, si la transaction est dans le modèle de comportement normal de l'utilisateur, aucune authentification progressive n'est nécessaire. Toutefois, un certain score de risque peut inciter une demande de mot de passe unique (OTP), tandis qu'un score de risque plus élevé peut inciter l'utilisateur à effectuer un scan de BdP et d'empreintes digitales (p. ex., pour un transfert de 10 000 dollars sur un compte bancaire étranger).

En tirant parti de l'analyse des risques, tirée par l'apprentissage automatique et l'intelligence artificielle, et combinée à l'orchestration d'authentification que nous venons de décrire, une solution d'authentification adaptative entre dans une catégorie de solution connue sous le nom d'authentification adaptative intelligente. Grâce à ce type de solution, les institutions financières peuvent simplifier l'expérience utilisateur finale, réduire la fraude et assurer la conformité réglementaire. Cela s'applique à plusieurs canaux bancaires numériques, y compris le Web, le mobile, etc.

Authentification adaptative : améliorer l'expérience utilisateur et se augmenter son chiffre d'affaires grâce à la protection intelligente
LIVRE BLANC

Authentification adaptative : améliorer l'expérience utilisateur et se augmenter son chiffre d'affaires grâce à la protection intelligente

Téléchargez ce document et atteignez les deux objectifs de réduction de la fraude et de plaisir du client.

Télécharger

Authentification adaptative et authentification client forte

Les IMF font face à d'importants défis pour mettre fin à la fraude, même avec les technologies de sécurité les plus avancées. La complexité, les expériences utilisateur incohérentes, les exigences de conformité difficiles à satisfaire, plusieurs langues et interfaces masquent les failles de sécurité et maintiennent les chefs d'entreprise en place la nuit. Le défi consiste à simplifier les flux de travail d'authentification afin d'accroître la sécurité, de renforcer la conformité et de créer la meilleure expérience utilisateur possible sur plusieurs canaux.

L'authentification adaptative intelligente aide les institutions financières à atteindre ces objectifs, tout en respectant les exigences d'authentification client forte de PSD2. Voici comment:

  • Authentification basée sur le risque : L'authentification adaptative intelligente permet aux IF de prendre en charge un large portefeuille d'éléments d'authentification. Il peut s'agit d'éléments de possession (applications mobiles, jetons matériels, etc.), de facteurs biométriques (c.-à-d. empreintes digitales, faciales) et d'éléments de connaissances (c.-à-d. PIN). En outre, une solution d'authentification adaptative intelligente devrait également prendre en charge des normes d'authentification fortes telles que FIDO.
  • Liaison dynamique : Bien que de nombreuses solutions d'authentification adaptative fonctionnent selon les mêmes principes, il existe une grande diversité sur le marché en ce qui concerne l'intégration des technologies de sécurité clés. Pour les solutions d'authentification adaptative intelligente qui prennent en charge le lien dynamique, la clé est de s'assurer qu'il est à la fois conforme et pratique pour les utilisateurs finaux. Une des façons les plus largement acceptées de le faire est avec des cryptogrammes de couleur connus sous le nom de codes Cronto. Lorsque la banque envoie des données de transaction ou de paiement à l'utilisateur pour vérifier et autoriser, ces données sont cryptées à l'intérieur du cryptogramme Cronto. L'utilisateur décrypte les données en scannant le cryptogramme avec son smartphone (ou appareil matériel). Dans le cas où le malware de Troie est présent sur l'ordinateur de l'utilisateur, il ne sera pas en mesure de modifier les données à l'intérieur du code visuel. Cette approche permet aux FAI de se conformer pleinement aux trois exigences de liaison dynamique de PSD2.
  • Indépendance des éléments d'authentification : L'authentification adaptative intelligente offre aux fIs une visibilité profonde sur les appareils mobiles et les applications bancaires qui s'y exécutent. Il tire parti des données étendues de l'utilisateur, de l'appareil et de l'application, ce qui fournit une mesure très précise de la confiance via un score d'analyse des risques. Intelligent Adaptive Authentication intègre des fonctionnalités comme le blindage d'applications mobiles pour créer un environnement d'exécution sécurisé pour les applications bancaires mobiles, leur permettant de s'exécuter en toute sécurité sur des appareils mobiles non fiables. Cela comprend l'utilisation d'environnements d'exécution sécurisés séparés, ainsi que des mesures pour protéger les applications mobiles contre les menaces de temps d'exécution telles que l'enracinement ou jailbreaking, les attaques de couverture, l'injection de code, et le keylogging.

  • Analysedes risques de transaction: L'évaluation des risques de l'environnement de l'utilisateur et des transactions financières est au cœur d'une solution d'authentification adaptative intelligente. L'authentification adaptative intelligente recueille des informations contextuelles provenant de sources multiples (par exemple l'appareil mobile de l'utilisateur, l'ordinateur portable), ainsi que l'analyse comportementale (c.-à-d. qui, quoi, quand et où), et établit des corrélations avec l'histoire de l'utilisateur pour détecter les fraude connues pour évaluer le niveau de risque d'une transaction. La solution applique ensuite le niveau précis de sécurité pour chaque transaction financière unique.

Pour plus d'informations sur PSD2 et comment se conformer aux exigences d'authentification client forte, visitez www.OneSpan.com/psd2.

Frederik dirige le Centre de compétences en matière de sécurité de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie de l'authentification, de la gestion de l'identité, des technologies de réglementation et