Banque ouverte et sécurité : comment garantir un parcours utilisateur sûr

Dans un récent webinaire, Banque ouverte et sécurité : comment garantir un parcours utilisateur sûr , nous nous sommes associés à Sopra Banking Software (SBS) pour discuter de la sécurité dans l'open banking et comment garantir un parcours utilisateur sécurisé sans compromettre l'expérience client.

OneSpan est le partenaire sécurité numérique de Sopra. Sopra propose une plateforme d'engagement bancaire numérique qui facilite l'engagement dans l'open banking. Partenaire de référence de plus de 1 500 institutions financières dans le monde, Sopra travaille avec 95 % des plus grandes banques en Europe et 60 % en Afrique.

Dans le webinaire, Nicolas Darlavoix, Digital & Open Banking Expert chez SBS, et Denis Vanhulle de OneSpan, expliquent comment les technologies de sécurité de OneSpan s'intègrent à la Digital Banking Suite de Sopra pour protéger les clients et leurs données financières lors de l'utilisation de services bancaires ouverts.

Si vous avez manqué ce webinaire populaire, voici un résumé de 5 minutes de ce qui a été couvert. Vous pouvez également accéder à la présentation complète à la demande .

Qu'est-ce que l'Open Banking ?

La banque ouverte est une pratique bancaire dans laquelle les banques fournissent à des prestataires de services financiers tiers autorisés un accès ouvert aux données bancaires et financières de leurs consommateurs. Ces tiers sont alors en mesure d'initier et de traiter des transactions financières à la demande du client. Ce processus se déroule grâce à l'utilisation de API bancaires ouvertes (interfaces de programmation d'applications).

La banque ouverte commence tout juste à émerger dans l'UE, avec des sociétés telles que Revolut, TrueLayer, Tink , et d'autres apportant une banque ouverte en Allemagne, en Italie, en France, au Royaume-Uni, en Irlande et dans le reste de l'Europe. Au Royaume-Uni, par exemple, la banque ouverte est déjà utilisée par deux millions d'utilisateurs actifs à partir de septembre 2020, et environ 63 % des institutions financières en Europe devraient augmenter leurs dépenses budgétaires pour l'open banking. ¹

La banque ouverte en Europe est régie par la deuxième Directive sur les services de paiement (PSD2). PSD2 oblige les banques à accorder l'accès aux comptes de transaction des clients et aux données des clients à des tiers autorisés. Le règlement vise à réduire les coûts pour les consommateurs et à promouvoir la concurrence et l'innovation dans le secteur bancaire.

Banque ouverte et sécurité : risques et défis de sécurité

Lors du webinaire, Nicolas Darlavoix, expert en Digital & Open Banking chez Sopra Banking Software, a approfondi la définition de l'open banking en se concentrant sur la connectivité et l'orchestration des données, ce que propose la Sopra Digital Banking Suite.

" Banque ouverte :
La connectivité et l'orchestration des données
entre les institutions financières et des tiers
fournisseurs pour fournir de nouveaux produits et services
au marché."

« Par connectivité, nous entendons la nécessité de se connecter aux institutions financières afin d'agréger, de récupérer et d'échanger des données. L'orchestration est la partie qui gère et sécurise les données », a-t-il expliqué.

« La sécurité dans l'open banking est un sujet sur lequel on ne se concentre pas assez souvent. Lorsqu'il s'agit de banque ouverte, les institutions financières se concentrent généralement sur les possibilités techniques ou commerciales. Mais la sécurité des données est tout aussi importante – et peut-être même plus. »

La Digital Banking Suite fournit tous les services pour se connecter et orchestrer de manière sécurisée, rentable et prévisible. La plate-forme dispose d'une vaste bibliothèque de services allant bien au-delà de la banque ouverte avec des services tels que l'intégration des clients, les paiements, la gestion financière, la fidélisation et plus encore.

La sécurité est un élément essentiel de la banque ouverte. Elle affecte tous ceux qui participent à l'open banking. Les parties prenantes et les utilisateurs de la banque ouverte se répartissent en trois catégories et chacun fait face à ses propres défis et responsabilités en matière de sécurité :

• L'utilisateur: L'utilisateur, ou le consommateur, doit s'identifier auprès de la banque ou de la fintech. Les utilisateurs ont la responsabilité de s'identifier de manière véridique et précise, et de ne pas exécuter de transactions illégales.
• La Banque: La banque est également appelée l'ASPSP (services de compte et prestataire de services de paiement) en langage PSD2. Le rôle de la banque est d'être un gardien. La banque doit donner confiance et savoir ce qui se passe avec les données de ses clients. La banque doit également garantir la sécurité d'accès et se conformer aux réglementations relatives à la connaissance de votre client (KYC) et à la connaissance de vos transactions (KYT), ainsi qu'aux lois sur la confidentialité des données. Ceci est extrêmement grave et les risques de ne pas remplir ces exigences incluent le vol de données et les violations de données ; pénalités pour non-conformité ; et atteinte à la réputation.
• La fintech : Les sociétés Fintech ou les fournisseurs tiers, comme la banque, doivent également répondre aux exigences KYC pour savoir quels clients sont intégrés. De même pour KYT, les entreprises fintech doivent savoir quels types de transactions transitent par la plate-forme lorsqu'elles agrègent les données et initient les paiements. Les Fintechs ont également un ensemble réglementé de responsabilités. Ils disposent d'une licence de fournisseur tiers (TPP) et doivent se conformer aux lois et réglementations établies par les régulateurs financiers. Ils doivent également faire très attention à ne pas autoriser de transactions frauduleuses ou agréger des données frauduleuses.

Cinq étapes pour sécuriser le parcours bancaire ouvert

Pour chacun des défis de sécurité énumérés ci-dessus, il existe des solutions de sécurité. Voici un plan en cinq étapes pour sécuriser le parcours bancaire ouvert :

1. Investissez dans une plateforme numérique sécurisée
La meilleure pratique consiste à commencer par une plate-forme bancaire numérique comme base. Une plate-forme sur laquelle sont pré-intégrés des services bancaires ouverts peut être rapidement déployée, et c'est un endroit central qui peut vous aider à vous connecter, stocker, utiliser et sécuriser vos données bancaires ouvertes. De nombreux détails doivent être pris en compte lors de la mise en œuvre de l'open banking, car certains services peuvent être consommés directement tandis que d'autres nécessitent que les banques transforment les données. Tout cela est possible avec des microservices, comme des solutions de sécurité, qui peuvent être facilement construits sur la plateforme numérique – et dans certains cas, comme avec OneSpan, déjà intégrés à la Sopra Digital Banking Suite.

2. Authentifiez-vous intelligemment
Avec cette fondation mise en place, les banques peuvent commencer à authentifier des partenaires tels que des fintechs, ainsi que des utilisateurs. Au fur et à mesure que les banques ajoutent de plus en plus de services ou de capacités à leurs cas d'utilisation de banque ouverte, elles doivent s'assurer que leur solution dispose de la fonctionnalité d'authentification client forte, également connue sous le nom d'authentification multifacteur (MFA) pour chaque service bancaire ouvert dans l'écosystème qu'elles construisent.

3. Connaissez votre client
La prochaine étape est le KYC. Les banques ont besoin de savoir qui sont leurs utilisateurs et avec quels partenaires elles se connectent sur la plateforme. Cela implique leur identité, ainsi que des données plus détaillées relatives aux terminaux à partir desquels ils se connectent (pour s'assurer qu'ils ne sont pas compromis), leur emplacement géographique, etc. Tout cela est nécessaire pour protéger les données sensibles, sécuriser le parcours utilisateur et garantir la conformité avec les réglementations du secteur financier.

4. Connaissez vos transactions
Les banques savent désormais quels clients et partenaires accèdent à des services bancaires ouverts via leur plateforme bancaire numérique, car elles les ont authentifiés. L'étape suivante consiste à comprendre les transactions. Les banques doivent savoir quelles transactions entrent et sortent de leur plateforme. Les questions que les banques poseront généralement incluent :

• Ces transactions sont-elles inhabituelles ?
• Sont-ils des montants élevés?
• Sont-ils bloqués ?
• Quels sont les bénéficiaires/payeurs concernés ?

En cas d'incident, les banques peuvent retracer les transactions. Ceci est crucial pour des raisons de risque et de conformité.

5. Surveiller et contrôler
Une fois que tout a été mis en place, il est temps de surveiller et de contrôler. À ce stade, les banques configurent généralement des alertes pour l'accès, les utilisateurs, les transactions, les emplacements, les montants, etc. S'il y a des anomalies, la banque sera alors alertée.

Banque ouverte et cybersécurité : 3 éléments clés pour minimiser les risques de la banque ouverte

OneSpan propose une variété de services liés aux étapes ci-dessus, en particulier pour l'authentification. En voici trois parmi les plus importantes en ce qui concerne l'open banking sur la plateforme Sopra :

1. Sécurité des applications mobiles
Cela implique de collecter des données à partir du téléphone mobile qui utilise l'application bancaire. Ces données de point de terminaison incluent des informations de sécurité, par exemple si l'application bancaire mobile fonctionne dans un environnement dangereux. Par exemple, si le smartphone d'un utilisateur est rooté ou contient des logiciels malveillants tels qu'un enregistreur de frappe mobile, il est important d'en être conscient afin de réduire les risques. C'est pourquoi la première étape consiste à analyser l'environnement dans lequel fonctionne l'application d'une banque.

2. Analyse des risques
Ensuite, les banques peuvent extraire les données de l'environnement d'authentification et les analyser à l'aide du système de détection et de prévention des fraudes de OneSpan, OneSpan Risk Analytics. L'analyse des risques utilise une combinaison d'ensembles de règles prédéfinis et d'apprentissage automatique. Avec des ensembles de règles, vous pouvez définir quelles transactions monétaires et transactions non monétaires (par exemple, les connexions) sont suspectes. Cependant, les fraudeurs s'adaptent très rapidement, de sorte que l'apprentissage automatique peut aider l'équipe de lutte contre la fraude d'une banque avec une notation en temps réel pour lutter contre la cybercriminalité et garder une longueur d'avance sur les cybercriminels en identifiant et en bloquant les nouvelles menaces.

3. Authentification
Après avoir analysé les données de l'appareil et des transactions à l'aide de OneSpan Risk Analytics, l'étape suivante consiste à authentifier l'utilisateur, de manière à faire correspondre le défi d'authentification au niveau de risque de chaque transaction. Par exemple, si OneSpan Risk Analytics attribue un risque élevé à une transaction, les banques peuvent alors utiliser une authentification renforcée, également appelée authentification adaptative ou authentification basée sur les risques, pour demander à l'utilisateur un scan facial ou une authentification par selfie pour confirmer l'identité du client. . Inversement, si le risque est faible parce que OneSpan Risk Analytics a détecté que le client utilise son appareil mobile enregistré, sur le même réseau wifi qu'il utilise toujours, et que la transaction correspond aux modèles historiques, alors le client peut même ne pas avoir besoin de se ré-authentifier .  

Démo : Banque ouverte et sécurité, sans ajouter de friction

Dans le webinaire, nous avons présenté une démo pour montrer comment OneSpan et Sopra travaillent ensemble pour assurer un parcours bancaire ouvert sécurisé et pratique pour tous les utilisateurs finaux. En prenant un exemple de scénario du monde réel, nous avons parcouru les étapes suivantes du point de vue de l'expérience client :

• Le client se connecte à son portail bancaire, choisit un service impliquant un tiers, consent au partage des données avec le prestataire et accepte que le prestataire tiers puisse créer une connexion PSD2 pour l'authentification.
• Le client est invité à s'authentifier à l'aide d'une empreinte biométrique.
• Avant que le paiement ne soit effectué, les détails de leur transaction leur sont présentés et invités à confirmer.
• Si un risque est détecté, le client peut être invité à s'authentifier avec un selfie ou un autre défi d'authentification. Si aucun risque n'est détecté, ils approuvent simplement la transaction.
• En arrière-plan, chaque action est enregistrée par le système de prévention de la fraude OneSpan. À tout moment, un analyste des fraudes de la banque peut examiner les détails de chaque événement.

Pensées de clôture

Pour rappel, le partenariat entre OneSpan et Sopra Banking est une solution puissante pour aider à créer des parcours bancaires ouverts sûrs et sécurisés pour les institutions financières et les clients des banques. La Sopra Digital Banking Suite est déjà utilisée dans l'ensemble du secteur des services financiers en EMEA. Dans le cadre de la solution, OneSpan, l'un des principaux fournisseurs de sécurité numérique, et Sopra Banking, la plateforme de banque numérique, travaillent ensemble pour offrir une banque ouverte et une sécurité prêtes à l'emploi et ainsi réduire les risques de la banque ouverte.
En savoir plus au Marché des logiciels bancaires Sopra ou regarder l'intégralité présentation du webinaire .

1. https://www.altfi.com/article/7050_a-third-of-the-uks-financial-institutions-spend-over-90m-on-open-banking-says-tink