Comment les banques peuvent-elles atténuer les risques liés aux mauvaises pratiques de cyberhygiène des consommateurs ?

Michael Magrath, juin 4, 2021

80 % des résidents britanniques utilisent désormais régulièrement la banque en ligne, un chiffre qui a considérablement augmenté au cours des 12 derniers mois, les consommateurs s'étant adaptés aux fermetures d'agences liées à la pandémie et aux mesures de distanciation sociale. Malheureusement, les fraudeurs se sont eux aussi adaptés. UK Finance indique que la fréquence des escroqueries par usurpation d'identité a augmenté de 84 % au premier semestre 2020, par rapport à la même période en 2019.

Plus inquiétant encore, une étude récente du Centre national de cybersécurité souligne que la mauvaise hygiène informatique de nombreux consommateurs britanniques contribue à mettre en péril la sécurité de leur vie numérique.

Par exemple, 15 % de la population britannique utilise le nom de son animal de compagnie comme mot de passe et 6 % des personnes utilisent encore le mot "mot de passe" en tout ou en partie. En outre, la majorité des résidents britanniques utilisent toujours le même mot de passe pour la plupart, voire la totalité, de leurs comptes en ligne.

Les pratiques en matière d'hygiène de l'identité numérique étant toujours terriblement en retard sur le rythme des changements numériques, les fraudeurs ont accès à davantage d'informations très sensibles sur leurs clients. Cela permet aux criminels d'établir des profils personnels extrêmement détaillés pour des attaques d'ingénierie sociale sophistiquées. Les plateformes numériques bancaires et financières étant aujourd'hui à la portée de la majorité de la population britannique, il est trop facile de transférer des fonds ou de transférer l'accès à un compte sans le vouloir.

Par conséquent, chaque banque et institution financière doit déployer tous les outils à sa disposition pour protéger les clients qui se fient à leurs plateformes numériques. Outre l'éducation des consommateurs, que peuvent-ils faire pour vérifier avec précision l'identité d'un client et lui offrir une expérience bancaire sécurisée ?

La vérification d’identité numérique

Avec l'explosion de la banque à distance et les violations de données qui exposent des quantités croissantes d'informations personnelles en ligne, le recours à des méthodes manuelles de vérification de l'identité, comme la présentation d'une pièce d'identité dans une agence ou l'envoi d'une copie scannée, est de moins en moins envisageable pour les banques.

La vérification manuelle de l'identité est non seulement risquée du point de vue de la sécurité, mais elle nuit également à l'expérience du client d'une manière que beaucoup jugent inacceptable. Qu'il s'agisse de faire des achats en ligne ou d'obtenir des diplômes virtuellement, les jeunes consommateurs sont déjà habitués à vivre numériquement et n'ont guère envie de naviguer dans les systèmes traditionnels de nombreuses banques et institutions financières.

Les solutions de vérification numérique des documents d'identité - qui utilisent l'appareil photo d'un smartphone pour prendre une image en direct d'un document d'identité - constituent une alternative aux méthodes de vérification manuelles. Pour plus de sécurité, il est possible d'y associer une vérification biométrique de l'identité. Grâce à l'intelligence artificielle (IA) et à l'apprentissage automatique, la vérification biométrique compare un selfie en direct à une image présentée dans un document d'identité. Les techniques de détection de la vivacité, comme le fait de demander au preneur de sourire, aident à détecter les attaques par usurpation d'identité comme les vidéos, les masques faciaux ou les images de photos.

Pour le consommateur, la vérification numérique des documents d'identité rend l'expérience de la vérification de son identité rapide et simple - et pour les banques, elle réduit les taux d'abandon. En outre, la technologie accélère l'ouverture des comptes, les prêts et le financement, tout en protégeant contre la fraude.

Authentifier, adapter, surmonter

S'appuyer sur des questions basées sur la connaissance pour authentifier les transactions appartient rapidement au passé. En raison d'innombrables violations majeures de données, les détails des cartes et les adresses précédentes de nombreux consommateurs sont facilement disponibles à la vente sur le Dark Web.

En raison de l'évolution rapide du paysage des menaces, les banques et les institutions financières du monde entier font le saut vers l'authentification adaptative. Il s'agit d'appliquer le niveau précis de sécurité - au bon moment - à chaque transaction unique du client en fonction du niveau de risque.

Lorsqu'une banque met en œuvre l'authentification adaptative, elle construit une image de chaque client. Où retirent-ils habituellement de l'argent ? Se rendent-ils régulièrement dans une autre ville pour rendre visite à leur famille ? Grâce à cette méthode, l'authentification adaptative peut être utilisée pour recouper les transactions avec le comportement habituel et signaler si un risque est impliqué - comme si un particulier achetait soudainement des vols en première classe pour Las Vegas ! Une fois repéré, le client est invité à s'authentifier par des méthodes qui peuvent inclure un jeton logiciel ou matériel, des données biométriques ou un mot de passe à usage unique.

Analyse des risques alimentée par l'IA

Pour réussir à mettre en œuvre l'authentification adaptative, les banques et les institutions financières doivent mettre en place une analyse des risques solide - une sphère dans laquelle l'IA joue un rôle de plus en plus important. Ce n'est pas une surprise, étant donné que les menaces qui pèsent sur les banques deviennent de plus en plus sophistiquées, avec l'émergence d'attaques en tant que service, d'outils d'attaque automatisés et d'une collaboration étroite entre les mauvais acteurs permettant une fraude à une échelle sans précédent.

Un moteur de décision et un modèle d'apprentissage automatique alimentés par l'IA peuvent analyser en permanence un large éventail de données, d'événements et de contextes. Plutôt que de se contenter de détecter les données de connexion et de transaction, ils examinent toute une série d'indicateurs de compromission et en tirent des enseignements. Il s'agit notamment d'en-têtes malveillants, de référents provenant d'un site d'hameçonnage, de cookies malveillants, d'un dispositif ou d'une IP malveillants, d'une vitesse inhumaine, d'une superposition de clavier, d'un débogueur en cours d'exécution et de bien d'autres choses encore. En fonction du niveau de risque de chaque action de l'utilisateur, une solution intelligente d'analyse des risques peut générer un score et recommander une prochaine étape en temps réel - permettant aux banques de rester proactives plutôt que réactives.

Ainsi, la complexité des attaques ne cessant de croître et la sophistication des fraudeurs évoluant presque quotidiennement, il est clair que les utilisateurs ne peuvent et ne doivent pas être tenus de suivre le rythme. Tout comme la responsabilité de réparer une chaudière incombe fermement à un plombier, la sécurité des utilisateurs devrait incomber à la banque ou à l'institution financière d'un consommateur. Les banques doivent s'efforcer de rester souples en augmentant leur réactivité, en donnant la priorité à l'innovation et en réduisant les délais de déploiement des nouvelles solutions de sécurité.

Reducing Friction in Online Account Opening with Digital Identity Verification
Webcast

Reducing Friction in Online Account Opening with Digital Identity Verification

Watch this OneSpan webinar, and hear experts from OneSpan and Cornerstone Advisors discuss how retail banks can eliminate friction in order to drop abandonment rates and increase account funding.

Watch Now

Cet article, écrit par Michael Magrath, directeur des réglementations et normes mondiales chez OneSpan, a été publié pour la première fois dans L'Âge de l'informationle 24 mai 2021.

Michael Magrath est chargé d'aligner la feuille de route de la solution OneSpan sur les normes et les exigences réglementaires à l'échelle mondiale. Il est coprésident du groupe de travail sur le déploiement gouvernemental de l'Alliance FIDO et siège au conseil d'administration de l'Electronic Signature and Records Association (ESRA).