Pour aider les institutions financières et les banques à se prémunir contre les cyber-menaces en 2020 et les inquiétudes qui en découlent, nous avons réuni nos meilleurs experts en matière de sécurité, de technologie et du secteur pour recueillir leurs prédictions pour l'année à venir.

Nous entrons dans une nouvelle décennie, mais la sécurité est toujours source de préoccupations. Les problèmes pré-existants (l'hameçonnage et les logiciels malveillants sur mobile, par exemple) continueront à grever la sécurité des services. Parallèlement à cela, des technologies émergentes, comme l'intelligence artificielle et le réseau mobile 5G, sont prêtes à changer la donne en 2020. En ce qui concerne la législation, on peut estimer que les cryptomonnaies seront dans le collimateur des régulateurs et que l'open banking sera source d'opportunités dans le système financier.

Lisez la suite pour connaître nos pronostics et les tendances en matière de sécurité.

Prédictions et tendances en matière de cybersécurité en 2020

1. L'IA et l'analyse comportementale auront un rôle à jouer en matière de prévention des fraudes

Greg Hancell, responsable des activités de conseil en matière de lutte contre les fraudes chez OneSpan

À mon avis, en matière de prévention et de détection des fraudes en 2020, l'IA va se généraliser, en même temps que l'agrégation des informations. Cette technologie est capable d'unifier tous les canaux de transaction, dont la carte (même non présente), la banque numérique, l'authentification et l'open banking grâce à un flux d'informations de plus en plus souvent open source. L'analyse comportementale associée à l'IA va se généraliser, dès que les institutions financières réaliseront que gérer des processus de connexion et de paiement séparés ne répond pas à leurs besoins et les rend vulnérables aux attaques.

Avec l'amélioration de la technologie et la capacité de calculer des centaines de points de données intelligentes en temps réel, l'IA permet une analyse comportementale et un profilage de chaque client basé sur son appareil, sa localisation, ses méthodes d'authentification favorites et bien d'autres éléments. En fonction du comportement observé, l'IA peut fournir des informations, des actions possibles, un score de risque et une recommandation.

2. La détection des fraudes nécessite une compréhension exhaustive du risque

Ralitsa Miteva, responsable des solutions de détection et de prévention des fraudes, OneSpan

Bien que les banques aient accompli des progrès significatifs dans le cadre de leur transformation numérique en 2019, nombre d'entre elles sont bien en peine de combattre les schémas de fraude complexes et inconnus, comme les chevaux de Troie focalisés sur la banque mobile, les applications malveillantes, le vol d'identité dit « synthétique », les transferts de SIM (SIM swap), la fraude au paiement push par autorisation et bien d'autres. Ces attaques exploitent le manque de connaissance des banques et des consommateurs au sujet des risques potentiels.

Si les banques espèrent anticiper ces attaques en 2020, elles doivent continuer à développer leurs solutions de gestion des fraudes. L'approche idéale consiste à récupérer des informations pertinentes sur le parcours numérique du client, à analyser son comportement sur son appareil, à récolter des renseignements et agir en conséquence, à associer divers modèles d'apprentissage automatique pour répondre à des besoins spécifiques, à mettre en place une surveillance de session continue sur tous les canaux et appareils, et enfin à partager les connaissances et le savoir-faire en matière de lutte contre la fraude. Ces pratiques de sécurité apportent une compréhension exhaustive de chaque risque et permettent à la banque d'appliquer les mesures adéquates sans compromettre l'expérience utilisateur.

3. Le contexte est désormais de la plus haute importance dans l'authentification et la lutte contre l'hameçonnage

Frederik Mennes, directeur de la sécurité produit, OneSpan Security Competence Center

Nombre de banques rencontrent toujours des difficultés à combattre les tentatives d'hameçonnage par e-mail, par téléphone et par SMS les plus basiques, qui reposent sur le piratage psychologique des utilisateurs finaux. L'une des raisons pour lesquelles ces attaques fonctionnent encore aujourd'hui est l'absence de contexte que les solutions d'authentification forte des banques révèlent sur l'utilisateur. Ces solutions sont incapables de déterminer où l'utilisateur est connecté et quelle transaction il est en train d'effectuer, entre autres données contextuelles.

Dans la mesure où la diffusion des technologies suit une courbe sigmoïde, les banques doivent investir dans la prochaine vague de solutions d'authentification forte qui fournissent une protection contre les attaques de piratage psychologique.

4. La régulation des cryptomonnaies est en passe de s'améliorer

Steven Murdoch, architecte sécurité et innovation, OneSpan Cambridge Innovation Centre

Je m'attends à l'émergence d'une régulation plus stricte des cryptomonnaies, des schémas de type ICO (Initial Coin Offering) et autres constructions similaires.

Jusqu'à présent, les régulateurs sont restés discrets, partant du principe que sur l'ensemble de la finance mondiale, les montants concernés sont relativement faibles. Le risque n'a, en effet, rien de systémique. Les gouvernements ont également laissé le champ libre aux nouvelles technologies dans l'espoir de bénéficier, à terme, des revenus fiscaux issus de ces schémas, comme on l'a vu pour les différents montages réglementaires en environnement de test contrôlé façon « bac à sable ».

Mais à présent que des intervenants importants comme Facebook, et peut-être bientôt le gouvernement chinois, entrent dans la danse, l'approche réglementaire légère devient intenable. L'implication d'organisations aussi puissantes pose un risque systémique et revêt une importance géopolitique.

Par le passé, certains régulateurs ont pris la décision délibérée de ne pas faire respecter des règlements relatifs aux cryptomonnaies aussi strictement que la loi l'exigeait. À mon avis, les règles du jeu sont en train de changer. Nous allons observer une application bien plus stricte des règlements et une intervention politique plus grande dans le monde des cryptomonnaies, mais aussi en ce qui tient à la technologie impliquée et à l'élaboration des politiques d'utilisation associées.

5. La 5G, un outil puissant entre les mains des développeurs

Sam Bakken, directeur principal du marketing produit, OneSpan

Je pense que l'évolution continue de la 5G et la convergence des expériences clients numériques et physiques amenée par les appareils portables, l'IoT et l'informatique « ambiante » vont révolutionner notre quotidien. Notre façon de conduire, de cuisiner, de faire du sport, des achats et des paiements va changer. En parallèle, nous devons organiser nos modèles de gestion des risques pour proposer ces expériences client pratiques en toute sécurité.

La 5G, qui débarquera bientôt dans notre vie, l'affectera de plusieurs manières :

1. La 5G marquera une accélération remarquable de la vitesse et de la qualité de l'expérience utilisateur, permettant aux développeurs de proposer des interfaces plus agréables. Malheureusement, l'engouement qui ne manquera pas d'entourer ces nouvelles fonctionnalités et la précipitation pour les rendre disponibles mèneront certains développeurs à les bâcler. Il faudra impérativement s'assurer que ces nouvelles applications excitantes sont sécurisées. N'oubliez pas que tous les avantages dont pourront bénéficier les développeurs grâce à la 5G pour améliorer l'expérience des clients seront aussi exploitables par les pirates.
2. Pour créer des expériences client plus agréables et tirer parti de toutes les opportunités de la 5G, les développeurs doivent y consacrer un certain temps dans leur cycle de développement. Pour les organisations, c'est possible en confiant à leurs développeurs des outils de sécurité à l'efficacité prouvée, afin que ces derniers puissent se concentrer sur l'expérience client.

6. L'open banking exige de nouvelles méthodes de sécurité

Matthias Valcke, directeur des solutions commerciales et du développement sur les marchés, OneSpan

L'open banking est à l'origine d'une vague de bouleversements dans le monde entier. Jusqu'à présent, les banques étaient seules aux commandes du parcours client. Avec l'open banking, c'est terminé. Les consommateurs vont désormais consommer des services bancaires par le biais d'applications tierces (proposées par des fournisseurs tiers, ou TPP), situées en dehors du champ d'action de la banque.

Nous allons avoir besoin de nouvelles méthodes de sécurité, dans lesquelles la gestion des fraudes via apprentissage automatique jouera un grand rôle. L'apprentissage automatique devrait nous aider à comprendre le comportement habituel du client. Cette information, combinée à des paramètres relatifs à la sécurité de l'appareil de l'utilisateur, permet aux solutions de gestion de fraude de signaler tout comportement suspect de la part de ce dernier.

7. La transition vers l'open banking aux États-Unis va faire émerger des normes techniques de régulation

Michael Magrath, directeur en charge des règlements et des normes mondiales, OneSpan

Si les États-Unis passent à l'open banking à l'image de l'Europe et d'autres juridictions, le département du Trésor américain suivra certainement l'exemple de l'Autorité bancaire européenne en définissant des normes techniques de régulation et en imposant l'authentification forte du client. 

À l'heure actuelle, l'open banking est temporairement à l'arrêt, en raison d'un arrêté fédéral du Département des services financiers de l'État de New York (NYDFS) datant d'octobre 2019, émis à l'encontre de l'Office of the Comptroller of the Currency (OCC) du Trésor américain. En 2018, l'OCC avait annoncé que les fournisseurs de technologies financières pouvaient demander à dépendre de chartes bancaires spéciales, ce qui a provoqué la colère de l'industrie bancaire qui craignait l'émergence d'une disparité réglementaire.  Le juge a déterminé que l'OCC ne pourrait accepter aucune demande à rejoindre sa « charte bancaire pour les technologies financières ». Dans le cadre de la charte présentée à l'origine, des entreprises de technologies financières sous licence auraient été en mesure de réaliser diverses activités bancaires, comme l'octroi de prêts. Si l'OCC fait appel de cette décision et l'emporte, l'open banking aura le champ libre. 

8. L'ouverture et l'holistique sont en passe de redéfinir notre relation avec la technologie

Mark Crichton, directeur principal de la gestion produit, OneSpan

Il y a cinq ans, il était difficile d'imaginer l'explosion de la banque mobile que nous constatons aujourd'hui, de même que l'usage des appareils mobiles comme dispositifs d'authentification biométrique. Les cinq années à venir devraient voir émerger deux tendances majeures : l'ouverture et l'holistique.

L'ouverture est déjà visible dans les normes d'open banking, mais elle devrait s'intensifier dans les cinq années à venir. Bientôt, la banque devrait perdre une grande partie de sa souveraineté. Les distributeurs feront office de banque. Les cartes de crédit seront numériques. Les paiements par dispositif mobile seront monnaie courante.

Quant à l'holistique, elle renvoie à l'Internet des objets (IoT) et à notre monde interconnecté. Nous serons bientôt en mesure de commander de la nourriture avec notre réfrigérateur, d'acheter nos séries préférées avec notre télécommande depuis notre banque, quel que soit le fournisseur de contenu. Les appareils seront véritablement connectés. Dans ce paysage, la sécurité doit s'exercer de façon transparente, sans accroc, pour éviter d'interrompre la connexion de ces appareils innovants. Voilà donc la tâche des entreprises, des banques, des fournisseurs et des régulateurs du secteur pour les années à venir.

9. La régulation renforcera la confiance dans la technologie d'identité numérique

Conor Hickey, architecte de solutions, OneSpan

La centralisation de l'identité numérique, qu'elle soit gérée par un gouvernement ou par une entité privée de confiance (une institution financière, par exemple), sera la nouvelle norme d'ici quelques années. La capacité à prouver une identité une seule fois pour plusieurs usages est déjà une réalité dans de nombreux pays d'Europe. Cet avantage pratique devrait se généraliser et devenir plus simple à mettre en œuvre. Après avoir ouvert un compte chez une entité de confiance, ouvrir des comptes chez d'autres fournisseurs deviendrait un jeu d'enfant.

La régulation est une étape nécessaire pour renforcer la confiance des utilisateurs envers la vérification de l'identité numérique. Une fois en place, la réglementation entraînera un ralentissement temporaire de l'adoption, le temps que les fournisseurs comprennent les nouvelles règles et s'y conforment. Au final, la confiance devrait en ressortir renforcée. Par exemple, la réglementation de la comparaison faciale est essentielle en cas d'adoption massive, car elle fera office de protection contre l'usage abusif ou erroné de la technologie.

10. Glisser et déposer, le nouveau geste pratique pour utiliser les produits de sécurité

Will LaSala, directeur et ambassadeur des services de sécurité, OneSpan

L'année 2020 verra émerger de nouvelles fonctionnalités au service de la sécurité. Les équipes de DevOps et de DevSecOps devraient garder l'œil ouvert pour dénicher des outils à l'efficacité améliorée, qui les aideront à élaborer leurs applications au moyen de technologies simples faisant la part belle au glisser-déposer. La sécurité « drag and drop » ne passera pas inaperçue. Les développeurs découvriront qu'ils peuvent élaborer des interfaces à l'aide de nouveaux outils hébergés dans le cloud.  Déjà pourvus de fonctionnalités de sécurité, ces outils peuvent être surveillés par vos outils d'analyse des risques existants, ce qui améliore significativement la sécurité de vos applications d'entreprise personnalisées.  En outre, attendez-vous à voir des outils centrés sur l'ajout de sécurité à des applications dotées du même type d'outils.  S'il fallait plusieurs mois auparavant pour mettre en œuvre et tester de nouvelles technologies de sécurité avec des ingénieurs hautement spécialisés, ces outils-ci permettront à une équipe plus diversifiée de mettre en œuvre davantage de fonctionnalités de sécurité, et ce plus vite que jamais. 

Le low-code va bientôt propulser ces outils à la vitesse supérieure. À présent que le DevSecOps et le low-code se rejoignent, nous allons assister à l'arrivée d'une ergonomie sans précédent dans les produits de sécurité.

Les technologies d'automatisation des autorisations sont encore jeunes dans ce nouveau monde, mais elles ne manqueront pas de se simplifier davantage et d'offrir aux clients la possibilité d'ajouter une couche de sécurité à d'autres workflows, même dans des systèmes où ajouter une sécurité semblait généralement trop compliqué. Une fois doté de fonctionnalités simples de glisser-déposer, le workflow de sécurité avec l'analyse des risques via intelligence artificielle et authentification adaptative sera un précurseur de la sécurité numérique active à toutes les étapes du parcours de l'utilisateur sur le Web et sur les applications mobiles.