Orange Money utilise l’authentification fondée sur le risque

Nous participons régulièrement à des événements du secteur et à des présentations sur des sujets comme la prévention de la fraude, l’authentification et les pratiques exemplaires en matière de sécurité des applications mobiles. Si vous avez manqué la présentation d’Orange Money Roumanie et de OneSpan intitulée Intelligent Adaptive Authentication as a solution to provide PSD2 compliance, improve user experience, and enhance security for Orange Money customers lors du Le Sommet Hack 2020 (en anglais seulement), en voici un résumé de 10 minutes.

Orange Group est un chef de file mondial en services de télécommunications. Orange Money et Orange Bank, qui sont deux de ses filiales, offrent des services bancaires en ligne à la clientèle de télécommunications du groupe.

En Roumanie, Orange Money a été lancée en novembre 2016 à titre d’établissement de monnaie électronique (ÉMÉ) autorisé par la Banque Nationale de Roumanie. Propriété de la plus importante entreprise de télécommunications de la Roumanie, Orange Money peut fournir des comptes bancaires IBAN de détail, émettre des prêts, offrir des services de paiement et bien plus. Essentiellement, la filiale fournit presque tous les services qu’une banque traditionnelle peut offrir; cependant, une institution de monnaie électronique ne détient pas de permis bancaire de la Banque centrale européenne.

Dans l’application Orange Money, les clients peuvent transférer des fonds, payer des factures, acheter des devises étrangères et faire des achats à l’aide de leur appareil mobile au moyen d’une carte virtuelle Orange Money ou d’une carte virtuelle de débit VISA. Ils peuvent faire des paiements sans contact aux points de vente en associant leur compte bancaire à Google Pay ou Apple Pay. Des cartes de débit matérielles peuvent aussi être émises pour que les clients retirent de l’argent aux guichets automatiques bancaires.

Au troisième trimestre de 2020, Orange Money Roumanie comptait 245 000 clients. À titre de banque exclusivement mobile, il est essentiel pour sa croissance qu’Orange Money préserve la confiance numérique sans compromettre l’expérience des utilisateurs. Cette nécessité fait de l’authentification robuste des clients et de la prévention de la fraude des priorités absolues.

« Comme nous sommes une banque uniquement mobile, si le canal d’accès au compte du client est compromis, il n’existe aucun autre canal. Et comme nous sommes une entreprise relativement jeune, si nous commettons une seule erreur en matière de sécurité, il est très complexe de convaincre le client qu’il devrait nous faire confiance de nouveau », explique Mircea Spinei, responsable des paiements et des transactions à Orange Money Roumanie.

L’application Orange Money a une note de 4,4 étoiles dans le Google Play Store et de 4,7 étoiles dans l’Apple Store. Pour Orange Money, il est essentiel d’innover et de garder un taux élevé de satisfaction de la clientèle, tout en renforçant les mesures de protection contre la fraude et la conformité à la DSP2.

Le défi : une protection conforme à la DSP2 avec des irritants minimes

Orange Money Roumanie avait besoin de remplacer la technologie de sécurité déjà conforme à la DSP2 qu’elle avait conçue à l’interne et intégrée à son application monétaire mobile. Cependant, la nouvelle solution ne devait pas ajouter d’irritants inutiles à l’expérience client.

Afin de passer à une sécurité à la fine pointe de la technologie, la solution devait aussi être conforme à la DSP2 et, de ce fait, devait :

• Fournir une authentification à deux facteurs
• Créer un code d’autorisation unique pour chaque transaction financière
• Effectuer une surveillance en temps réel des transactions

« La DSP2 s’accompagne de nombreuses exigences en matière de sécurité, qui, si elles ne sont pas mises en œuvre adéquatement, peuvent ajouter des irritants à l’expérience client. Il s’agit d’un aspect que nous voulions éviter dans l’environnement de services bancaires mobiles. »

Orange Money devait-elle créer ou acheter?

Pour mettre à niveau la sécurité de son application mobile, l’équipe de la Roumanie a envisagé les trois options suivantes :

• Mettre à jour la solution existante
• Concevoir à l’interne une nouvelle solution plus sécurisée et plus moderne
• Intégrer une solution tierce créée sur mesure

L’équipe a pesé les pour et les contre de chaque option pour déterminer la meilleure voie à suivre en termes de coûts, de qualité et de délai de livraison.

« Si nous voulions mettre à jour la solution existante, nous aurions été en mesure de garder la même expérience client. Les coûts auraient été faibles, et la mise en œuvre, rapide. Le problème, c’est que nous n’aurions pas été en mesure de profiter d’une nouvelle technologie, puisqu’avec une telle technologie, nous aurions eu besoin de faire une refonte complète de la solution. Et même si nous comptons dans notre équipe des analystes spécialistes de la fraude, à titre d’entreprise de services bancaires exclusivement en ligne, nous n’avons pas la même expertise en la matière, explique Mircea Spinei. 

En ce qui a trait à l’option deux, si nous voulions créer une nouvelle solution à l’interne, nous aurions probablement été en mesure de garder la même expérience client. Le coût aurait encore été relativement faible, puisque nous aurions fait appel à nos propres ressources. Et nous aurions utilisé de nouvelles technologies, ce qui aurait été une amélioration en soi. Une fois de plus, le problème, c’est que nous n’aurions pas profité de l’expertise d’un fournisseur de services de sécurité bancaire. Et le temps de mise en œuvre aurait été considérablement plus long.

La troisième option consistait à intégrer la solution d’un tiers. Cette option-ci présentait plusieurs avantages : l’expérience générale qu’offre le fournisseur, ainsi qu’une mise en œuvre relativement rapide, puisque la solution serait hébergée dans le nuage. De plus, comme nous utiliserions la trousse de développement logiciel (SDK) du fournisseur, nous n’aurions pas à concevoir l’outil à partir de zéro. Bien entendu, nous devions analyser ces avantages par rapport au coût plus élevé et aux changements possibles que cette option apporterait à l’expérience client. »

La solution : une authentification nuagique fondée sur les risques

Orange Money a choisi la solution d’authentification adaptative intelligente (AAI) de OneSpan. L’authentification adaptative intelligente est une solution axée sur des API et conforme à la DSP2 et à l’authentification robuste des clients qui repose sur l’outil OneSpan Trusted Identity Platform, qui permet de prévenir la fraude en temps réel grâce à une combinaison d’AMF et d’analyse des risques fondée sur l’apprentissage automatique. Dans la présentation, Michal Wawrzynski, expert de OneSpan, explique la solution en détail. En bref, cette solution est composée des éléments suivants :

• OneSpan Risk Analytics : cette composante est l’outil d’analyse des risques, qui est l’épine dorsale de la solution AAI. Dans le cas de la gestion des risques associés aux transactions, elle évalue toutes les donnes contextuelles associées à une transaction afin de calculer un pointage de fraude en temps réel. Ce pointage sous-tend le flux de travail de l’authentification.
• Authentification nuagique OneSpan : cette composante offre des fonctionnalités robustes d’authentification, comme la biométrie et les jetons logiciels pour les mots de passe uniques (MPI) que l’application Orange Money doit exploiter. Elle assure l’authentification multifacteurs (AMF).
• OneSpan Mobile Security Suite : cette composante est un menu de trousses de développement logiciel pour la cybersécurité mobile. Les fonctionnalités qu’Orange Money utilise comprennent des outils de collecte de données mobiles qui rassemblent les données mobiles et les entrent dans l’outil de gestion des risques. Ces fonctionnalités permettent à des organisations comme Orange Money d’accéder à des données contextuelles et d’avoir une visibilité inégalée. OneSpan Mobile Security Suite permet également d’orchestrer l’authentification sur le téléphone du client.

Toutes ces composantes, une fois combinées, fournissent une authentification sophistiquée axée sur les risques : la capacité de recueillir une énorme quantité de données à partir de l’appareil mobile de l’utilisateur, puis de l’analyser en temps réel et de modifier l’authentification de façon dynamique en fonction du pointage de risque.

« Chaque fois qu’un utilisateur effectue une transaction, l’outil interagit avec notre système central de services bancaires et de paiement, qui fait appel à OneSpan pour offrir une authentification adaptative intelligente. Essentiellement, notre système dit à OneSpan : "Voici le contexte. Voici la transaction. Voici l’utilisateur. Comment devons-nous les authentifier?"

Le client doit alors entrer son NIP ou procéder à une authentification par empreinte digitale, selon le risque associé à la transaction. Avec l’AAI, si la transaction présente un risque faible, il est possible que le client n’ait pas à s’authentifier du tout — ce qui offre une authentification transparente lorsque les utilisateurs effectuent leurs transactions à partir de leur appareil de confiance, à l’endroit habituel, et selon un comportement normal.

À l’heure actuelle, nous n’avons pas encore mis en œuvre d’exemptions liées à l’authentification robuste des clients exigées par la DSP2. Nous utilisons une authentification à deux facteurs en tout temps, car nous souhaitons former la composante d’intelligence artificielle et d’apprentissage automatique de la solution d’authentification adaptative intelligente de OneSpan. Nous souhaitons également devenir à l’aise avec cette nouvelle façon d’authentifier et d’autoriser les transactions. Mais nous souhaitons mettre en place des exemptions liées à la DSP2 », précise Mircea Spinei.

Intégration et lancement

Pour lancer le projet, OneSpan a dépêché une équipe en Roumanie afin d’offrir une formation aux équipes de TI, de prévention de la fraude et des affaires d’Orange Money. OneSpan a fourni les trousses de développement logiciel pour Android et iOS, et les équipes ont collaboré pour mettre en place la solution au sein des infrastructures techniques d’Orange Money ainsi que dans les processus de prévention de la fraude de l’entreprise.

« Pour le lancement, nous avons d’abord terminé la phase d’essais d’acceptation par l’utilisateur (EAU). Nous avons ensuite lancé une version bêta destinée à nos clients testeurs bêta. Depuis, nous avons intégré certains de leurs commentaires, qui ont été très utiles. Par la suite, nous avons lancé l’application dans les magasins d’applications mobiles, et avons laissé les clients mettre l’application à jour à leur propre rythme. Un mois après le lancement, 99 % des utilisateurs actifs de notre application mobile étaient passés à la nouvelle version intégrant la cybersécurité.

Pour ceux qui travaillent dans le domaine bancaire, vous avez probablement remarqué le changement dans la façon dont les utilisateurs s’authentifient auprès de leur institution financière. Certaines institutions ont ajouté un jeton logiciel à leur application mobile, et pour la majorité des institutions financières, la migration d’une authentification fondée uniquement sur un mot de passe et un SMS vers une authentification logicielle peut être pénible. Sans compter qu’un certain nombre d’utilisateurs communiqueront avec le service à la clientèle. Même si nous nous sommes préparés à ces éventualités, notre mise en œuvre avec OneSpan a aidé nos clients à trouver eux-mêmes la solution à leurs problèmes. Nous n’avons pas connu de grande augmentation des appels au centre de service à la clientèle. »

Points à retenir du témoignage d’Orange Money Roumanie

La présentation d’Orange Money comprend de nombreux autres détails que ce blogue ne mentionne pas, alors nous encourageons les fournisseurs de services financiers à visionner la présentation complète (en anglais seulement). En résumé, il y a trois importants points à retenir de l’expérience d’Orange Money :

1. La valeur du nuage : À OneSpan, nous observons une forte augmentation des déploiements dans le nuage, comme celui fait à Orange Money. Cette observation est conforme aux résultats de recherche présentés dans le nouveau rapport d’Aite Group, Neobanks : The Bumpy Road to Profitability (en anglais seulement). Selon Aite, « plusieurs facteurs expliquent la préférence envers les solutions technologiques hébergées/nuagiques pour les néo-banques :

• Une rapidité accrue du déploiement sur le marché
• Un coût total de possession moindre
• Moins de pressions en matière de dotation en personnel
• Plus de temps pour se concentrer sur les activités bancaires et l’acquisition de clients, grâce au fait que la technologie a pour priorité de créer une expérience client qui se distingue de la concurrence plutôt que de se concentrer sur les infrastructures
• Des exigences réglementaires moindres grâce à l’utilisation de fournisseurs de technologies qui sont déjà conformes aux normes du secteur des services financiers
• Un niveau accru de continuité des activités grâce aux centres de données de sauvegarde exploités par les fournisseurs

2. L’avantage de passer progressivement à une authentification plus avancée : Lorsque les institutions financières réévaluent leurs stratégies d’authentification pour trouver un équilibre entre la prévention de la fraude, la conformité réglementaire et l’expérience client, elles migrent d’une authentification simple (qui fait appel à des méthodes d’authentification individuelle comme des mots de passe ou des SMS) vers des approches plus sophistiquées qui orchestrent l’authentification à l’aide de règles antifraude et, éventuellement, d’un apprentissage automatique. Il s’agit là de la pratique exemplaire qu’Orange Money Roumanie respecte : d’abord gagner en aisance avec l’utilisation de règles de prévention de la fraude afin d’alimenter une authentification adaptative fondée sur le niveau de risque, et se donner le temps — et donner le temps à ses clients — de s’habituer à cette nouvelle expérience. Puis, comme deuxième étape, former le modèle d’apprentissage automatique de l’outil. Ce processus aura pour résultat une nouvelle approche d’authentification poussée, qui détectera la fraude grâce à un apprentissage automatique.  

3. L’avantage de profiter de l’expertise d’un fournisseur spécialisé de services de sécurité : Les menaces de fraude comme la prise de contrôle du compte, les maliciels mobiles et le vol d’identité sont de plus en plus répandues et sophistiquées. Bon nombre d’institutions financières s’appuient encore sur des technologies antifraude plus anciennes et doivent réévaluer leurs systèmes. En même temps, elles cherchent un équilibre entre la conformité réglementaire et l’expérience utilisateur, et doivent regrouper ces trois priorités en un flux transparent pour le client. Il est essentiel de comprendre comment mettre en œuvre le mieux possible les nouvelles technologies d’authentification et de prévention de la fraude d’une manière qui empêche les cas de fraude et diminue les faux positifs. C’est particulièrement vrai dans le contexte de votre clientèle et dans votre contexte réglementaire (qu’il s’agisse de la DSP2 dans les marchés financiers européens, de la « banque ouverte » [Open Banking] au Royaume-Uni ou de l’environnement réglementaire des États-Unis). Tous ces éléments font partie de l’expertise centrale de OneSpan. Le transfert de connaissances qui s’effectue entre OneSpan et les équipes spécialistes de la fraude chez nos clients tout au long de notre partenariat est une stratégie que les banques traditionnelles comme les néo-banques reconnaissent comme ayant renforcé leurs organisations.    

Visitez les pages suivantes pour en apprendre plus au sujet de nos solutions nuagiques en matière d’authentification, de prévention de la fraude, de cybersécurité mobile, de vérification de l’identité numérique pour la connaissance électronique des clients, et de signatures électroniques .