Essai gratuit

Mises à jour réglementaires : Authentification forte pour la banque numérique et le personnel d'entreprise

Authentification
Frederik Mennes,
Regulatory updates: Strong authentication for digital banking and the enterprise workforce

Ces derniers mois, les régulateurs financiers du monde entier ont été très occupés par la question de l'authentification forte. Les banques centrales et les agences de cybersécurité de l'Union européenne, des Émirats arabes unis et des Philippines ont publié des réglementations ou des orientations sur l'authentification forte. Dans cet article, nous mettons l'accent sur les mises à jour réglementaires que les institutions de services financiers, ainsi que les entreprises, devraient connaître.

Union européenne : Le règlement sur les services de paiement (PSR) prend forme

Le 18 juin 2025, le Conseil de l'Union européenne a publié sa position sur le futur règlement sur les services de paiement (PSR), le successeur tant attendu de la directive révisée sur les services de paiement (PSD2) de 2015. Cette position est une réponse au projet de proposition de la Commission européenne, publié en juin 2023, et fait suite à l'examen du Parlement européen en avril 2024.

En ce qui concerne l'authentification forte des utilisateurs d'applications bancaires numériques, la position du Conseil contient les éléments notables suivants :

  • Article 85, paragraphe 10. Le Conseil propose que les éléments d'authentification qui composent un mécanisme d'authentification doivent appartenir à des catégories différentes, comme c'est actuellement le cas dans le cadre de la DSP2. Cela va à l'encontre de la proposition de la Commission d'autoriser des éléments d'authentification appartenant aux mêmes catégories (c'est-à-dire la possession, la connaissance et l'inhérence). Par conséquent, deux éléments biométriques (par exemple, les empreintes digitales et la biométrie comportementale) ne seraient pas autorisés.
  • Article 88, paragraphe 1. Le Conseil propose que les prestataires de services de paiement fournissent gratuitement à l'ensemble de leur clientèle (y compris, par exemple, aux personnes handicapées) au moins un mécanisme d'authentification approprié. Ceci est conforme à une recommandation du Parlement dans sa révision d'avril 2024.
  • Article 88, paragraphe 2. Le Conseil propose d'assouplir l'exigence de la Commission selon laquelle l'authentification forte du client ne doit pas reposer uniquement sur les smartphones ou les appareils intelligents. Il propose de n'autoriser l'utilisation des appareils intelligents que si le modèle d'entreprise ou le compte de paiement choisi par l'utilisateur de services de paiement consiste à fournir des services exclusivement par l'intermédiaire d'un appareil intelligent.

Maintenant que le Parlement et le Conseil ont publié leurs avis sur le projet de règlement sur les services de paiement, les négociations en trilogue entre la Commission, le Parlement et le Conseil sur le texte final du règlement sur les services de paiement peuvent commencer. On peut s'attendre à ce que le PSR soit finalisé au quatrième trimestre de 2025 ou au début de 2026.

Émirats arabes unis : La répression de l'authentification faible

Ensuite, le 23 mai 2025, la Banque centrale des Émirats arabes unis (CBUAE) a diffusé l'avis CBUAE/FCMCP/2025/3057 aux institutions financières des Émirats arabes unis qui émettent des cartes, offrent des services bancaires numériques ou des portefeuilles électroniques. Cet avis a été publié en réponse à l'augmentation de la fraude et de la cybercriminalité ciblant les banques.

Parmi les principales dispositions de l'avis relatives aux services bancaires numériques, citons les suivantes

  • Il est interdit aux institutions financières d'utiliser des méthodes d'authentification faibles telles que l'OTP par SMS, l'OTP par courriel ou les mots de passe statiques comme seul mécanisme d'authentification pour la connexion, la confirmation des transactions et d'autres opérations sensibles.
  • Pour les services bancaires en ligne, l'utilisateur final doit approuver une confirmation provenant d'un autre canal sécurisé, tel que l'application bancaire mobile, un jeton matériel ou un jeton logiciel.
  • Les institutions financières doivent mettre en place des systèmes de détection des fraudes pour analyser les transactions en temps réel, 24 heures sur 24, 7 jours sur 7 et 365 jours par an, afin d'identifier les activités inhabituelles des consommateurs et de détecter les fraudes. Les institutions financières sont également encouragées à utiliser des méthodes avancées de détection des fraudes, telles que l'analyse comportementale et la biométrie comportementale.

Les institutions financières sont tenues de se conformer aux exigences de la communication d'ici au 31 mars 2026.

Philippines : Renforcer la sécurité des services bancaires mobiles et abandonner l'authentification faible

Le 30 mai 2025, la Bangko Sentral ng Pilipinas (BSP) a publié la circulaire n° 1213. Les principales exigences relatives à l'authentification forte sont les suivantes :

  • Les banques doivent s'abstenir d'installer des applications mobiles sur des appareils non sécurisés, tels que, mais sans s'y limiter, ceux dotés de systèmes obsolètes, les appareils rootés ou jailbreakés, ou les émulateurs. Cette exigence signifie essentiellement que les banques doivent équiper leurs applications bancaires mobiles d'une fonctionnalité de protection des applications capable d'analyser les caractéristiques de sécurité de l'appareil sur lequel elles sont installées.
  • Les banques doivent adopter la technique de l'empreinte digitale forte, qui consiste à collecter des données sur l'appareil utilisé, afin de détecter l'accès au compte à partir d'appareils inconnus ou inattendus.
  • Les banques doivent limiter l'utilisation de l'OTP par SMS et de l'OTP par courriel, qui peuvent être interceptés relativement facilement. Elles doivent plutôt adopter des mécanismes d'authentification forte, tels que l'authentification biométrique, la biométrie comportementale ou l'authentification sans mot de passe. La circulaire cite spécifiquement les mécanismes d'authentification basés sur FIDO comme exemple d'authentification sans mot de passe.

Les banques doivent se conformer à la circulaire dans un délai d'un an à compter de sa date d'entrée en vigueur, ce qui signifie que la date limite de mise en conformité se situe autour du 25 juin 2026.

Union européenne : L'ENISA recommande une AMF résistante à l'hameçonnage dans le cadre de NIS2

Enfin, le 26 juin, l'ENISA, l'agence de cybersécurité de l'UE, a publié des conseils de mise en œuvre technique à l'intention des organisations qui doivent se conformer à la directive révisée sur la sécurité des réseaux et de l'information (NIS2).

Ladirective NIS2 définit les exigences générales en matière de cybersécurité, y compris les exigences d'authentification, pour les entreprises et les organisations actives dans des secteurs critiques, tels que l'énergie, les transports et les soins de santé. L'article 21 de la NIS2 exige que les entreprises utilisent l'authentification multifactorielle (AMF) pour authentifier les membres de leur personnel lorsqu'ils accèdent à distance au réseau de l'entreprise, se connectent à leur poste de travail, accèdent à des comptes privilégiés, etc. Cependant, la NIS2 ne fournit pas de définition de ce qu'est l'AMF.

Les orientations techniques de l'ENISA classent les méthodes d'AMF en trois catégories et recommandent aux entreprises de choisir la méthode d'AMF en fonction du risque associé. Les trois catégories sont appelées "la plus forte", "la moyenne" et "le dernier recours"

  • La catégoriela plus forte englobe l'AMF résistante à l'hameçonnage, telle que l'AMF basée sur les normes FIDO, y compris, par exemple, les clés de sécurité matérielles FIDO.
  • Leniveau moyen fait référence à l'AMF basée sur des mots de passe à usage unique, mise en œuvre via des notifications push sur mobile ou des tokens matériels.
  • En dernier recours, on trouve les OTP par SMS ou par courriel.

Le délai de mise en conformité avec la norme NIS2 varie d'un pays à l'autre, en fonction de l'état d'avancement de la transposition de la norme NIS2 dans la législation nationale de chaque État membre de l'Union européenne. À l'heure actuelle, 14 États membres (Belgique, Croatie, Danemark, Grèce, Italie, Slovénie) ont achevé la transposition, tandis que les 13 autres États membres (Autriche, France, Allemagne, Pologne, Portugal, Slovaquie, Espagne) en sont à divers stades de transposition.

Conclusion

Les Émirats arabes unis et les Philippines sont les prochains pays à abandonner progressivement l'utilisation de l'OTP par SMS et de l'OTP par courriel pour l'authentification bancaire numérique. Ils suivent les initiatives antérieures de l'Autorité monétaire de Singapour (MAS) et de la Banque de réserve de l'Inde (RBI). Chez OneSpan, nous saluons la transition vers des mécanismes d'authentification plus sûrs, plus conviviaux et plus économiques.

Il est intéressant de noter que l'Union européenne autorise toujours l'OTP par SMS pour la connexion aux comptes bancaires numériques (mais pas pour la signature de transactions ou la liaison dynamique), malgré les problèmes de sécurité évidents que pose cette méthode d'authentification.

Le prochain règlement sur les services de paiement, ou les normes techniques réglementaires sur l'authentification forte des clients qui lui sont associées, devraient, espérons-le, éliminer progressivement l'OTP par SMS en Europe également.

Enfin, il est clair que les normes de l'alliance FIDO, dont OneSpan est membre du conseil d'administration, sont de plus en plus souvent incluses dans les réglementations et les orientations techniques relatives à l'authentification forte. Les mécanismes d'authentification basés sur FIDO offrent une sécurité accrue grâce à la résistance au phishing, qui atténue les vecteurs d'attaque courants associés à l'authentification traditionnelle par mot de passe. Cette intégration stratégique reflète la reconnaissance croissante du cadre solide de FIDO pour l'établissement de protocoles d'authentification plus sûrs et plus conviviaux dans divers environnements numériques.

les authentificateurs digipass fx sont certifiés FIDO
Page web

Authentificateurs matériels FIDO

Passez sans mot de passe avec les authentificateurs DIGIPASS FX. Améliorez l'expérience de l'utilisateur et contrecarrez les tentatives de prise de contrôle de compte et d'hameçonnage avancé.

En savoir plus
Frederik Mennes
Frederik Mennes

Frederik dirige le Security Competence Center de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie des technologies d'authentification, de gestion des identités, de réglementation et de sécurité pour les applications cloud et mobiles.

Contenu
Sign up for OneSpan updates.
Partager