Sociétés de services financiers : comment surmonter la fatigue associée à la conformité

Au regard des efforts déployés par les cadres dirigeants pour protéger la valeur actionnariale et éviter que le nom de leur entreprise ne fasse les gros titres quotidiens pour les atteintes à la cybersécurité, on pourrait supposer que ces sociétés se conforment aux exigences de sécurité qui font partie des réglementations.
Ce n’est étonnamment pas toujours le cas. D'après le rapport de Verizon sur la sécurité des paiements publié récemment, seule une entreprise sur cinq aux États-Unis respecte pleinement les exigences de sécurité fondamentales de la Norme de sécurité de l'industrie des cartes de paiement (PCI DSS). Même dans le secteur des services financiers, moins de 40 % des entreprises examinées dans le rapport s'y conformaient pleinement.
Pourquoi ces chiffres sont-ils si faibles ? L'une des raisons peut être liée au nombre de réglementations auxquelles les entreprises doivent se conformer. Un article de 2018 de World Finance indiquait qu’il existe 750 organismes de réglementation internationaux, chacun ayant son propre ensemble de règles.
Les établissements souffrent-ils donc tout simplement d'une « fatigue liée à la conformité » ?
Peut-être. En Europe, au moment même où les organisations pensaient pouvoir reprendre leur souffle après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), elles ont dû rapidement se concentrer sur le respect des exigences relatives à l’authentification forte du client (SCA) dans la directive révisée sur les services de paiement (DSP2).
Le RGPD a catalysé un effort majeur au niveau mondial pour renforcer la protection de la sécurité et de la confidentialité des données pour les consommateurs. Aux États-Unis, la phase finale du règlement sur la cybersécurité du Département des services financiers (DFS) de l’État de New York est entrée en vigueur en mars dernier ; elle exigeait que les banques, les assureurs et autres établissements de services financiers et titulaires de licences mettent en œuvre des programmes de gestion des risques pour les fournisseurs tiers. Depuis février 2020, les entités doivent certifier leur conformité.
Bien que de nombreuses banques régionales et plus petites aient évité les règles du DFS parce qu’elles n’opèrent pas à New York, la Federal Trade Commission a proposé des modifications à la loi Gramm-Leach-Bliley qui s’inspirent des réglementations de New York. Si elles sont adoptées, elles obligeront toutes les sociétés de services financiers à chiffrer toutes les données des clients, à mettre en place des contrôles d’accès pour empêcher les utilisateurs non autorisés d’accéder aux informations des clients et à utiliser l’authentification multi-facteurs pour accéder aux données des clients.
Mais ce n'est pas tout. La California Consumer Privacy Act (CCPA), qui est entrée en vigueur le 1er janvier 2020, a ouvert la voie à chacun des États tels que le Massachusetts, Hawaï, Washington et d'autres vers l'adoption de leur propre législation sur la protection et la confidentialité des données.
Il est très inquiétant de constater que l’éventualité de 50 versions de la CCPA va créer un tsunami en matière de conformité pour les banques et les autres organisations concernées. En conséquence, le Congrès se sent sous pression pour promulguer une loi fédérale globale sur la protection des données, et juste avant Thanksgiving, le Consumer Online Privacy Rights Act a été présenté au Sénat.
La technologie à la rescousse ?
La bonne nouvelle, c'est que les entreprises de services financiers peuvent exploiter les nouvelles technologies pour se conformer pleinement à de nombreux aspects des réglementations mentionnées ci-dessus, tout en offrant à leurs clients un parcours numérique exceptionnel et sécurisé.
Le Groupe d’action financière a publié un projet de directives sur l’identité numérique, qui sera probablement utilisé comme référence par presque tous les pays qui cherchent à élaborer une réglementation sur l’identité numérique pour les services financiers. Le GAFI conseille aux établissements financiers d’appliquer une approche basée sur le risque à l’utilisation des identités numériques pour la vigilance à l’égard des clients et fournit des détails sur la manière d’utiliser ces systèmes pour la vérification, l’intégration et l’authentification des clients lors des transactions.
Les banques de plusieurs pays, dont les États-Unis, le Royaume-Uni, la France et Hong Kong, ont adopté des processus d’ouverture de compte numérique qui non seulement sont conformes aux normes, mais offrent également des approches rapides et conviviales pour l’intégration numérique des clients.
Le processus nécessite généralement la capture numérique d’une pièce d’identité avec photo valide par l’appareil photo du téléphone portable de l’utilisateur, qui est ensuite vérifiée à l’aide d’une technologie de vérification des documents et de reconnaissance faciale. Les données saisies par l’individu peuvent être comparées à des bases de données de référence pour fournir une garantie supplémentaire que la personne est bien celle qu’elle prétend être. Une fois la vérification effectuée, le processus d’ouverture de compte et d’intégration peut se poursuivre par la signature électronique de tous les formulaires requis. Les signatures électroniques aident les banques à maintenir la conformité en fournissant une piste d’audit visuelle.
Les informations d’identification des utilisateurs sont ensuite créées. Celles-ci ne doivent pas reposer sur des mots de passe statiques mais plutôt sur la biométrie, comme les empreintes digitales ou la reconnaissance faciale avec détection du caractère vivant. Les sociétés peuvent même utiliser la dernière innovation en matière d’authentification adaptative intelligente, qui combine la biométrie comportementale (la façon dont un client tient son appareil mobile, les schémas d'écran, la pression des doigts...) et l’apprentissage automatique pour authentifier l’utilisateur en continu, tout au long de sa session de service bancaire numérique.
Dans la mesure où ces technologies sont en grande partie invisibles pour l’utilisateur, elles offrent de solides mesures de sécurité et d’authentification des données pour aider les banques à respecter la conformité réglementaire, tout en offrant une expérience client quasi sans faille lors de la plupart des transactions.
Pour se conformer aux nombreuses mesures de sécurité des données et de protection de la vie privée en vigueur dans le monde, il est impératif que les entreprises de services financiers se tiennent au courant des dernières modifications réglementaires et des nouvelles propositions en cours de discussion, car celles-ci auront un impact crucial sur leurs initiatives de transformation numérique non seulement en 2020, mais tout au long de la prochaine décennie.
Nous devrons tous rester à l’écoute pour connaître les nouveautés en matière de réglementation, mais nous devrions commencer dès maintenant à mettre en œuvre des processus et des technologies plus avancés pour la sécurité des données, la vérification de l’identité, l’authentification des utilisateurs et la détection des fraudes, afin non seulement de respecter la réglementation, mais aussi de mieux protéger nos clients.
L'article suivant, rédigé par Michael Magrath, directeur des réglementations et normes mondiales chez OneSpan, a été publié pour la première fois sur BAI.org le 23 janvier 2020.