Le groupe Bank of Cyprus est le principal groupe de services bancaires et financiers de Chypre. La banque fournit une large gamme de produits et services financiers, y compris la banque de détail et commerciale, la banque d'investissement et l'assurance. La banque sert ses clients par l'intermédiaire du portail bancaire Internet 1Bank, de l'application bancaire mobile Bank of Cyprus, de plus de 120 succursales à Chypre, d'un certain nombre de filiales et de bureaux de représentation à Moscou et à Saint-Pétersbourg en Russie, à Kiev en Ukraine et à Pékin en Chine.

La Bank of Cyprus distribue depuis des années les tokens matériels de OneSpan à ses clients. Cependant, comme les clients se tournent vers les transactions mobiles, la banque a mis en place une authentification logicielle et des codes de passe à usage unique (OTP) spécifiques aux transactions, conformément à la directive révisée sur les services de paiement (PSD2).

Le défi

Au sein de la division Digital Service Channels de la banque, Toula Efthymiadou dirige le département Business Solutions des Digital Service Channels. Elle gère le développement commercial pour les canaux de la banque en ligne, de l'application mobile et des guichets automatiques. Elle est également responsable de la technologie d'authentification des clients et est cliente de OneSpan depuis 10 ans.

" Début 2016, nous avons commencé à chercher des alternatives aux dispositifs matériels OneSpan Digipass®, principalement en raison des exigences PSD2 à venir pour les paiements sur Internet. Nous avons également estimé que les dispositifs matériels n'étaient plus une approche moderne pour générer des OTP et effectuer la signature des transactions."

Grâce à ses authentificateurs matériels, Bank of Cyprus était déjà en conformité avec l'exigence d'authentification à deux facteurs pour la connexion au compte. Cependant, la banque n'avait pas de capacité d'authentification logicielle. Étant donné qu'environ la moitié des transactions bancaires numériques sont effectuées à l'aide d'appareils mobiles, ce besoin était devenu plus pressant.

Les authentificateurs matériels étaient devenus problématiques pour certains clients. La banque devait proposer un mécanisme d'authentification plus simple et plus pratique, permettant aux clients de ne plus avoir à transporter leur(s) dispositif(s) matériel(s) avec eux - et de ne plus avoir à les remplacer en raison de l'expiration de la batterie ou de l'exposition à la chaleur. Par exemple, en raison des températures élevées à Chypre, les dispositifs d'authentification matériels laissés à l'intérieur d'une voiture pendant l'été ne fonctionnent pas correctement.

Le défi pour cette banque n'était pas de remplacer les dispositifs matériels par une authentification logicielle. La vraie question était de savoir comment se conformer à l'une des exigences clés de la PSD2 : la liaison dynamique. L'obligation d'effectuer une liaison dynamique (également connue sous le nom de signature de transaction) pour authentifier une transaction financière est l'une des exigences les plus discutées des normes techniques réglementaires (RTS) de la DSP2 sur l'authentification forte du client (SCA) et la communication commune et sécurisée (CSC).

Les RTS étant neutres sur le plan technologique, elles ne prescrivent pas de méthode spécifique pour la mise en œuvre de la liaison dynamique. Cependant, le RTS précise que dans le cas d'une transaction de paiement, le code d'authentification doit être dynamiquement lié au montant et au bénéficiaire, ce qui signifie que ce code doit changer si le montant ou le bénéficiaire est modifié au cours de la transaction. En outre, les informations relatives au paiement doivent être échangées via un canal sécurisé et doivent être clairement indiquées à l'utilisateur.

Les législateurs européens ont introduit l'exigence d'un lien dynamique pour contrer les attaques de type "Man-in-the-middle", où un pirate informatique modifie les détails d'une transaction après que le payeur l'a authentifiée. Une telle attaque pourrait transformer un virement authentique de 100 euros à un ami en un virement frauduleux de 1 000 euros à un imposteur, sans que le payeur s'en aperçoive. Le règlement vise à éviter les attaques par ingénierie sociale, qui consistent à convaincre un payeur d'authentifier des données qu'il ne comprend pas et qui s'avèrent ensuite représenter une transaction frauduleuse.

Principales exigences

L'équipe savait qu'elle devait aborder la PSD2 non seulement du point de vue de la conformité, mais aussi de l'optimisation de l'expérience utilisateur. Pour ce faire, il fallait éviter un scénario dans lequel les clients mobiles devraient alterner entre l'application de la Bank of Cyprus et une application d'authentification distincte.

"Dès le jour où nous avons rédigé les spécifications fonctionnelles avec la coopération du département informatique de la banque et les conseils du département de la sécurité de l'information de la banque, ainsi que d'autres départements de la banque, l'exigence principale était que l'authentificateur logiciel soit entièrement intégré à l'application mobile de la Bank of Cyprus. Il était essentiel d'offrir une expérience client transparente. Il était essentiel que la conformité à la directive PSD2 n'impose pas un fardeau au client

"Du côté de l'entreprise, nous collaborons étroitement avec le département de la sécurité de l'information. Lorsque nous avons proposé l'option intégrée, ils ont été convaincus."

La banque souhaitait également n'avoir qu'une seule présence sur les magasins d'applications. "Nous ne voulions pas embrouiller les clients avec de multiples applications", explique Toula.

La banque a déterminé qu'elle aurait besoin de pouvoir désactiver la communication d'application à application, car plusieurs utilisateurs peuvent partager le même appareil. C'était très important car à Chypre, les clients ont tendance à partager leurs appareils. Il était donc important de ne pas exposer des fonctionnalités qui ne seraient pas disponibles pour l'utilisateur. "Par exemple, si quelqu'un utilise un appareil familial pour ses opérations bancaires et que son authentificateur personnel n'est pas celui qui est installé sur l'appareil, cet utilisateur ne devrait pas voir l'option de communication d'application à application

Enfin, la banque souhaitait s'approvisionner en solution auprès d'un seul fournisseur, si possible, ayant fait ses preuves en matière de conformité à la directive PSD2.

La solution

Après plusieurs consultations sur le PSD2 RTS et des démonstrations qui ont confirmé que les solutions de OneSpan étaient conformes à toutes les exigences, la Bank of Cyprus a choisi l'authentification logicielle de OneSpan, ainsi que l'option de notifications push et la solution Cronto® - toutes intégrées par le biais des SDK de la OneSpan Mobile Security Suite.

Pour la connexion au compte et la liaison dynamique, la banque a décidé d'introduire l'authentification logicielle directement dans l'application de banque mobile de Bank of Cyprus. Pour les clients qui n'utilisent pas l'application de banque mobile mais qui effectuent tout de même des paiements en ligne, la banque offre la possibilité de recevoir le code d'authentification OTP par SMS (en ligne) ou de scanner un code Cronto (hors ligne).

La technologie Cronto utilise un cryptogramme coloré qui représente les données cryptées de la transaction. Lorsque l'utilisateur souhaite initier une transaction, il.. :

1. Saisit les données de paiement dans l'application bancaire en ligne du navigateur. Le serveur bancaire génère alors le cryptogramme coloré à partir des données de paiement et l'affiche dans le navigateur.
2. Scanner le cryptogramme à l'aide de l'appareil photo de leur appareil mobile. L'appareil décode le cryptogramme, déchiffre les données de paiement et les présente à l'utilisateur en texte clair.
3. S'authentifier sur son appareil, qui calcule le code d'authentification sur les données de paiement à l'aide d'une clé cryptographique stockée sur l'appareil.

(Remarque : contrairement à d'autres solutions, un cryptogramme Cronto ne peut être lu que par l'appareil autorisé d'un utilisateur autorisé. Le code ne peut pas être lu par n'importe quel appareil)

Cette approche répond à toutes les exigences en matière de liaison dynamique énoncées dans les normes techniques réglementaires.

"Il était très important d'avoir un partenaire technologique possédant une grande expertise en matière de PSD2 ", explique Toula. "L'expert PSD2 de OneSpan est venu à Chypre et a répondu à toutes nos questions. Il y a eu quelques questions auxquelles il n'a pas pu répondre, mais il a maintenu la communication avec nous et nous a présenté à quelqu'un de l'Autorité bancaire européenne (ABE). Nous avons échangé des courriels avec l'ABE et tous les problèmes ont été résolus

Mise en œuvre

"Nous avions prévu une longue mise en œuvre car, du côté des entreprises, nous avons élaboré un document de spécifications fonctionnelles de 100 pages. Ce document était très détaillé et expliquait étape par étape ce que nous voulions que le client expérimente dans chaque scénario."

La banque a externalisé l'intégration avec l'application bancaire mobile et l'équipe informatique s'est occupée de tout le reste. L'équipe informatique a accordé une priorité élevée à ce projet et a commencé à y travailler de manière intensive. En conséquence, le projet est devenu opérationnel (en phase pilote) en trois mois (octobre 2016 - janvier 2017).

"Trois mois entre le début de la mise en œuvre et le golive. Nous avons été étonnés de pouvoir passer à la mise en service aussi rapidement", déclare Toula.

L'activation

"Pour qu'un client comprenne comment protéger ses transactions financières à l'aide du code d'authentification à liaison dynamique, il lui suffit de voir une démonstration une fois. Ensuite, c'est du gâteau. Cependant, pour comprendre comment configurer l'authentification logicielle sur votre appareil, nous avons pensé qu'il était approprié d'avoir une vidéo pour guider les clients", explique M. Toula.

L'activation se fait en deux étapes :

1. Tout d'abord, le client achète un jeton d'authentification logicielle (pour couvrir les coûts, la Bank of Cyprus le fournit à un prix très bas). Dès que le client a effectué son achat, il reçoit un SMS contenant le numéro de série du jeton. Il saisit ensuite ce numéro de série dans l'application mobile de la Bank of Cyprus. Cela déclenche un SMS contenant un code d'activation, que le client saisit également dans l'application mobile de la banque. Enfin, le client est invité à créer son code PIN ou à activer l'utilisation de TouchID / FaceID pour déverrouiller le jeton d'authentification du logiciel. Le client peut répéter ce processus pour configurer le même numéro de série sur un nombre illimité d'appareils supplémentaires, sans frais.
2. Le client doit maintenant activer le jeton. Cette étape indique essentiellement à la banque que le client abandonne son authentificateur matériel et passe à l'authentification logicielle intégrée sur son téléphone portable ou sa tablette. Cette étape prend environ trois minutes. Les clients naviguent sur le portail de banque en ligne pour compléter le processus. Il s'agit d'une procédure en libre-service que les clients peuvent effectuer en ligne 24 heures sur 24 et 7 jours sur 7.

"La plupart des clients se débrouillent seuls, sans assistance. Les utilisateurs avertis comprennent rapidement qu'il s'agit d'une procédure en deux étapes et y parviennent facilement. Les clients qui ne sont pas familiarisés avec la technologie ont besoin d'un peu d'aide. Mais une fois qu'ils savent où aller dans notre banque en ligne pour procéder à l'activation, ils sont en mesure de le faire

Exemples de flux d'utilisateurs

AUTHENTIFICATION D'UN PAIEMENT EFFECTUÉ VIA L'APPLICATION MOBILE DE LA BANQUE

Si l'utilisateur n'a pas accès à Internet, il peut scanner le code Cronto.

"La majorité des utilisateurs préfèrent Cronto. Cela s'explique par le fait que les forfaits de données à Chypre sont très chers et que la plupart des gens désactivent leurs données mobiles. Comme nous ne voulions pas que les clients aient à payer des frais supplémentaires avec Cronto, nous l'avons mis en place uniquement hors ligne", explique Toula.

AUTHENTIFIER UN PAIEMENT HORS LIGNE AVEC LA TECHNOLOGIE CRONTO DE ONESPAN

L'adoption

"L'utilisation de l'authentification intégrée est de 30 à 40 % à ce jour. Les personnes qui l'ont achetée ne veulent pas revenir à l'utilisation d'un dispositif matériel. Une fois qu'ils ont essayé l'authentification logicielle, ils sont très à l'aise. C'est une solution transparente et très facile à utiliser

Bien que la banque recommande à ses clients de remplacer leurs jetons matériels par l'authentification logicielle, de nombreuses transactions sont encore signées (c'est-à-dire liées dynamiquement) à l'aide de l'OTP des authentificateurs matériels.

"L'utilisation des applications mobiles est en train de rattraper son retard, mais les premiers clients à utiliser la méthode logicielle sont ceux qui sont à l'aise avec la technologie", explique M. Toula.

"D'après les commentaires des clients du centre d'appel, les particuliers préfèrent l'expérience d'authentification logicielle intégrée. Dans l'ensemble, en termes d'adoption, l'authentification logicielle est la plus préférée, suivie par le code Cronto."

La formation du personnel est la clé de l'adoption

Lorsque la banque est entrée en service, elle a publié une série de vidéos de démonstration pour aider les clients à comprendre comment configurer le jeton d'authentification logiciel sur leur appareil mobile et comment l'utiliser.

La banque a utilisé les mêmes vidéos à des fins de formation pour le personnel du centre d'appel et des succursales, afin qu'ils puissent se familiariser avec la nouvelle technologie et l'expliquer aux clients. Comme la plupart des clients préfèrent appeler le centre d'appel pour obtenir de l'aide plutôt que de se rendre en agence, la banque s'est principalement concentrée sur la formation du centre d'appel. La banque a testé les solutions pendant une semaine avec le personnel du centre d'appel. Cela lui a permis de se familiariser avec la technologie et de se préparer à fournir une assistance aux clients.

Les avantages

Les clients perçoivent la Bank of Cyprus comme moderne parce qu'elle met en œuvre des technologies telles que Touch ID/FaceID. "C'est le fait d'avoir Touch ID/FaceID sur l'appareil qui renforce la position de leader de la Bank of Cyprus sur le marché. L'authentification logicielle a également renforcé cette perception. Lorsque nous l'avons introduite, nous avons reçu des commentaires positifs de la part des clients. Le fait de disposer d'applications et de technologies nouvelles et modernes est un atout pour la fidélisation de la clientèle

"C'était un avantage pour nous d'être la première banque à Chypre à proposer une application comme alternative aux authentificateurs matériels", ajoute Toula. "Les clients n'ont plus besoin de transporter des dispositifs matériels lors de leurs transactions - et la banque leur permet d'acheter facilement le jeton d'authentification logiciel intégré en ligne, à condition qu'ils aient déjà un authentificateur matériel. La possibilité d'acheter et d'activer en ligne a été "un autre atout pour l'expérience client, car offrir la commodité d'une approche en libre-service est bien mieux que d'exiger une visite à l'agence"

La banque a également réduit ses coûts, car le personnel n'a plus besoin d'attribuer et d'envoyer manuellement le matériel aux clients

"Nous sommes très satisfaits des produits et du support de OneSpan ", déclare Toula. "En cas de problème, OneSpan réagit rapidement pour y remédier. Le support de OneSpan est rapide, et ce depuis des années. Bien que notre équipe informatique s'adresse à OneSpan chaque fois qu'elle a un problème, en tant que chefs d'entreprise, nous restons en contact étroit avec notre gestionnaire de compte, qui réagit très rapidement. J'ai travaillé avec plusieurs fournisseurs, mais je n'ai pas d'aussi bonnes relations avec eux qu'avec les représentants de OneSpan

"Mon meilleur conseil est de choisir un fournisseur qui tient ses promesses - et OneSpan est sans aucun doute une entreprise qui tient ses promesses