Résumé exécutif
Objectifs de l'entreprise
- Améliorer l'expérience du client et le protéger contre la fraude en intégrant l'authentification logicielle à l'application bancaire mobile
Le défi
- Aider à prévenir la fraude par échange de cartes SIM
- Conformité réglementaire
La solution
- Développer l'utilisation de codes de passe à usage unique (OTP) délivrés par notification push - au lieu de SMS
Les résultats
- Retour d'information positif de la part des clients
- Capture des tentatives de fraude avant que les clients ne soient lésés
- Conformité avec la nouvelle réglementation en vigueur en Turquie
Comment la banque a amélioré l'expérience et la sécurité des utilisateurs, tout en réduisant les échanges de cartes SIM et autres attaques frauduleuses
Odeabank est entrée sur le marché bancaire turc en 2012 en tant que filiale du groupe Bank Audi. Cette banque dynamique et innovante se classe parmi les 10 premières banques de dépôt du secteur privé du pays en termes d'actifs totaux. Aujourd'hui, 90 % des transactions de la banque passent par les canaux numériques et, par conséquent, une authentification forte des clients reste une priorité absolue dans la lutte contre l'ingénierie sociale et d'autres types de fraude.
Deux ans après s'être implantée en Turquie, la banque a intégré la OneSpan Mobile Security Suite à son application de banque mobile. Mobile Security Suite est un kit de développement logiciel (SDK) qui fournit tous les éléments nécessaires à la protection d'une application mobile tout en réduisant les coûts de développement. Il permet également de prendre en charge un large éventail d'options d'authentification, telles que les codes de passe à usage unique (OTP), les notifications push hors bande et la biométrie.
En tant qu'innovateur, il a toujours été important pour Odeabank que l'expérience de la banque numérique soit facile et pratique - mais avant tout, elle devait être sécurisée. La banque a vu dans l'authentification logicielle le meilleur des deux mondes. Pour l'introduire auprès de ses utilisateurs de services bancaires aux particuliers et aux entreprises, la banque l'a d'abord intégrée à son application de services bancaires mobiles. Peu après, elle l'a étendue pour que les clients puissent utiliser l'OTP logiciel comme deuxième facteur d'authentification lorsqu'ils se connectent à la banque en ligne.
"Plutôt que d'avoir une seule application OTP dans les magasins d'applications, comme le préféraient la plupart de nos concurrents, nous avons intégré la fonction OTP dans l'application de banque mobile d'Odeabank", explique Sinan Erdem Özer, directeur de l'exploitation d'Odeabank. "L'authentification intégrée a toujours été un élément stratégique de l'expérience client, car chaque fois qu'un client interagit avec l'application mobile ou la banque en ligne, la première chose qu'il fait est de s'authentifier. Cela devait se faire de manière transparente, dès le départ"
L'authentification forte est cruciale, surtout si l'on considère que 90 % des transactions bancaires de détail et commerciales passent par nos canaux numériques. Notre devoir est de protéger les données de nos clients, leur patrimoine et l'accès à nos canaux - et OneSpan nous aide à le faire.
Pour commencer, l'expérience utilisateur est simple. Les clients activent leur application mobile en fournissant leur numéro de téléphone et leur nom d'utilisateur/mot de passe pour la banque en ligne. Après l'activation, ils se connectent à l'application mobile en entrant le mot de passe qu'ils ont créé lors de la session d'activation. À partir de ce moment, l'application génère et envoie automatiquement l'OTP au système dorsal, ce qui permet aux utilisateurs d'accéder facilement à leurs comptes en quelques secondes. Les réactions des clients ont été très positives. "Une fois que les clients commencent à l'utiliser, ils ne reviennent jamais en arrière - tout simplement parce que l'expérience est tellement bonne
L'objectif de la banque était de créer une expérience d'authentification omnicanale transparente pour les services bancaires mobiles, les services bancaires en ligne, les guichets automatiques et le centre de contact. La banque a également commencé à étudier et à comparer l'efficacité de l'OTP logiciel par rapport à d'autres méthodes d'authentification.
SMS-OTP (sécurité réactive) et OTP intégré avec notifications push (sécurité proactive)
Bien que l'authentification par SMS soit une méthode d'authentification très répandue en Turquie, la banque a estimé que l'authentification logicielle intégrée était plus sûre que l'envoi de l'OTP par SMS. L'OTP par SMS est vulnérable aux attaques, et les banques doivent gérer les risques liés au phishing et à d'autres types d'attaques d'ingénierie sociale, comme la fraude par échange de cartes SIM.
"Une fois que le fraudeur est en possession de la carte SIM, il peut s'emparer du compte du client. C'est à ce moment-là que nous devons adopter une approche réactive pour détecter ces incidents, informer le client et prendre des mesures pour le protéger
En utilisant la solution de OneSpan, la banque a découvert que le logiciel OTP transfère l'authentification de la carte SIM au téléphone. Même si un pirate réussit à s'emparer de la carte SIM d'un client, il n'est pas en mesure de recevoir un code d'authentification puisqu'une notification push ne serait envoyée qu'à l'application sur l'appareil enregistré par l'utilisateur légitime. OneSpan lie la fonctionnalité d'authentification à l'appareil de l'utilisateur enregistré, afin de garantir que seule l'application installée sur l'appareil enregistré génère des OTP valides.
"En utilisant leur appareil comme méthode d'authentification, nous pouvons réduire les attaques par échange de cartes SIM. Nous devons encore être prudents, car les acteurs malveillants sont toujours à la recherche de nouveaux moyens de commettre des fraudes, mais nous considérons que l'authentification intégrée avec les notifications push est définitivement plus sûre. Nous avons eu l'occasion d'observer et d'explorer cela au cours des cinq dernières années de notre partenariat avec OneSpan
Lorsqu'Odeabank a introduit pour la première fois la fonctionnalité OTP intégrée, elle l'a fait avec plusieurs milliers de clients. Cela a permis à la banque de comparer (du point de vue de la sécurité et de l'expérience utilisateur) avec un groupe différent de clients utilisant l'OTP par SMS.
"En observant le groupe test (qui avait reçu l'authentification logicielle intégrée) et le groupe de contrôle (qui utilisait le SMS-OTP), nous avons identifié plusieurs différences importantes. L'une d'entre elles est que le secteur des télécommunications est réglementé différemment du secteur bancaire, et qu'il y a des défis à relever pour arrêter la fraude par échange de cartes SIM avant que les fraudeurs ne puissent accéder aux comptes de nos clients"
"Grâce à la solution d'authentification intégrée de OneSpan, nous avons pu détecter les tentatives de fraude avant que le client ne subisse un préjudice financier ou autre. C'est ce qui nous a incités à investir davantage dans la solution logicielle OTP", ajoute M. Özer.
Une nouvelle réglementation éloigne le secteur du SMS-OTP
En 2020, Odeabank a multiplié par cinq le nombre de licences d'authentification logicielle. Aujourd'hui, 90 % des utilisateurs des services bancaires en ligne utilisent également l'application mobile. Avec une telle adoption du mobile, la sécurité est devenue un aspect encore plus critique de l'expérience numérique du client.
Alors que la banque prévoyait déjà d'étendre l'authentification logicielle à un plus grand nombre de clients et de cas d'utilisation, cette décision a été accélérée par la nouvelle réglementation en vigueur en Turquie. Le règlement turc sur les systèmes d'information des banques et les services bancaires électroniques est entré en vigueur le 1er juillet 2020. Il traite de la sécurité de l'information pour les banques et les services bancaires électroniques. Chaque canal bancaire est soumis à une réglementation détaillée en termes d'authentification et de sécurité des transactions. Par exemple, l'article 34 exige que les clients utilisent l'authentification à deux facteurs (2FA) pour l'accès au compte et les transactions, à travers les canaux en ligne, mobile, téléphonique et ATM.
Le règlement répond également aux préoccupations concernant les problèmes de sécurité liés à l'envoi d'OTP par SMS. Les banques ne peuvent pas envoyer un OTP par SMS pour autoriser des transactions pendant la session ou l'utiliser comme élément d'authentification.
"Avec la nouvelle réglementation en Turquie, nous constatons que les banques cessent d'utiliser l'industrie des télécommunications comme fournisseur d'authentification et se tournent vers des solutions plus sûres telles que l'OTP logiciel
L'échange d'une carte SIM est un service légitime offert par les opérateurs de téléphonie mobile lorsqu'un client change d'appareil et que l'ancienne carte SIM n'est plus compatible.
Les fraudeurs peuvent abuser de ce service. Si la fraude nécessite des recherches et de la préparation, le piratage lui-même est relativement simple. Dans le cas d'un échange de cartes SIM, les criminels utilisent des techniques d'ingénierie sociale pour transférer le numéro de téléphone mobile de la victime sur une nouvelle carte SIM. Tous les messages SMS de la victime sont alors redirigés vers le fraudeur.
Le fraudeur peut ainsi cibler les solutions bancaires qui utilisent le téléphone mobile dans le cadre du processus d'authentification. Par exemple, si l'inscription à une application bancaire mobile se fait par SMS, les fraudeurs peuvent utiliser l'échange de cartes SIM pour se faire passer pour la victime et activer l'application bancaire sur le téléphone du fraudeur.
De même, si le mécanisme d'authentification de la banque inclut des messages textuels pour délivrer des codes de passe à usage unique, l'usurpation du numéro de la victime devient alors un moyen intéressant pour un criminel d'authentifier des transactions frauduleuses.
Dès la première interaction avec le client, qu'il soit nouveau dans la banque ou qu'il veuille effectuer une transaction dans la journée, nous veillons à ce que tout se passe de manière transparente. La solution OneSpan nous permet d'offrir une expérience omnicanale pour les transactions non mobiles - ce qui signifie que si le client utilise l'application mobile, il peut utiliser l'authentification logicielle pour tout type de transaction à travers les canaux. Le fait d'utiliser le mobile comme méthode d'authentification aide également les clients, car ils n'ont pas besoin de porter un jeton matériel.
Sinan Erdem Özer Directeur des opérations d'Odeabank
Élargir les cas d'utilisation futurs
Dans une prochaine étape, Odeabank prévoit de déployer l'authentification logicielle à l'ensemble de sa clientèle, afin d'offrir une expérience d'authentification cohérente sur tous les canaux et dans tous les cas d'utilisation. Mais d'abord, la banque mène des études auprès de groupes d'utilisateurs qui l'aideront à repenser certaines expériences utilisateur.
"Par exemple, nous avons déjà une base de clients qui utilisent la solution OneSpan. Certains apprécient le fait qu'ils définissent un code à 6 chiffres et le saisissent, en plus de leur mot de passe. Ce groupe de clients trouve cette solution plus sûre. Mais d'autres trouvent cela redondant. Ils préfèrent avoir une expérience de connexion transparente sans avoir à saisir de mot de passe. Ils préfèrent que l'authentification se fasse entièrement en amont. Nous observons donc les comportements des clients pour déterminer s'il est toujours nécessaire d'offrir les deux options"
Ces informations sur les clients influenceront les prochaines itérations de l'expérience d'authentification des clients à travers les canaux.
Conclusion
Le système bancaire central d'Odeabank est externalisé. En tant que nouvelle banque partie de zéro en 2012, Odeabank a constaté que pour pénétrer rapidement le marché turc, l'externalisation était l'approche la plus durable et la plus flexible. Aujourd'hui, la banque continue de suivre le même modèle opérationnel. "En conséquence, notre équipe est habituée à travailler à distance avec des fournisseurs de logiciels et des partenaires locaux. OneSpan et notre partenaire local Komtera Teknoloji livrent sans problème et dans les délais", déclare M. Özer.
"Nous avons évalué d'autres fournisseurs, mais OneSpan propose une véritable valeur ajoutée en termes de technologie et de service à la clientèle. OneSpan offre un service étendu - non seulement en répondant à nos besoins, mais aussi en apportant de nouvelles idées sur la façon d'exploiter au mieux les SDK dont nous disposons déjà, sans coûts supplémentaires
"Nous pensons que OneSpan, du fait de sa présence déjà établie en Turquie, place la barre très haut en termes de technologies fournies, et il ne s'agit pas seulement de solutions logicielles OTP, mais aussi d'autres technologies que nous pouvons éventuellement intégrer si nous le souhaitons, comme les accords électroniques, l'app shielding, et d'autres solutions. Nous nous réjouissons de cette relation à long terme
Pour en savoir plus sur l'authentification mobile et la conformité avec la réglementation turque sur les systèmes d'information des banques et les services bancaires électroniques, visitez OneSpan.com ou contactez-nous pour parler à un représentant.