ÉTUDE DE CAS

DnB NOR, le plus grand groupe de services financiers de Norvège, a mis en œuvre le Digipass de OneSpan pour sécuriser le système BankID.

BankID offre une solution d'infrastructure à clé publique (PKI) permettant aux membres du public norvégien de s'identifier et de signer des documents numériques provenant d'autorités, d'entreprises et d'autres organisations sur l'internet. Le système BankID fonctionne avec la quasi-totalité des banques et groupes bancaires norvégiens, notamment DnB NOR. Il s'agit d'une norme nationale ouverte pour tous les citoyens disposant d'une banque en ligne, pour toutes les entreprises et tous les organismes publics, et elle est basée sur la technologie PKI. Pour répondre aux exigences de sécurité de BankID, DnB NOR a mis en œuvre la technologie brevetée DIGIPASS de OneSpan avec des mots de passe à usage unique.

6 minute read

BankID : une infrastructure nationale norvégienne d'identification électronique

BankID est une infrastructure d'identification électronique offrant une solution de sécurité Internet sûre et rentable pour l'identification et les signatures électroniques. Elle permet aux citoyens norvégiens de s'identifier et de signer numériquement des documents émanant d'autorités, d'entreprises et d'autres organisations sur Internet en utilisant le système d'identification et de signature électronique BankID. La solution est utilisée dans les applications bancaires sur Internet, le commerce électronique, l'administration en ligne et les services publics et privés. Les services de BankID sont basés sur des certificats qualifiés.

Les banques de la communauté financière norvégienne cherchaient de nouveaux moyens d'étendre leur rôle de partenaire commercial de confiance sur l'internet. Le défi consistait à concevoir une norme de sécurité réunissant plusieurs utilisateurs sur plusieurs plates-formes. L'infrastructure à clé publique a été considérée comme la meilleure option pour répondre aux exigences de confidentialité et de non-répudiation, permettant l'authentification pour sauvegarder l'intégrité de l'information.

En 2001, les banques ont mis en place un organe COI (BankID Common operational infrastructure) fourni par BBS (The Norwegian Banks' Payments and Clearing Centre) afin d'assurer une coopération efficace pour le développement et la maintenance d'une infrastructure PKI nationale. Elles ont conclu des accords mutuels concernant les normes et les niveaux de qualité et ont opté pour le système Bank ID parce qu'il s'agit d'une solution rentable où les coûts sont répartis sur un grand nombre de banques. Bien qu'elles collaborent au niveau de l'infrastructure, les banques sont en concurrence sur le marché avec BankID, à la fois sur le segment du marché des particuliers et sur celui des entreprises.

BankID a été mis en service en 2004 et les banques en ligne ont été les premiers utilisateurs à utiliser BankID pour l'identification et les signatures. À l'heure actuelle, 1,5 million d'utilisateurs ont souscrit à BankID auprès de leur banque en ligne. L'objectif final est d'atteindre tous les utilisateurs de services bancaires en ligne en Norvège, soit environ 2,5 millions d'utilisateurs.

DnB NOR souhaite fournir un BankID à tous ses utilisateurs en ligne d'ici à la fin 2009. Un autre objectif est d'augmenter de manière significative le nombre de commerçants, qui s'élève aujourd'hui à 260. En 2008, plus de 150 millions de transactions d'identification et de signature devraient être traitées par BankID.

BankID: A Norwegian national electronic ID infrastructure

Authentification forte à 2 facteurs permettant une conception innovante de l'infrastructure à clé publique (PKI)

BankID ne nécessite pas d'infrastructure de cartes à puce, de lecteurs de cartes à puce ou de logiciel propriétaire sur le PC de l'utilisateur final. La clé privée des clients de DnB NOR est stockée dans un coffre-fort électronique central et est protégée par leur DIGIPASS et leur mot de passe statique. Cette conception offre un niveau élevé de convivialité, réduit considérablement les coûts et maintient le niveau de sécurité requis. En 2006, le système BankID a remporté le prix d'excellence EEMA pour sa conception.

Les banques et les commerçants disposent d'un serveur BankID qui exécute toutes les fonctions cryptographiques. Les utilisateurs finaux communiquent avec le commerçant et l'infrastructure BankID par le biais d'un applet qui est téléchargé chaque fois que les utilisateurs finaux souhaitent effectuer un processus d'identification et/ou de signature.

Le client de la banque reçoit un certificat personnel, tandis que le commerçant ou l'administration publique reçoit un certificat de commerçant de sa banque. Le système d'identification bancaire valide tous les certificats émis par les banques des clients et des commerçants. Cela permet aux clients et aux commerçants de mener leurs activités en toute sécurité grâce à l'authentification et aux signatures. L'identité du client est garantie par la banque membre qui délivre le BankID.

Le système BankID fournit une authentification forte et des justificatifs numériques sécurisés pour les utilisateurs finaux afin de protéger leurs informations sensibles et confidentielles. Il offre également une plus grande sécurité car les identifiants des utilisateurs sont validés en temps réel, ce qui ne laisse pratiquement aucune chance aux fraudeurs d'intercepter des informations vitales.

Une solution simple, conviviale, efficace et économique

Les avantages de l'infrastructure nationale d'identification électronique sont évidents. Les clients peuvent signer pratiquement tous les types de contrats en ligne, mais le BankID n'est pas seulement utilisé pour commander des services et des produits. Il peut (et sera) utilisé pour les transactions boursières, les prêts et crédits et les services d'assurance. "La signature de contrats en ligne avec BankID permet de réduire considérablement les coûts et d'accroître la satisfaction des clients", déclare Geir Øiestad, responsable de l'Internet Banking à DnB Nor.

Nous avons reçu de nombreux commentaires positifs de la part de nos clients qui ont constaté que l'utilisation sûre et simple de BankID par les commerçants sur Internet ne nécessitait qu'un seul mot de passe et un seul DIGIPASS.

Choisir l'authentification forte OneSpan

DnB NOR utilisait différents mots de passe à usage unique pour ses clients particuliers. Afin de simplifier le processus de traitement et de réduire les coûts à long terme, la banque était à la recherche d'une méthode d'authentification unique qui répondrait à toutes les exigences du système BankID, tout en étant conviviale et peu coûteuse.

"Nous avons inventorié tous nos différents produits d'authentification et les avons évalués en termes de coût, de sécurité, de convivialité, d'administration et d'assistance", explique Geir Øiestad.

L'étude a révélé que DIGIPASS GO 3 a obtenu les meilleures notes. En fin de compte, la solution DIGIPASS GO 3 représentait la meilleure économie sur la base d'un cycle de vie de trois ans.

Le test utilisateur a montré que les clients étaient également ravis de GO3. La banque ne voulait pas imposer à ses clients une procédure de connexion longue et complexe, c'est pourquoi DIGIPASS GO 3 était la solution idéale. Le logiciel d'authentification DIGIPASS est intégré dans le DIGIPASS GO 3 portable. D'une simple pression sur un bouton, les clients peuvent générer un mot de passe dynamique unique leur permettant d'accéder aux applications en ligne de la banque. "Nous avons décidé d'utiliser DIGIPASS GO 3 pour tous nos clients particuliers et DIGIPASS 250 pour nos clients professionnels. Comme nous distribuons désormais une seule méthode d'authentification, notre administration et notre support ont également été simplifiés et nous avons pu offrir un service transparent", déclare Geir Øiestad. "L'expérience acquise jusqu'à présent nous apprend que les clients sont très satisfaits de l'appareil, qu'il est très convivial et mobile

Un petit inconvénient que DnB NOR a remarqué, c'est que certains clients tiennent leur DIGIPASS à l'envers. En raison des grandes quantités distribuées par DnB NOR, de la flexibilité et de la disponibilité du stock, la banque a choisi de travailler avec une version standardisée du DIGIPASS plutôt qu'avec un boîtier personnalisé. L'absence de texte ou de logo d'entreprise déroute parfois les clients quant à la manière de tenir l'appareil

La satisfaction des clients a augmenté, la gestion administrative et les coûts ont diminué et les services d'assistance de DnB NOR trouvent qu'il est plus facile de former leurs employés depuis qu'ils ont choisi une seule méthode d'authentification. Les réactions à DIGIPASS GO 3 sont positives et très peu d'appareils DIGIPASS ont connu des problèmes techniques.

Objectif

DnB NOR devait mettre en œuvre une solution de sécurité pour BankID qui répondrait à toutes les exigences de sécurité de BankID. Auparavant, l'entreprise travaillait avec différents types de systèmes et de dispositifs de sécurité pour ses clients détaillants. Certains clients disposaient même de plusieurs dispositifs différents.

Le défi

DnB NOR souhaitait mettre en œuvre une méthode d'authentification unique afin de simplifier la gestion, ce qui permettrait de satisfaire davantage les clients et de réduire les coûts à long terme. Un processus de connexion amélioré et plus clair réduirait également le nombre d'appels au centre d'appel de la banque.

La solution

DnB NOR a trouvé dans le DIGIPASS GO 3 de OneSpan la solution de sécurité qui répondait à ses besoins et à ceux de ses clients. DIGIPASS GO 3 est un dispositif d'authentification simple et convivial, offrant un niveau de sécurité élevé conforme aux normes de sécurité de BankID.

DnB NOR case study