Qu'est-ce que l'authentification basée sur les risques?
L'authentification basée sur les risques (RBA) aide à prévenir la fraude en déterminant le niveau de risque pour chaque transaction financière et le niveau d'authentification client requis pour chaque transaction. RBA aide à prévenir la fraude par prise de contrôle de compte et d'autres types d'attaques de fraude en ligne et sur mobile en faisant correspondre l'authentification au niveau de risque encouru. Les technologies traditionnelles de gestion des identités et des accès ne sont plus suffisantes compte tenu de la menace du paysage en constante évolution et des violations de données régulières. L'authentification basée sur les risques est également connue sous le nom d'authentification adaptative ou d'authentification renforcée.
Dans le passé, de nombreuses organisations s'appuyaient sur un type d'authentification pour tous les clients et transactions: les mots de passe et les noms d'utilisateur statiques. C'est ce qu'on appelle l'authentification binaire. Les mots de passe et les noms d'utilisateur sont considérés comme une sécurité faible car ils sont si faciles à voler et à exploiter pour les fraudeurs. D'autre part, l'authentification basée sur les risques est une forme d'authentification forte car elle donne un contexte à l'utilisateur et à sa transaction pour déterminer le niveau de risque et la vulnérabilité de la fraude. En cas de transaction à haut risque, l'utilisateur est invité à effectuer une authentification supplémentaire pour confirmer son identité.
Les 3 facteurs d'authentification
Il existe trois facteurs courants utilisés pour l'authentification:
- Quelque chose que tu sais
- Quelque chose que vous avez
- Quelque chose que vous êtes
L'authentification la plus courante est quelque chose que vous connaissez et peut être un mot de passe ou un simple numéro d'identification personnel (PIN). Cependant, c'est aussi le plus facile à battre pour les fraudeurs.
Le facteur que vous avez fait référence à des éléments tels qu'un appareil mobile ou des jetons d'authentification matérielle, qui génèrent un code d'accès à usage unique et à usage unique. L'authentification matérielle fournit une authentification à deux facteurs (2FA). Les options basées sur les smartphones, telles qu'une notification push et un mot de passe à usage unique (OTP), fournissent également une vérification multifactorielle.
La biométrie est le facteur «quelque chose que vous êtes» et peut être des empreintes digitales, des scans faciaux ou des analyses vocales et fait partie d'un mouvement vers des connexions sans mot de passe. Il existe un certain nombre d'ordinateurs portables et de téléphones dotés de capteurs d'empreintes digitales, et ils sont également disponibles sur des clés USB.
Les trois facteurs d'authentification sont souvent combinés pour offrir une sécurité renforcée afin de déjouer les fraudeurs. La combinaison d'une analyse d'empreintes digitales avec un mot de passe à usage unique renforce la sécurité et constitue un exemple d'authentification multifacteur (MFA).
White Paper
Authentification adaptative | Croître grâce à la sécurité intelligente
Téléchargez ce « White Paper » (version anglaise) pour vous aider à améliorer l’expérience client, diminuer la fraude et atteindre vos objectifs de croissance.
Consulter le livre blancL'importance de l'authentification basée sur les risques
L'authentification basée sur les risques peut aider à empêcher l'accès non autorisé au compte et le vol de fonds ou de données personnelles identifiables. C'est un élément clé pour améliorer l'expérience et la rétention des utilisateurs finaux, car il rend l'expérience de la banque numérique plus facile et plus sûre pour les clients légitimes - et plus difficile pour les fraudeurs. L'accès non autorisé aux données des clients constitue une menace pour la marque, la réputation et la position concurrentielle d'une institution financière.
Comment l'authentification basée sur les risques réduit les frictions pour les clients
L'authentification adaptative réduit les frictions pour les clients tout en aidant à prévenir la prise de contrôle de compte et d'autres types d'attaques frauduleuses. Il exploite les mesures de sécurité qui se produisent en arrière-plan, en temps réel, pendant que le client vaque à ses affaires. RBA applique le niveau précis de sécurité pour chaque interaction client unique et évite les étapes de sécurité inutiles pour les transactions à faible risque, ce qui peut ajouter des frictions pour l'utilisateur. Un bon exemple est un client légitime se connectant au portail bancaire avec un appareil connu qui a été enregistré auprès de la banque, en utilisant le même navigateur que d'habitude. Ils font une action à faible risque, comme vérifier leur solde ou effectuer un petit paiement. Dans ce cas, le système détermine que le risque de fraude est si faible qu'ils n'ont pas besoin de se réauthentifier après s'être connectés. Ce n'est que lorsque le comportement de l'utilisateur s'écarte de l'activité normale que des défis d'authentification supplémentaires sont ajoutés, ce qui entraîne des obstacles de sécurité accrus pour les transactions plus risquées telles qu'un virement bancaire. Le client serait invité à s'authentifier sous une forme ou une autre et, en cas de succès, poursuivrait ses activités.
Comment l'authentification basée sur les risques peut stimuler la croissance et la fidélité
L'authentification basée sur les risques est essentielle pour débloquer la croissance et la fidélité des clients pour les banques, car elle réduit considérablement les frictions pour offrir une meilleure expérience client. Dans le cadre de la transformation numérique d'une banque, il réduit les étapes de vérification d'identité inutiles et applique le montant précis de la sécurité au bon moment pour chaque transaction en fonction du niveau de risque. L'expérience utilisateur a un impact direct sur la fidélisation des clients. Des études ont montré que les clients qui ont la possibilité de communiquer facilement avec leur institution financière n'importe où et à tout moment sont moins susceptibles de changer. Dans le même temps, l'utilisation de l'authentification basée sur les risques peut aider les banques et autres institutions financières à réduire les pertes dues à la fraude.
Pourquoi l'authentification basée sur les risques est un outil de sécurité essentiel
L'authentification basée sur les risques est un outil de sécurité essentiel car elle fonctionne en temps réel pour aider à prévenir la cyberfraude, sans déranger les clients légitimes.
Alors que le système de prévention de la fraude génère le score de risque de transaction, l'authentification basée sur les risques offre la possibilité d'ajuster les méthodes d'authentification à la volée, en fonction du niveau de risque. En tant qu'outil d'évaluation des risques, RBA prend également des décisions instantanées sur les méthodes d'authentification à utiliser et dans quelles combinaisons.
Comme mentionné ci-dessus, les institutions financières se sont souvent appuyées sur une authentification faible, comme un mot de passe ou un code à usage unique envoyé par SMS. Cependant, les progrès en matière de fraude, de malware et de stratégies d'attaque nécessitent une sécurité plus vigilante. En conséquence, les banques se tournent vers l'authentification basée sur les risques où un client peut être invité à effectuer un défi d'authentification, en fonction du niveau de risque de ce qu'ils essaient de faire. Par exemple, si quelqu'un tente de transférer 90% des fonds disponibles sur un compte bancaire à l'aide d'un appareil inconnu du système et à une heure de la journée qui ne correspond pas aux modèles historiques du client, il lui sera demandé de vérifier davantage leur identité avec une authentification supplémentaire, comme un code d'accès à usage unique accompagné d'une analyse d'empreintes digitales ou d'une biométrie faciale. L'utilisation de RBA peut identifier les tentatives de connexion à risque et refuser complètement l'accès ou les transactions, si nécessaire.
Comment les scores de risque sont déterminés dans RBA
Les scores de risque sont essentiels à l'authentification basée sur les risques. Un score de risque est créé à partir d'un certain nombre de facteurs liés à une tentative d'accès ou à une tentative de réalisation d'une transaction.
Par exemple, RBA analyse des centaines, voire des milliers de points de données, tels que l'appareil du client, l'adresse IP, la géolocalisation, le réseau, l'heure de la journée et la transaction elle-même. Ces données sont utilisées pour produire un score de transaction de risque en temps réel. En fonction du score de risque, RBA peut déclencher un défi d'authentification immédiat, si nécessaire. Un score de risque peut également inclure l'historique des incidents de sécurité de l'utilisateur, le nombre de connexions et la sensibilité des données auxquelles accéder. La raison pour laquelle un score de risque est basé sur une combinaison de nombreux points de données contextuels et autres est qu'un seul point de données peut et sera battu par un attaquant. Cependant, de nombreuses demandes d'accès tombent en dessous des seuils de risque définis et ne nécessitent pas d'authentification supplémentaire.
Le rôle de la biométrie dans RBA
L'authentification biométrique est de plus en plus utilisée dans les applications bancaires mobiles pour la sécurité et pour offrir une expérience utilisateur pratique. Les clients numériques tiennent pour acquis que leurs transactions seront fluides et sécurisées. De nombreux mots de passe et noms d'utilisateur volés sont vendus en ligne et de nombreuses personnes réutilisent les mots de passe, ce qui en fait une option d'authentification moins sécurisée. Cependant, la soumission d'un mot de passe avec une empreinte digitale est beaucoup plus sûre que les techniques d'authentification. L'utilisation de la biométrie a été popularisée par le TouchID d'Apple et la prise en charge de la biométrie va au-delà des scans d'empreintes digitales vers des scans faciaux et des scans de l'iris ou de la rétine. Les utilisateurs ont la possibilité de choisir la méthode d'authentification qui leur convient le mieux dans une situation particulière ou la méthode qui leur permet de se sentir le plus en sécurité.
Pour aider à authentifier une clientèle de plus en plus mobile, la biométrie comportementale peut être appliquée pour savoir comment un client tape, tient le téléphone ou glisse, quelle main est utilisée et le rythme des pressions sur les touches. La biométrie comportementale fournit un signal continu sur l'authenticité de l'utilisateur et, par conséquent, il peut être difficile pour les fraudeurs de les vaincre en ce moment.
Recommandations des analystes pour une solution d'authentification basée sur les risques
La société d'études de marché Forrester note que l'authentification basée sur les risques est plus pertinente que jamais pour les institutions financières, car les transactions en ligne et mobiles sont de plus en plus populaires. Forrester affirme que la capacité de réduire les inconvénients et les tracas pour les clients sans sacrifier la sécurité est un différenciateur concurrentiel. La société d'études de marché affirme également que pour générer le score de risque le plus précis possible, un système anti-fraude doit être en mesure d'analyser autant de données utilisateur, appareil et transaction que possible sur les canaux numériques.
Lors de l'évaluation des solutions RBA, Forrester suggère également de rechercher des fournisseurs qui fournissent des modèles de règles de fraude qui augmenteront la précision de vos scores de risque. Un système antifraude devrait assurer la transparence quant à la manière et aux raisons pour lesquelles ces règles de fraude sont déclenchées sur les canaux numériques. En outre, il est nécessaire que le système montre comment l'apprentissage automatique complètera les règles de fraude pour repérer les modèles de comportement qui s'écartent du comportement normal d'un client et peuvent indiquer des méthodes de fraude émergentes.
Assurez-vous également que la solution ne se limite pas à l'analyse des risques de fraude. Assurez-vous qu'il peut non seulement collecter et analyser des données, mais demander à l'utilisateur de relever un défi d'authentification plus élevé, si nécessaire.