Une authentification forte

Qu'est-ce que l'authentification forte ?

L'authentification forte utilise l'authentification multifactorielle (MFA) pour authentifier l'identité d'un client lors de la connexion et de l'autorisation de la transaction. Elle utilise également l'authentification basée sur le risque (RBA) pour aider à prévenir la fraude en déterminant le niveau de risque pour chaque transaction bancaire en ligne ou mobile et le niveau d'authentification requis pour chaque transaction.

Comment fonctionne l'authentification forte ?

Premièrement, l'authentification multifactorielle (MFA) utilise trois facteurs communs :

• Quelque chose que vous connaissez : L'authentification la plus courante est "quelque chose que vous connaissez". Il peut s'agir d'un mot de passe ou d'un simple numéro d'identification personnel (PIN). Cependant, c'est aussi le plus facile à battre pour les fraudeurs.
• Quelque chose que vous avez : Le facteur "quelque chose que vous avez" fait référence à des éléments tels qu'un appareil mobile ou des jetons d'authentification matériels, qui génèrent un code de passe à usage unique (OTP). L'authentification matérielle permet une authentification à deux facteurs (2FA). Les options basées sur le téléphone mobile, telles que la notification push et le code de passe à usage unique (OTP), permettent également d'obtenir un accès sécurisé.
• Quelque chose que vous êtes : la biométrie est le facteur "quelque chose que vous êtes". Il peut s'agir d'empreintes digitales ou de scans faciaux et elle fait partie de l'évolution vers des connexions sans mot de passe, notamment dans le domaine de la banque mobile. Il existe également un certain nombre d'ordinateurs portables équipés de capteurs d'empreintes digitales, et ceux-ci sont également disponibles sur des clés USB.

Pour réaliser une authentification multifactorielle, il faut utiliser au moins deux technologies différentes appartenant à au moins deux groupes technologiques différents pour le processus d'authentification. Un client utilisant un code PIN avec une reconnaissance faciale comme second facteur utiliserait la MFA. Cependant, un client utilisant un code PIN couplé à un mot de passe utiliserait une authentification à deux facteurs (2FA) et non une authentification multifactorielle.

Les clients pressés par le temps veulent de plus en plus une authentification sans friction. En d'autres termes, ils veulent être vérifiés sans qu'il soit nécessaire de procéder à la vérification proprement dite. La mise en œuvre de l'AMF permet de prévenir la fraude, car les mots de passe et les noms d'utilisateur sont considérés comme une sécurité faible. Les mots de passe et les noms d'utilisateur sont faciles à voler et à exploiter et ils sont en vente sur le Dark Web, attendant d'être achetés par des criminels.

Deuxièmement, l'authentification basée sur le risque (RBA) fait partie de l'authentification forte :

L'authentification basée sur le risque permet de prévenir la prise de contrôle de comptes et d'autres attaques frauduleuses grâce à l'apprentissage automatique et à un moteur de risque. Le RBA analyse des milliers de points de données, tels que l'appareil du client, son adresse IP, sa localisation, son réseau, l'heure de la journée et la transaction elle-même, pour produire un score de risque en temps réel. En fonction du score de risque, l'authentification basée sur le risque peut déclencher un défi d'authentification immédiat, si nécessaire. Un score de risque peut également inclure l'historique des incidents de sécurité de l'utilisateur, le nombre de connexions et la sensibilité des données auxquelles il a accès. La raison pour laquelle un score de risque est basé sur une combinaison de nombreux points de données contextuels et autres est qu'un point de données seul peut être et sera battu par un attaquant. L'authentification basée sur le risque est également connue sous le nom d'authentification adaptative ou d'authentification par étapes et fait appel à l'authentification multifactorielle si nécessaire.

Voici un exemple d'authentification basée sur le risque qui détermine qu'une transaction présente un risque faible : un client légitime se connecte à son portail bancaire avec un appareil connu qui a été enregistré auprès de la banque et qui utilise le même navigateur que celui qu'il utilise habituellement. Le client vérifie son solde ou effectue un petit paiement. Dans ce cas, le système détermine que le risque de fraude est si faible que le client n'a pas besoin de se réauthentifier après s'être connecté.

Toutefois, lorsque le comportement du client s'écarte de son activité normale, le système basé sur le risque ajoutera davantage de mécanismes d'authentification, ce qui se traduira par un plus grand nombre d'obstacles à la sécurité pour les transactions plus risquées, comme un virement bancaire. Dans ce cas, le client serait invité à s'authentifier sous une forme ou une autre, par exemple avec une empreinte digitale accompagnée d'un code de passe à usage unique, ce qui constituerait une authentification à facteurs multiples. En cas de succès, ils poursuivraient leurs activités. Dans le cas contraire, la transaction serait annulée.

Comme nous l'avons indiqué, les mots de passe et les noms d'utilisateur statiques n'offrent plus une sécurité suffisante compte tenu de l'évolution constante des menaces et des violations régulières des données. L'authentification fondée sur le risque, qui utilise l'authentification multifactorielle, permet aux institutions financières de prendre en charge des éléments d'authentification tels que les applications mobiles et les jetons matériels, qui sont des éléments que vous possédez. Il prend également en charge les éléments biométriques, tels que les empreintes digitales et les scanners faciaux, qui représentent quelque chose que vous êtes, ainsi que les éléments que vous connaissez, tels que le code PIN.

Différents types de technologies d'authentification multifactorielle

• Jetons matériels : petits dispositifs matériels faciles à utiliser, tels que des porte-clés ou des cartes à puce, qu'un propriétaire porte sur lui pour autoriser l'accès à un service réseau. Ils prennent en charge l'authentification forte avec des mots de passe à usage unique (OTP). Les jetons matériels fournissent le facteur de possession pour l'authentification multifactorielle. Ils sont difficiles à pénétrer physiquement et à manipuler, ils contribuent à la protection des données car les données des clients ne sont pas stockées et ils sont moins vulnérables aux attaques.
• Jetons logiciels : les jetons logiciels ou basés sur une application génèrent un code PIN de connexion à usage unique. Ces jetons sont souvent utilisés pour l'authentification multifactorielle dans laquelle le smartphone fournit le facteur "possession", c'est-à-dire quelque chose que vous avez. Les jetons logiciels permettent de ne pas avoir à se souvenir des mots de passe, de suivre les innovations technologiques et de réduire le temps d'intégration de plusieurs jours à quelques minutes pour l'utilisateur final.
• Notifications push : les notifications push délivrent le code d'authentification ou le mot de passe à usage unique par le biais d'une notification push sur l'appareil mobile de la personne. Au lieu de recevoir un message SMS, la notification push apparaît sur l'écran de verrouillage de l'appareil de la personne concernée.
• Cryptogramme visuel : Un cryptogramme visuel tel que Cronto® est une solution d'authentification multi-facteur qui utilise un défi visuel unique contenu dans un cryptogramme graphique, qui consiste en une matrice de points colorés. Le client utilise la caméra de son appareil mobile pour scanner le cryptogramme et décrypter les détails de la transaction qu'il contient.
• Authentification mobile : l'authentification mobile permet de vérifier un client via son téléphone ou l'appareil lui-même, ce qui permet au client de se connecter à des sites sécurisés et d'accéder à des ressources de n'importe où avec une sécurité renforcée.
• Authentification biométrique : l'authentification biométrique comprend l'utilisation d'un scan d'empreintes digitales ou d'une reconnaissance faciale dans le processus d'authentification pour authentifier avec précision et en toute sécurité les clients habituellement sur leurs appareils mobiles, ainsi que l'authentification comportementale qui fournit une sécurité en coulisse qui les authentifie en permanence par les façons uniques dont ils interagissent avec leurs appareils. Cela inclut la cadence de leurs frappes au clavier, leurs habitudes de balayage, etc.

Comment l'authentification forte aide à prévenir la fraude

Les méthodes d'authentification forte peuvent contribuer à réduire les attaques frauduleuses grâce à l'authentification multifactorielle et à l'authentification fondée sur le risque.

L'authentification multifactorielle rend plus difficile pour les fraudeurs de se connecter au compte d'un client grâce à trois facteurs de validation : quelque chose que vous savez, quelque chose que vous avez et quelque chose que vous êtes. L'AMF ajoute une sécurité supplémentaire lorsque l'appareil du client n'est pas reconnu, par exemple, ou si le client essaie d'effectuer une transaction depuis un endroit inhabituel. Il permet également de prévenir certaines des cyberattaques les plus courantes, notamment le hameçonnage, le bourrage de crédits, les attaques de type "man-in-the-middle" et les enregistreurs de frappe. Une attaque par hameçonnage peut aboutir au vol des informations d'identification d'une personne, mais elle ne fournira pas au pirate une empreinte digitale, par exemple. L'utilisation de l'authentification multifactorielle n'empêche pas tous les types d'attaques, mais elle ajoute des couches supplémentaires d'authentification forte qui peuvent rendre les cyberattaques plus difficiles. Si un facteur est compromis ou brisé, l'attaquant doit encore franchir au moins un autre obstacle avant de pouvoir accéder au compte d'un client.

L'authentification basée sur le risque permet également de prévenir la fraude, car le système de prévention de la fraude décide en temps réel du niveau précis de sécurité d'authentification nécessaire pour chaque transaction client afin d'empêcher tout accès non autorisé. Il est difficile pour un fraudeur d'usurper l'identité d'un client légitime car le RBA est basé sur la vue contextuelle du comportement de la personne, des données de transaction et des données de l'appareil, par exemple.

Au fil du temps, le score de risque devient un indicateur plus fiable de la compromission d'un compte et de l'apparition de nouveaux schémas de fraude. En tant qu'outil d'évaluation des risques, le RBA prend également des décisions instantanées sur les méthodes d'authentification à utiliser, et dans quelles combinaisons, pour aider à prévenir la fraude. Voici un exemple d'authentification basée sur le risque en action : si une personne tente de transférer 90 % des fonds disponibles sur un compte bancaire à l'aide d'un appareil inconnu et non enregistré auprès de la banque, et à un moment de la journée qui ne correspond pas aux habitudes du client, il lui sera demandé de vérifier davantage son identité au moyen d'une authentification forte, comme un code d'accès à usage unique accompagné d'un scan d'empreinte digitale ou d'une biométrie faciale. En outre, l'utilisation de la RBA permet d'identifier les tentatives de connexion risquées et de refuser l'accès ou les transactions, si nécessaire.

L'authentification forte permet aux institutions financières de ne plus dépendre des mots de passe, qui sont facilement piratés et constituent une cause majeure de failles de sécurité et de fraude. Une partie du problème avec les mots de passe est que les méthodes de fraude modernes sont si sophistiquées qu'un mot de passe n'a pratiquement aucun espoir de les empêcher.

Avantages de l'authentification forte ?

L'authentification forte offre une sécurité accrue par rapport à l'authentification classique par nom d'utilisateur et mot de passe à facteur unique. À mesure que les banques ajoutent de nouveaux services en ligne et de nouvelles façons de servir leurs clients de plus en plus mobiles, l'authentification forte peut contribuer à relever les défis de la sécurité et à offrir aux clients une expérience aussi peu intrusive que possible.

Il s'agit également d'une condition gagnante qui peut contribuer à la fidélisation et, en fin de compte, à la croissance, car il s'agit d'une expérience fluide et sûre pour les clients. Les clients ont peu de patience pour un trop grand nombre de couches d'authentification et ils ne veulent tout simplement pas passer beaucoup de temps à accéder à leurs comptes. Dans le cadre de la transformation numérique d'une banque, l'authentification forte supprime également les étapes de vérification d'identité inutiles. Il applique le montant précis de sécurité au bon moment pour chaque transaction en fonction du niveau de risque, offrant ainsi une expérience fluide si une sécurité supplémentaire est nécessaire. L'expérience client a un impact direct sur la fidélisation, et des études ont montré que les clients qui peuvent facilement interagir avec leur institution financière en tout lieu et à tout moment sont moins susceptibles de changer d'institution financière. Comme indiqué, l'authentification forte aide également les institutions financières à réduire les pertes dues à la fraude.

Conformité

L'authentification forte du client (SCA) est une nouvelle exigence de la directive révisée sur les services de paiement (PSD2), qui ajoute des couches supplémentaires de sécurité aux paiements électroniques. Par exemple, l'AMF est nécessaire pour satisfaire à son exigence d'authentification forte. La DSP2 impose également l'utilisation de l'analyse du risque de transaction pour prévenir les paiements frauduleux.

Ce que disent les analystes

La société d'études de marché Forrester note que l'authentification basée sur le risque, qui fait partie de l'authentification forte, est plus pertinente que jamais pour les institutions financières car les transactions en ligne et mobiles sont de plus en plus populaires. Selon Forrester, la capacité à réduire les désagréments et les tracas pour les clients sans sacrifier la sécurité est un facteur de différenciation concurrentiel. La société d'études de marché indique également que pour générer le score de risque le plus précis possible, un système anti-fraude doit être en mesure d'analyser autant de données que possible sur les utilisateurs, les appareils et les transactions sur l'ensemble des canaux numériques.