Les règles du jeu ont changé. La banque de détail doit s’adapter aux nouveaux comportements et aux nouvelles exigences des clients : mobiles, volatils, impatients, promoteurs, détracteurs, leurs voix comptent dorénavant et portent davantage. Depuis le smartphone, les canaux d’interactions évoluent et se multiplient de manière exponentielle et sans réelle phase de répit, avec maintenant l’avènement des objets connectés.
Cette nouvelle abondance de points d’accès multiformes bouscule l’approche classique de la cyber-sécurité, et, depuis quelques années déjà, tout nouvel usage dématérialisé se voit associé à un risque potentiel de fraude. Fraude qui prend la forme de vol de données ou d’usurpation d’identité à but lucratif, voire de surveillance illégitime, et qui rend donc les opérations de paiement, notamment, et l’octroi de crédit, extrêmement sensibles.
La sécurité comme pilier de la relation client
En tant que tiers de confiance, la banque se doit d’assurer la sécurité de manière inhérente et transparente. Il s’agit bien d’un prérequis dont le client ne peut imaginer l’inexistence, ni l’infaillibilité.
Il n’est pas uniquement question de technique ou de technologie, il est aussi question de confiance dans la relation client : se sentir en sécurité est un des principaux instincts basiques de l’être humain. Ces besoins humains peuvent être transposés aux besoins d'une relation bancaire moderne : de la capacité initiale à réaliser des opérations et obtenir un crédit jusqu'au besoin d'estime, au cœur des enjeux de fidélisation. L'accomplissement final prend forme aujourd'hui dans l'aspect social et la possibilité de jouer un rôle dans la réputation d'une enseigne.
Dans la pyramide de Maslow (voir Schéma), juste au-dessus des besoins physiologiques, c’est bien la sécurité qui soutient le reste. Suite aux dernières affaires de hacking au sein de multinationales réputées, l’appartenance à un groupe, à une masse d’utilisateurs, n’est aujourd’hui plus suffisante pour se sentir protégé. Et dans le cas des fraudes à la carte bleue, tous les acteurs bancaires sont égaux. Comment se différencier?
Sécuriser le parcours client sans le cannibaliser
Pour autant, dresser des barrières sécuritaires ne doit pas bloquer le passage du client lui-même, et l’excès de points de contrôle peut conduire à l’inquiétude.
Au cœur des stratégies digitales actuelles, se trouve la gestion de l’expérience client. Proposer la meilleure expérience, le « parcours client » le plus limpide, le plus convivial et le plus efficace possible, au design « responsive », tels sont les objectifs des acteurs bancaires face aux nouveaux comportements et usages souhaités, imposés même, par les clients d’aujourd’hui et les « digital natives ». En réalité, sécurité et expérience se doivent d’être traitées ensemble, car il existe une forte connivence trop souvent sous-estimée : le parcours imaginé peut être à l’origine de nouvelles failles, et, a contrario, les éléments de sécurité peuvent troubler la cohérence de l’expérience, voire dans le pire des cas contraindre le client à mettre fin prématurément au processus bancaire en cours. La question est de savoir qui est au service de l’autre dans la stratégie, et comment répartir de manière cohérente les investissements souvent conséquents.
L’opération d’un premier virement entre deux comptes de deux banques françaises, par exemple, à l’apparence simple et évidente, peut se traduire concrètement par une expérience à distance pour le moins surréaliste : première authentification, deuxième authentification renforcée via SMS, recherche et saisie de l’IBAN, voire du BIC – si le client comprend ces acronymes et dispose de ceux du destinataire –, attente d'au moins 24 heures pour l’ajout du destinataire, authentification, saisie du virement et confirmation. Une fois cela terminé, le sentiment de sécurité est indéniable, sans compter la protection des flux de paiements associés, transparente pour le client. Pour autant, il n’y a pas d’accusé de bonne réception du virement sur le compte destinataire, et la position de l’émetteur n’est pas toujours à jour en temps réel. Sécurité 1 – Expérience 0.
En parallèle, un virement PayPal s’exécute instantanément et plus facilement avec simplement l'adresse mail du destinataire. Une seule phrase qui résume sans doute le succès grandissant de ces solutions alternatives.
Simplifier les étapes de protection de l’identité
L’enjeu est d’assurer une sécurité optimale tout en limitant son impact sur le parcours bancaire du client. Dans le processus d’authentification renforcée, avant toute opération bancaire sensible, le mode opératoire dorénavant classique est celui du mot de passe à usage unique (One-Time Password – OTP- sur un second canal de communication, en l’occurrence celui du réseau GSM, via un challenge SMS. Ce fonctionnement se généralise également lors des paiements sur Internet dans le cadre du contrôle 3-D Secure. Pour limiter le risque de fraude, deux concepts interviennent dans le parcours : vérifier « ce que je sais », mon login/mot de passe bancaire, et utiliser « ce que je possède », mon smartphone. L’OTP SMS est alors le moyen de concrétiser ce lien.
D’ores et déjà, cette logique d’authentification perd une partie de son sens « bi-canal » lorsque l’opération est réalisée depuis le smartphone qui reçoit lui-même le SMS. Quant à l’expérience « Mobile Banking », tendance forte de l’usage distant, l’intrusion d’une réception d’un tel message dans le processus ergonomique est totalement inadaptée.
Cette méthode reste également sensible aux failles de types « Man in the Middle » et « Man in the Browser » : le fraudeur s’immisce dans l’échange entre la banque et l’utilisateur, soit en usurpant l’identité de la banque (fraude au président), ou en dérobant le support de réception de l’OTP SMS (vol du mobile ou détournement de la carte SIM), soit en simulant une page de la banque pour récupérer les login/mot de passe ou OTP SMS (via du phishing ou des malwares).
La tendance « hors-bande »
Avec la promesse d’améliorer l’expérience tout en assurant la sécurité, de nouveaux systèmes tels que le SEA d’Atos Worldline – Secure Enhanced Authentication – celui de Morpho/Dictao, ou Gemalto par exemple, n’utilisent pas le SMS pour s’authentifier, par définition associé à une ligne téléphonique, mais proposent une authentification sur le principe de l’Out-of-Band (OOB). Via des interfaces utilisateurs dédiées, intégrées à l’application bancaire, et un enrôlement préalable d’un ou plusieurs équipements du client, le contrôle renforcé est réalisé de manière transparente sur le device lors de l’opération. Ce système est notamment plébiscité au sein du groupe Société Générale.
Techniquement, en parallèle du flux Internet sur lequel est réalisée l’opération, l’authentification se fait sur un flux complémentaire sécurisé, potentiellement sur le même appareil, de manière totalement transparente pour l’utilisateur. L’usage 100 % mobile est de ce fait largement simplifié et l’acte d’authentification complètement intégré dans le parcours client. Et pour le tiers de Français internautes qui n’utilise pas de smartphone (donnée du baromètre Mobile Marketing Association France 2015), un logiciel peut être installé sur PC/MAC pour gérer de la même manière ce deuxième flux en tâche de fond.
Reste à bien identifier les distinctions d’usage entre les différents marchés ciblés, et à clarifier l’expérience d’enrôlement/désenrôlement, souvent sous-estimées face aux habitudes et équipements des utilisateurs d’un foyer de particuliers : renouvellement récurrent des smartphones, multiplication des appareils de types tablettes ou phablets, et voire même pas de smartphone du tout.
De plus, la démarche d’enrôlement doit elle-même être bien sécurisée : pas la peine de construire un bunker avec une fenêtre ouverte. La complexité et les contraintes sécuritaires, pour le client, sont alors déportées lors de cette étape préalable qui, une fois réalisée, permet alors de favoriser l’expérience lors des opérations bancaires récurrentes.
Au final pourtant, pour le client, ce déphasage d’expérience peut paraître déroutant. D’un côté, sur son ordinateur, il est grandement sollicité pour se protéger lors d’un virement interbancaire ; de l’autre, il réserve son chauffeur Uber avec son mobile et le paye de manière transparente, « sans couture ».
Les banques, tiers de confiance
Pour les banques, il s’agit d’amener le client vers ces impacts sécuritaires avec des arguments forts sur la proposition de valeur bancaire associée tout en conservant sa position de tiers de confiance : amélioration de la fluidité de l’expérience, simplification du parcours, possibilité à terme de proposer davantage d’opérations engageantes sur les canaux digitaux, développement des usages bancaires à distance. À ce titre, l’accès à de nouveaux services bancaires rendu possible grâce à la sécurité peut conduire la banque à gérer une nouvelle tarification adaptée, en fonction de palier de délégation par exemple.
La biométrie comme réponse optimale…
Les deux promesses évoquées et soutenues par la biométrie sont les suivantes : un système infaillible et d’une extrême facilité. En effet, là où l’authentification forte cherche aujourd’hui à utiliser un canal supplémentaire d’identification appartenant à l’individu (« something you own »), la biométrie offre le lien ultime et théoriquement infalsifiable avec l’individu lui-même (« you »), qui est par définition le meilleur garant de votre identité.
Diverses expérimentations sont en cours au sein de diverses banques françaises ou étrangères :
- l’empreinte vocale, avec le système Talk To Pay de La Banque Postale. Une empreinte biométrique que testent également LCL, Société Générale et BNP Paribas avec Nuance. L’usage reste à définir et semble intéressant pour les contacts téléphoniques aux Centres de relation client, mais force est de constater que ça ne résout pas la contrainte infligée par l’authentification forte sur l’expérience d’un canal 100% Digital ;
- la biométrie du réseau veineux du doigt, réputée comme la plus fiable, est à l’honneur dans le processus de paiement par carte proposé par la start-up lilloise Natural Security. BNP Paribas, Crédit Agricole, Crédit Mutuel Arkéa et Banque Accord l’expérimentent. Outre-Manche, pour authentifier l’accès à l’espace bancaire des clients Entreprises, le Barclays Biometric Reader est un lecteur du système veineux connecté à l’ordinateur. Cependant, au-delà de l’amélioration de l’expérience, d’aucuns penseront qu’un tel dispositif va directement à l’encontre du nouvel esprit mobile, voire même nomade, de la banque de détail.
…mais soulevant de fortes inquiétudes
En réalité, quelle que soit la partie biologique mesurée, il en reste une signature numérique cryptée quelque part, à l’instar de nos mots de passe actuels. La solution de Natural Security propose de ne conserver cette signature que sur sa propre carte, sans aucune autre forme de stockage centralisé sur un serveur quelconque. Idem pour le dispositif de Barclays. La CNIL ouvre la porte en France, sous certaines conditions, mais déjà des questions se posent, sans même évoquer les aspects d’éthique et de liberté associés, dont les dérives sont bien connues des scénarios catastrophes des films d’anticipation :
- En cas de fraude, existera-t-il une capacité de recours, sommes-nous inexorablement coupables a priori par le principe de non-répudiation ? Dans certains cas, il est déjà difficile de prouver sa bonne foi en cas d’utilisation frauduleuse de sa carte bleue, et c’est pire lors de créances issues d’usurpation d’identité. Comment alors imaginer un tel recours dans le cas d’une signature biologique personnelle volée ?
- Une fois cette signature biométrique compromise, l’individu est-il d’office mis à l’écart de l’usage associé ? Aujourd’hui, même si mots de passe, numéros de carte ou téléphones sont volés, quels qu’en soient les dégâts personnels occasionnés, il est possible de les changer, les modifier, faire opposition et repartir à zéro. Malgré les progrès de la médecine, il ne sera pas possible de modifier son système veineux !
- Une standardisation et une normalisation des signatures biométriques ne risquent-elles pas de multiplier le risque de compromission généralisée de tous nos usages digitaux, alors qu’il est souvent rappelé la nécessité de multiplier les login et password distincts ?
- Enfin, la biométrie exclut-elle par définition le handicap, dans une société qui se veut socialement responsable ?
Pas de solution parfaite
Pour sûr, les pirates et usurpateurs d’identité rivaliseront d’ingéniosité pour « phisher » les parties de notre corps. Malgré l’apparente réponse ultime au principe d’authentification, il reste donc encore beaucoup de chemin à parcourir par la biométrie, afin de répondre aux exigences de sécurité et de droits à l’individu. Exigences qui vont bien au-delà du simple processus de contrôle de l’identité, car une faille peut potentiellement impacter toute une vie. En l’état des expérimentations, la biométrie semble ne peut pas pouvoir s’appliquer seule, sans être associée à un mot de passe, et le risque de vol ad vitam aeternam la limite actuellement à un moyen d’accès à l’identité peu engageant pour des domaines tels que le commerce ou la publicité. En définitive un moyen d’identification, mais pas un moyen d’authentification.
Malheureusement, la solution parfaite, mêlant sécurité, simplicité, rapidité et éthique, n’existe pas encore. Les acteurs bancaires ont de vrais challenges à relever face à ces enjeux, et des choix coûteux à prendre en pariant sur les usages et canaux futurs, tout en expliquant aux clients pourquoi de tels changements seront bénéfiques, alors qu’à première vue, ils sont déconnectés de toute valeur bancaire. Tout ceci dans un contexte qui promet d'être ultraconcurrentiel avec de nouveaux acteurs des paiements tels qu’Apple et Google…
