La fraude ne cesse de sévir. Les chiffres de la troisième vague de l’enquête « Perceptions et comportement par rapport à la cybersécurité en France, réalisé par Harris Interactive pour la Fédération bancaire française (actionnaire de La Revue Banque) en témoignent. En octobre 2024, 57 % des français disent avoir été victimes d’une tentative d’escroquerie aux données bancaires. Ils étaient 52 % l’année passée. Cette année, 13 % de nos compatriotes avouent même avoir été réellement arnaqués. Ils étaient 8 % en 2023.
L’observatoire de la sécurité des moyens de paiement de la Banque de France, lui, se veut rassurant, notant dans son rapport 2023, des « taux de fraude historiquement bas sur les paiements électroniques ». Il n’empêche ! Le nombre de transactions frauduleuse est estimé à 7,1 millions, pour un préjudice de 1,195 milliard d’euros. Les consommateurs n’ayant pas toujours les bons réflexes (voir infographie), les institutions financières sont donc contraintes d’améliorer leurs mesures de sécurité pour protéger les informations et les transactions sensibles. Plusieurs méthodes permettent d’y parvenir.
MFA, RBA, step-up :
les équipes en présence
D’abord, l’authentification multifactorielle (MFA). Elle exige plusieurs facteurs d’authentification lors de la première connexion, comme un mot de passe et la saisie d’un code généré par une application d’authentification dans le cadre d‘une authentification a deux facteurs. En exigeant plusieurs preuves d’identité à chaque connexion, elle élève considérablement le niveau de protection. Elle peut également être utilisée dans le cadre d’un processus d’authentification par étapes.
L’authentification basée sur les risques (RBA) se veut plus subtile. Tel un observateur vigilant, elle scrute chaque tentative de connexion, évaluant le risque en temps réel. Un appareil inconnu ou un comportement inhabituel ? La RBA dresse aussitôt des barrières supplémentaires. Néanmoins, son approche uniforme ne fait pas de distinction entre les différentes activités au sein d’un même compte.
L’authentification step-up, elle, adapte son niveau de sécurité à la sensibilité de l’action entreprise. Les tâches routinières restent fluides, tandis que les opérations délicates bénéficient d’un bouclier renforcé. De la vérification de documents à la reconnaissance biométrique, en passant par l’identité numérique, elle déploie un éventail de méthodes pour garantir que seuls les utilisateurs légitimes franchissent ses barrières, et ce, uniquement lorsque cela est nécessaire.
Des risques différents
selon les actions
La recrudescence des fraudes va de l’usurpation d’identité à la prise de contrôle de comptes. Une analyse quantitative réalisée par le cabinet d’études Aberdeen1 montre que l’impact global des prises de contrôle de comptes est désormais si important qu’il peut entraîner des risques commerciaux considérables pour les banques. À titre d’exemple, le préjudice financier dans la région EMEA (Europe, Afrique et Moyen-Orient) s’élève à plus de 12 millions d’euros par an.
L’authentification renforcée, ou step-up, semble être l’une des solutions les plus efficaces pour renforcer la sécurité sans compromettre l’expérience client. Derrière le terme « step-up » se cache une pratique consistant à exiger des étapes d’authentification supplémentaires uniquement pour certaines activités à risque, notamment dans le secteur bancaire, contrairement à l’authentification multifactorielle, où la multiplication des identifications est systématique.
Prenons le cas d’un utilisateur qui se connecte à son compte bancaire et souhaite transférer une somme d’argent importante. Le système peut lui demander de saisir un code envoyé sur son smartphone, de vérifier son identité par une vérification biométrique ou de passer par une identité numérique. Une solution d’identité numérique simplifie et sécurise l’enrôlement et l’authentification. Elle permet aux utilisateurs de vérifier et de réutiliser leur identité numérique de manière instantanée. Les utilisateurs peuvent remplacer les mots de passe traditionnels par une authentification robuste et réutilisable, rendant ainsi les échanges numériques plus sûrs et plus pratiques. Ce niveau de protection supplémentaire garantit que même si un fraudeur a pu accéder à un compte dans un premier temps, il ne pourra pas effectuer d’actions critiques sans vérification supplémentaire.
L’équation gagnante : sécurité renforcée et simplicité d’usage
L’atout de l’authentification step-up est de trouver un équilibre entre sécurité et facilité d’utilisation. En adaptant la demande d’identité au niveau du risque de l’action, elle offre une protection fiable sans complications inutiles pour l’utilisateur. Cette adaptabilité est essentielle pour la lutte contre la fraude, car elle permet de mettre en place des mesures de sécurité flexibles – telles que les identités numériques – qui ne perturbent pas l’utilisateur dans l’exécution d’activités de routine, tout en renforçant la protection dans les cas où elle est le plus nécessaire.
Elle a donc toute sa place dans les transactions à risque et les modifications des paramètres du compte, comme l’ajout d’un nouveau bénéficiaire ou la réinitialisation d’un mot de passe, sont soumises à des processus de vérification stricts. Cela protège à la fois l’institution financière et ses clients, et réduit la probabilité d’un accès non autorisé au compte. Les prestataires de services financiers et autres institutions à haut risque peuvent donc utiliser l’authentification step-up pour protéger les points de contact critiques du parcours client, tels que la réinitialisation des mots de passe, le changement de bénéficiaire et la demande de nouveaux services. En intégrant ces méthodes d’authentification, comme les identités numériques, les institutions financières seront en mesure de mieux protéger leurs clients et ainsi conserver leur confiance. Une défense essentielle dans le paysage numérique actuel, où les attaques contre les comptes bancaires se multiplient.
