Authentification par logiciel : les applications et technologies modernes au service de la fidélité client selon Bank of Cyprus

Jeannine Mulliner,

Découvrez comment Bank of Cyprus s'est conformée aux exigences d'authentification forte du client fixées par la directive DSP2 tout en améliorant l'expérience client grâce à une authentification mobile intégrée et une authentification dynamique conforme (également connue sous le nom d'authentification ou d'autorisation de transaction). Cet article est un résumé de l'étude de cas complète. Lisez l'étude de cas pour obtenir davantage d'informations partagées par la banque, ainsi que des schémas et des vidéos de démonstration.  

Pendant des années, la Bank of Cyprus a distribué des jetons matériels Digipass® à ses clients. Toutefois, lorsque ces derniers se sont tournés vers les transactions mobiles, la banque a décidé de récemment mettre en œuvre des fonctionnalités d'authentification par logiciel et de mots de passe à usage unique, comme l'exige la directive révisée sur les services de paiement (DSP2).

Grâce à ses authentifiants matériels, la Bank of Cyprus respectait déjà l'exigence d'authentification à deux facteurs (2FA) pour la connexion à un compte. En revanche, elle ne disposait pas de fonctionnalités d'authentification par logiciel. Sachant qu'environ 50 % des transactions bancaires numériques étaient réalisées sur des appareils mobiles, le besoin se faisait de plus en plus pressant. La banque a alors dû trouver un mécanisme d'authentification plus simple et pratique grâce auquel les clients n'auraient plus besoin de se déplacer avec leur(s) authentifiant(s) matériel(s).

La Bank of Cyprus face à un défi

Remplacer les authentifiants matériels par une fonctionnalité d'authentification par logiciel ne représentait par un défi pour la banque. La difficulté résidait plutôt dans la manière de se conformer à l'une des exigences clés de la directive DSP2 en matière d'authentification dynamique. Parmi les normes techniques de régulation DSP2 (RTS) sur l'authentification forte du client (SCA) et la communication commune et sécurisée (CSC), l'obligation d'avoir recours à l'authentification dynamique (aussi connue sous le nom d'authentification ou d'autorisation de transaction) pour authentifier une transaction financière est l'une des exigences les plus discutées. Étant donné que les normes techniques de régulation DSP2 sont neutres sur le plan technologique, elles n'imposent pas de méthode particulière pour mettre en œuvre l'authentification dynamique. Toutefois, ces normes précisent bien qu'en cas de transaction de paiement, le code d'authentification doit être lié de manière dynamique au montant et au bénéficiaire, ce qui signifie que le code doit changer si le montant ou le bénéficiaire est modifié au cours de la transaction. En outre, les informations de paiement doivent être échangées par le biais d'un canal sécurisé et être présentées clairement à l'utilisateur.

L'équipe avait conscience qu'elle devait aborder la directive DSP2 non seulement pour s'y conformer, mais également pour optimiser son expérience utilisateur. La banque souhaitait éviter un scénario où les clients qui préfèrent une expérience mobile auraient à basculer entre l'application Bank of Cyprus et une autre application d'authentification.

« Dès le moment où nous avons mis sur papier nos demandes fonctionnelles avec l'aide du service informatique de la banque et les conseils de notre département en charge de la sécurité des informations, ainsi que d'autres départements au sein de la banque, nous avons constaté que l'exigence première était que le logiciel d'authentification soit entièrement intégré à l'application mobile de Bank of Cyprus, » déclare Toula Efthymiadou. Au sein du département en charge des canaux de services numériques, Toula Efthymiadou dirige le service des solutions commerciales. Elle gère le développement commercial des canaux de banque en ligne, de l'application mobile et des distributeurs automatiques. Elle est également responsable de la technologie d'authentification du client.

Elle explique : « Il était essentiel de proposer une expérience client fluide. Le respect de la directive DSP2 ne devait surtout pas avoir un impact négatif sur le client. »

Bank of Cyprus Case Study
ÉTUDE DE CAS

Bank of Cyprus (version anglaise)

Découvrez comment la Bank of Cyprus a mis en œuvre l'authentification logicielle et les codes d'accès ponctuels (OTP) spécifiques aux transactions pour se conformer à LA DSP2.

Télécharger

Quelle solution la Bank of Cyprus a-t-elle trouvée ?

Après plusieurs échanges à propos des normes techniques de régulation DSP2 et démonstrations qui ont permis de démontrer que les solutions OneSpan sont conformes à la directive, la Bank of Cyprus a sélectionné la solution d'authentification par logiciel de OneSpan, ainsi que l'option de notifications push et l'authentification de transaction visuelle Cronto®. Toutes ces fonctionnalités sont intégrées grâce aux SDK de la Mobile Security Suite de OneSpan.

Pour ce qui est de la connexion aux comptes et de l'authentification dynamique, la banque a décidé de passer à l'authentification par logiciel, en l'intégrant directement à son application mobile de services bancaires. Quant aux clients qui n'utilisent pas l'application bancaire mobile mais effectuent tout de même des paiements en ligne, la banque leur permet de recevoir un code d'authentification unique par SMS (en ligne) ou de scanner un code Cronto (hors ligne).

Cronto de OneSpan

La technologie Cronto exploite un cryptogramme coloré qui représente les données de transaction chiffrées. Lorsque l'utilisateur souhaite initier une transaction, il doit réaliser les étapes suivantes :

  1. Saisir les données de paiement dans l'application bancaire en ligne sur le navigateur. Le serveur bancaire génère alors un cryptogramme coloré à partir des données de paiement et l'affiche dans le navigateur.
  2. Scanner le cryptogramme à l'aide de l'appareil photo de son appareil mobile. L'appareil décode le cryptogramme, déchiffre les données de paiement et les présente à l'utilisateur en texte brut.
  3. S'authentifier sur son appareil qui détermine le code d'authentification en fonction des données de paiement, à l'aide d'une clé cryptographique stockée sur l'appareil. (Remarque : contrairement à d'autres solutions, le cryptogramme Cronto ne peut être lu que par un appareil autorisé par l'utilisateur. Le code ne peut pas être lu par n'importe quel appareil.)

Cette approche répond aux exigences d'authentification dynamique stipulées dans les normes techniques de régulation de la directive DSP2.

Une version d'essai disponible en à peine 3 mois

La banque a externalisé l'intégration à son application mobile et son équipe informatique s'est occupée du reste.

« Nous avons anticipé que la mise en œuvre prendrait du temps car de notre côté, nous avons élaboré un cahier des charges de 100 pages. Il offrait de nombreux détails et explications précises sur ce que nous souhaitions exactement proposer au client pour chaque scénario, » explique Toula Efthymiadou.

L'équipe informatique a donné la priorité à ce projet et y a accordé beaucoup de son temps. C'est ainsi que le projet a pu être mis en ligne (en version d'essai) au bout de trois mois (d'octobre 2016 à janvier 2017). « Trois mois ont suffi à mettre en œuvre cette solution. Nous avons été impressionnés par la rapidité avec laquelle cela a été réalisé. »

authentification d'un paiement réalisé sur l'application mobile bancaire

Entre 30 et 40 % des clients séduits jusqu'ici

« Le taux d'utilisation de la solution d'authentification intégrée est aujourd'hui compris entre 30 et 40 %. Les personnes qui l'ont adoptée ne souhaitent pas revenir à l'utilisation d'un authentifiant matériel. Dès qu'elles essayent l'authentification par logiciel, elles se sentent très à l'aise. Elle s'utilise très facilement et sans problème. »

Même si la banque recommande à ses clients de remplacer les jetons d'authentification matériels par l'authentification par logiciel, de nombreuses transactions sont toujours signées (c'est-à-dire authentifiées dynamiquement) à l'aide de mots de passe uniques générés par des authentifiants de ce type. « L'utilisation de l'application mobile rattrape son retard, mais les premiers clients à utiliser la méthode logicielle sont ceux qui s'y connaissent en technologie, explique Toula Efthymiadou. D'après les commentaires que nous avons reçus auprès de notre centre d'appel, les particuliers préfèrent l'expérience qu'offre la solution d'authentification par logiciel intégrée. Dans l'ensemble, en termes de taux d'adoption le plus élevé, c'est l'authentification par logiciel qui mène la danse, suivie du code Cronto. »

Autre avantage, les clients ont désormais une image moderne de la Bank of Cyprus, car cette dernière permet l'utilisation de technologies telles que Touch ID et Face ID. « C'est le fait de proposer l'utilisation de Touch ID ou Face ID sur son appareil qui renforce la position de leader de Bank of Cyprus sur le marché. Tout comme l'authentification par logiciel. Lorsque nous avons déployé cette solution, nous avons reçu de nombreux retours positifs de la part de nos clients. Proposer de nouvelles applications et technologies modernes contribue à renforcer la fidélité des clients. »

Depuis 20 ans, Jeannine écrit sur la technologie et comment l'appliquer pour résoudre les défis quotidiens. Dans son rôle de directrice de contenu chez OneSpan, Jeannine dirige une équipe de rédacteurs et de développeurs de contenu visant à aider les institutions financières et autres organisations à tirer parti des solutions de sécurité et de signature électronique. Jeannine détient un baccalauréat en rédaction professionnelle de l'Université de Sherbrooke.