EagleBank partage les meilleures pratiques de son déploiement d'authentification logicielle

David Gaudio, novembre 25, 2019

Les mots de passe ponctuels (OTP) sont un moyen sûr et fiable d'authentifier les utilisateurs et les transactions. Les banques et autres institutions financières (FI) du monde entier comptent sur les authentificateurs matériels pour générer des OTP pour la connexion client et la signature de transactions. Mais à mesure que les attentes des clients changent, les fournisseurs de services financiers adaptent leurs méthodes d'authentification pour les utilisateurs mobiles. Une des façons dont ils font cela est en introduisant l'authentification logicielle.

L'authentification logicielle fait référence à un générateur otP basé sur l'application, offert comme une application autonome ou intégré dans l'application mobile native d'une banque. Il s'agit d'une forme d'authentification à deux facteurs (2FA) qui utilise un facteur de connaissance (quelque chose que vous connaissez: le code d'accès) et le facteur de possession (quelque chose que vous avez: votre téléphone).

Dans cet article, nous partagerons les meilleures pratiques d'EagleBank, un américain de taille moyenne. banque commerciale, ainsi que d'autres institutions financières qui ont récemment introduit une application d'authentification logicielle pour leurs clients.

EagleBank: Authentification matérielle et logicielle  

Depuis 10 ans, EagleBank s'appuie sur les jetons d'authentification matérielle de OneSpan pour sécuriser les transactions des clients et se protéger contre la fraude à la prise de contrôle de compte. Avant d'introduire l'authentification logicielle, lorsqu'un client commercial effectuait une transaction telle qu'un virement bancaire ou une initiation ACH, il devait soumettre un mot de passe unique (OTP) généré sur son jeton d'authentification matérielle ® Digipass.

Comme les clients commerciaux ont commencé à effectuer de plus en plus via mobile, cependant, la banque a vu une augmentation des demandes de renseignements sur l'authentification des logiciels et a décidé de faire la transition. En avril 2018, EagleBank a lancé sa solution d'authentification logicielle. Ils ont décidé de l'introduire d'abord à de nouveaux clients, et de planifier la transition de leur clientèle existante au fil du temps.

En fait, les clients existants qui comptent encore sur les authentificateurs matériels peuvent une fois que leur matériel atteint la fin de la vie. La banque prévoit d'établir un message de rappel trimestriel pour sa clientèle existante. Le message sera utilisé pour sensibiliser l'application d'authentification logicielle et aider les clients intéressés à faire le changement. En suivant cette approche, EagleBank continue de faire la transition du matériel à l'authentification logicielle aussi simple que possible.

La solution d'authentification logicielle

EagleBank a décidé d'utiliser OneSpan Mobile Authenticator Studio comme application d'authentification logicielle autonome. Sous l'image de marque d'EagleBank, l'application a été nommée « EagleBank Soft Token App », et présentait le logo et les couleurs de la marque de la banque. La possibilité de personnaliser l'image de marque était importante parce qu'elle aidait les utilisateurs à localiser l'application sur l'App Store. En outre, la banque a constaté que leurs utilisateurs ont tendance à avoir un niveau de confiance plus élevé quand ils reconnaissent une application comme un produit officiel de marque.

En offrant la solution logicielle, EagleBank peut inscrire de nouveaux clients en quelques minutes et ils peuvent commencer à effectuer immédiatement plutôt que d'attendre quatre jours pour un jeton matériel pour arriver par la poste. Au cours des neuf premiers mois, 95 % des nouveaux clients se sont inscrits pour utiliser la solution d'authentification logicielle. [Tous les utilisateurs ne peuvent pas adopter l'authentification mobile, pour diverses raisons. Considérez un contrôleur financier qui travaille dans un établissement sécurisé où les téléphones de caméra ne sont pas autorisés. Un tel client peut être tenu d'utiliser des authentificateurs matériels.]

Pour assurer un processus d'activation facile pour tous, EagleBank a pris deux mesures pratiques importantes.

  1. EagleBank a créé un document PDF qui a fourni une procédure pas à pas d'écran par écran du processus d'activation pour aider à montrer aux utilisateurs exactement à quoi s'attendre. Ce document est disponible pour le client dans plusieurs endroits. Il est lié sur l'écran de bureau où l'utilisateur commence leur activation, et il est également envoyé dans un e-mail de bienvenue qui fournit des instructions sur la façon de commencer. Ce processus a reçu une réponse positive. Comme l'a fait remarquer Barb McCann, vice-présidente, directrice de la chaîne de livraison électronique chez EagleBank :

    « Les clients ont été très réceptifs. Ils aiment le fait qu'ils peuvent accéder et allumer leur jeton doux tout de suite.
     
  2. La banque a également mis sur pied un groupe de service à la clientèle centralisé temporaire pour faciliter le déploiement. Leur responsabilité était de faire des appels de service à la clientèle en direct sur des questions de soutien technique et d'être un expert en la matière.

Meilleures pratiques pour les institutions financières

Dans l'ensemble de l'industrie, les institutions financières ont fait de grands progrès dans la fourniture d'authentification sécurisée à leurs clients. Voici quelques pratiques exemplaires qui ont été partagées avec OneSpan :

  • Utiliser des solutions d'authentification appropriées pour chaque cas d'utilisation
    Aujourd'hui, moins de banques se fient au nom d'utilisateur et au mot de passe pour l'accès à l'utilisateur final. Un plus grand nombre ont évolué vers une technologie de sécurité relativement plus forte, comme l'authentification à deux facteurs par SMS (2FA) et des méthodes encore plus fortes comme l'authentification à deux facteurs basée sur l'application. Les banques doivent constamment analyser leur paysage spécifique de fraude et les exigences d'expérience utilisateur pour appliquer la bonne solution de sécurité pour atteindre leurs objectifs d'affaires. Ainsi, même si l'authentification par SMS n'est pas considérée comme idéale parce que les attaquants peuvent voler des numéros de téléphone mobile via des escroqueries de portage et potentiellement même intercepter des messages SMS, le niveau d'effort pour les fraudeurs est plus élevé que le simple piratage d'un nom d'utilisateur et mot de passe . Ainsi, certaines banques concluent que l'authentification par SMS fonctionne pour la banque de détail, mais une sécurité plus forte comme l'authentification push basée sur l'application devrait être utilisée pour les services bancaires d'entreprise de plus grande valeur.
  • Positionner les authentificateurs logiciels comme des alternatives attrayantes
    Une banque a choisi de présenter son authentifiateur logiciel à des clients commerciaux comme une alternative attrayante aux jetons matériels. En se concentrant sur les avantages de la solution, ils ont encouragé leurs clients à adopter l'authentification logicielle par eux-mêmes. À partir de là, la banque s'est efforcée de faciliter le processus de commutation ou d'adoption.
  • Soutenir la transition avec les communications avec les clients
    Une autre banque s'est appuyée sur son équipe de communication bien huilée pour faciliter le déploiement. Des FAQ ont été fournies au service d'assistance et de courts extraits vidéo ont été produits pour les clients. Une fois déployée, la banque a eu plus de 100 clients utilisant l'authentification mobile intégrée dans le premier mois et a reçu amplement de commentaires positifs. Ils s'attendaient à un processus d'adoption lent qui s'accélérerait avec le temps, mais il s'est avéré que leurs clients attendaient une telle solution. Dès qu'il a été poussé en direct, la solution a décollé avec leurs utilisateurs.
  • Identifier et prioriser les bons clients
    Pendant des années, cette banque de détail avait fourni aux clients des jetons de quincaillerie. Cependant, l'innovation dans le monde de la sécurité mobile leur a donné de nouvelles options, à savoir l'authentification logicielle pour les transactions en ligne. Après avoir sondé leur clientèle, cette banque a donné la priorité au déploiement à deux groupes de clients : ceux dont les jetons matériels étaient sur le point d'expirer et les utilisateurs d'applications mobiles. Plutôt que d'adopter une approche big bang, la banque a choisi de se déployer progressivement. La banque a communiqué la modification aux clients par l'intermédiaire de notifications par courriel, le site Web (une page dédiée avec des informations, des vidéos et des FAQ), et helpdesk.

L'approche hybride

Comme pour la plupart de nos clients FI, EagleBank a déterminé qu'une stratégie hybride était la bonne approche. Un des avantages de s'appuyer sur OneSpan est la possibilité de tirer parti d'un seul fournisseur à la fois pour leurs besoins d'authentification matérielle et logicielle. Cela permet à la banque de répondre à toutes les préférences de ses clients, pour les plus hauts niveaux de satisfaction de la clientèle.

« Nous utilisions déjà des jetons matériels OneSpan depuis 10 ans. Je voulais que notre authentification logicielle soit une solution OneSpan, puisque OneSpan était la solution que nos clients connaissaient déjà, et nous, en tant que banque, nous connaissions bien », explique Glenn Johnson, vice-président principal, Digital Channel Product Manager chez EagleBank.

Pour en savoir plus sur l'application d'authentification autonome d'EagleBank et les avantages pour leurs utilisateurs, lisez l'étude de cas complète.

Eaglebank lance l'authentification logicielle pour les nouveaux clients
ÉTUDE DE CAS

Eaglebank lance l'authentification logicielle pour les nouveaux clients

EagleBank a fait face à deux défis clés dans son déploiement d'authentification logicielle : déterminer la bonne stratégie de lancement et élaborer une politique pour ses clients existants. Découvrez comment ils les ont vaincus dans cette étude de cas.

Lire la suite