La commodité de la banque numérique avec l'assurance de la sécurité
"Une femme d'Andheri perd 15,5 millions de roupies après avoir été la proie d'une publicité lui proposant de gagner de l'argent en faisant du commerce en ligne
"Deux hommes sont victimes d'une fraude en ligne : Perdent de l'argent"
"Une femme de Bengaluru perd 77 000 roupies à cause d'une cyberfraude en essayant de rapporter du lait avarié
Ce ne sont là que quelques-uns des récents titres des journaux indiens. Quiconque suit régulièrement l'actualité du pays aura sans doute rencontré de nombreux autres exemples.
"Les consommateurs sont devenus très habiles dans l'utilisation des produits numériques tout en accordant très peu d'attention à la cyber-hygiène
La cybercriminalité est très répandue en Inde. Rien qu'en 2023, 1,13 million de cas de cyberfraude financière ont été signalés en Inde, pour un montant total de 7,5 milliards de roupies (~83,1 millions d'euros). Comment expliquer ces statistiques désastreuses ?
Pinakin Dave est expert en cybersécurité et directeur national pour l'Inde et l'ASACR chez OneSpan, l'un des fournisseurs de la Deutsche Bank. Il explique : "L'une des principales causes de cette situation est que les consommateurs sont devenus très habiles dans l'utilisation des produits numériques tout en accordant très peu d'attention à l'hygiène cybernétique." Exemple concret : en 2023, les Indiens ont effectué 117 milliards de transactions financières numériques, d'une valeur de 18 000 milliards de roupies, en utilisant le système UPI ( United Payment Interface ). Il y a sept ans, au cours de la première année complète suivant le lancement de l'UPI, le nombre de transactions ne s'élevait qu'à 418 millions, pour une valeur totale de 570 milliards de roupies.
UPI est une plateforme de paiement numérique en Inde, qui offre aux clients une application basée sur le téléphone mobile pour envoyer et recevoir de l'argent instantanément. Cette forme de paiement numérique a été lancée au milieu de l'année 2016 et a gagné en popularité après que le gouvernement indien a procédé à une démonétisation à la fin de la même année, dans le but de freiner l'économie souterraine de l'Inde et de réintégrer l'argent thésaurisé dans le système bancaire. Du jour au lendemain, les billets de 500 et 1 000 roupies, qui représentaient plus de 85 % de l'argent liquide en circulation dans le pays, ont perdu toute valeur, ce qui a entraîné une grave pénurie de liquidités dans l'économie indienne qui privilégie l'argent liquide.
Face à la pénurie d'argent liquide et aux longues files d'attente dans les banques pour échanger les billets désormais redondants, les moyens de paiement numériques ont commencé à gagner en popularité. Très vite, les vendeurs ambulants et les grands magasins du pays ont commencé à afficher leurs codes QR personnalisés pour recevoir des paiements via UPI.
Mais ce n'est pas tout. L'augmentation des revenus disponibles, les téléphones intelligents bon marché et les forfaits Internet abordables ont entraîné une hausse de l'utilisation des téléphones intelligents, ajoute M. Dave. "Les gens passent beaucoup plus de temps en ligne. Que ce soit pour l'éducation, la banque, les voyages ou les achats, les smartphones sont le premier choix des gens L'Inde compte environ 800 millions d'utilisateurs actifs de l'internet et, selon certaines estimations, les habitants du pays passent en moyenne trois heures par jour sur l'internet. Selon M. Dave, cette évolution offre aux cybercriminels un terrain de jeu plus vaste.
"Les gens continuent à être la proie de tactiques simples parce que les cybercriminels profitent de leur avidité, de leur peur et de leur vulnérabilité
Qui est responsable de la cybersécurité ?
Plusieurs parties sont impliquées dans les transactions financières en ligne. Les prestataires de services financiers, les fournisseurs de technologie, les régulateurs et, bien sûr, les utilisateurs de ces services financiers. Si chacune de ces parties joue un rôle crucial dans la sécurité des transactions financières, Dave estime que le comportement des consommateurs est généralement le maillon faible.
"De nombreuses organisations investissent massivement dans la protection de leurs clients. Les régulateurs fournissent également des cadres solides pour la sécurité des services bancaires en ligne, mais le comportement humain ne suit pas", déclare-t-il. "Les gens sont encore victimes de tactiques simples parce que les cybercriminels profitent de leur avidité, de leur peur et de leur vulnérabilité Plusieurs études montrent que neuf cyberattaques sur dix commencent par du phishing, un terme qui désigne les criminels qui incitent les utilisateurs à divulguer des données sensibles ou à télécharger des logiciels malveillants, ce qui entraîne la perte d'informations et d'argent.
La banque centrale et l'organisme de réglementation de l'Inde, la Reserve Bank of India (RBI), et l'organisme de réglementation des marchés, le Securities Exchange Board of India (SEBI), ont publié des lignes directrices pour les produits et services numériques fournis par les institutions financières. Par exemple, les contrôles de sécurité des paiements numériques de la RBI fournissent aux institutions financières des lignes directrices distinctes pour les services bancaires par internet, les services bancaires mobiles et les paiements par carte. Ces lignes directrices obligent les institutions financières à informer les consommateurs sur la manière de rester en sécurité lorsqu'ils utilisent des produits de paiement numérique ou des services connexes.
Quel est le rôle d'OneSpan ?
Dave explique que OneSpan envisage la sécurité de manière globale, du point de vue de l'appareil, de l'utilisateur et de l'application utilisée pour la transaction financière. "Nous voulons nous assurer que nos clients bénéficient d'une expérience bancaire pratique, avec l'assurance de la sécurité", explique-t-il. Nombre de nos clients, dont la Deutsche Bank, utilisent le produit App Shielding de OneSpan, qui arrête l'application bancaire si une application de partage d'écran est active sur l'appareil mobile, tout en détectant et en surveillant diverses activités malveillantes sur l'appareil mobile de l'utilisateur. Ce produit fonctionne en arrière-plan et protège les consommateurs même lorsque leur propre comportement peut leur causer une perte
Il s'agit d'une fonction importante, car il y a eu plusieurs cas de fraudeurs qui ont incité les consommateurs à télécharger des applications de partage d'écran et leur ont ensuite demandé d'effectuer des transactions financières, ce qui a exposé les identifiants bancaires et les mots de passe à usage unique. La détection précoce de comportements anormaux sur les appareils des utilisateurs permet d'identifier de nouveaux types de logiciels malveillants ou d'attaques et permet aux organisations de réagir avant qu'ils ne fassent boule de neige et ne provoquent de grandes vagues de fraude.
En Inde, les transactions financières en ligne nécessitent plus d'un type d'authentification, qui est généralement un message avec un mot de passe à usage unique, ainsi que le mot de passe de connexion. Toutefois, cette méthode peut s'avérer insuffisante si le téléphone de la personne est infecté par une application malveillante telle qu'un redirecteur de messages. C'est pourquoi OneSpan va plus loin. La technologie CRONTO, propriété de OneSpan, permet de résoudre ce problème, explique Dave. "Nous fournissons aux clients un code QR (quick-response) couleur crypté pour authentifier les transactions financières. Contrairement à un code QR générique en noir et blanc, CRONTO ne peut être lu que par une application mobile spécialisée ou un dispositif d'authentification. Cela signifie que les clients n'utiliseront pas leur appareil photo mobile habituel pour scanner le code QR, ce qui est l'un des moyens utilisés par les acteurs malveillants pour introduire des liens frauduleux dans les appareils des utilisateurs
OneSpan propose également des solutions d'authentification matérielle avancées, notamment des authentificateurs CRONTO et FIDO. les banques doivent s'assurer que chaque utilisateur, qu'il s'agisse d'une banque de détail ou d'une banque d'entreprise, est protégé contre le phishing et les attaques de type "man-in-the-middle". Le fait de disposer d'une option solide pour les utilisateurs qui ne veulent pas dépendre uniquement d'appareils mobiles non protégés est une grande garantie pour les banques que tous leurs clients resteront en sécurité", déclare Dave.
L'entreprise travaille avec des banques, des établissements de santé et des sociétés de services professionnels, leur fournissant des produits et des services allant de la vérification d'identité à la collaboration vidéo sécurisée pour les transactions virtuelles. "Notre société investit énormément dans l'étude des dernières tendances en matière de cybercriminalité, dans la compréhension du modus operandi des cybercriminels et dans le développement de produits de sécurité destinés à pallier la vulnérabilité des produits numériques." Selon l'entreprise, 60 % des plus grandes banques du monde sont ses clients.
Notre système crée des instructions que seuls les appareils de l'utilisateur peuvent consommer et transformer en une expérience utilisateur très intuitive, qui les sensibilise aux risques potentiels et leur permet de réagir de la manière la plus sûre.
À mesure que la technologie évolue, les banques utilisent des outils modernes pour protéger leurs clients. "Nous avons des produits tels que l'authentification adaptative intelligente qui utilise un moteur de décision en temps réel qui fonctionne avec le big data, crée des blocs de données faciles et rapides à traiter et génère des décisions de sécurité qui sont personnalisées en fonction de l'historique du compte de l'utilisateur, de ses préférences en matière d'appareils et de ses modèles de comportement. Le système crée des instructions que seuls les appareils de l'utilisateur peuvent consommer et transformer en une expérience utilisateur très intuitive, qui les sensibilise aux risques potentiels et leur permet de réagir de la manière la plus sécurisée", explique Dave. "La plupart de ces opérations se déroulent en temps réel et en arrière-plan, offrant à nos clients une expérience transparente qui répond aux normes de sécurité les plus élevées et aux réglementations les plus strictes."
Que peuvent faire les utilisateurs finaux pour se protéger ?
Malgré les fonctions de sécurité avancées des applications bancaires mobiles, M. Dave prévient que les utilisateurs de services financiers sont souvent le maillon le plus faible de la chaîne de sécurité, car même un bref manquement aux pratiques de sécurité peut entraîner de graves dommages financiers. Pour illustrer ce propos, il ajoute : "Très souvent, les gens ont tendance à donner leur numéro de téléphone à la banque : "Très souvent, les gens ont tendance à donner à leurs enfants leur téléphone portable pour qu'ils jouent à des jeux ou regardent des vidéos, tout en les laissant sans surveillance. Ils peuvent finir par cliquer sur un lien ou télécharger un jeu qui contient un logiciel malveillant, ce qui les expose à la cybercriminalité. Les enfants peuvent, sans le savoir et à l'insu de leurs parents, télécharger une application qui transfère des messages. Les criminels pourraient alors avoir accès à des mots de passe à usage unique et s'en servir pour détourner de l'argent d'un compte" Outre les enfants, Dave ajoute qu'il est également très important d'accorder une attention particulière à l'éducation des personnes âgées à un comportement en ligne sûr, car elles constituent des cibles faciles pour les cybercriminels.
Les progrès technologiques peuvent être utilisés pour faciliter les transactions financières, mais d'un autre côté, les cybercriminels ont également accès à ces mêmes outils, ce qui rend la criminalité encore plus sophistiquée. Récemment, des cybercriminels ont utilisé l'intelligence artificielle pour se faire passer pour des membres de la famille ou des amis afin d'inciter les gens à envoyer volontairement de l'argent sur des comptes inconnus. Il est important de vérifier l'authenticité de l'appelant avant de transférer de l'argent. Il suggère d'appeler le numéro réel de l'ami ou du parent connu avant d'entreprendre quoi que ce soit. "Très souvent, la présence d'esprit et de simples vérifications suffisent à assurer la sécurité de vos transactions financières
Blog
Exploring authentication methods to strengthen digital payment security in India
The Reserve Bank of India introduced a draft framework to further enhance the security of digital payments. Learn about RBI's new MFA requirements.
Read nowCet article d'Ashish Saldanha a été publié pour la première fois sur le site de la Deutsche Bank en septembre 2024.
À propos de Pinakin Dave
Pinakin Dave est actuellement directeur national pour l'Inde et l'ASACR (Association sud-asiatique pour la coopération régionale) chez OneSpan. Fort d'une longue expérience dans le secteur des technologies de l'information, Pinakin est un professionnel chevronné réputé pour son expertise en matière de cybersécurité, en particulier dans le domaine des entreprises et des services financiers.
Pendant plus de vingt ans, il a constamment démontré ses capacités de leadership, ayant travaillé de manière intensive avec des entreprises du classement Fortune 500. Sa formation universitaire en cyberdroit et en commerce international enrichit encore son ensemble de compétences, ce qui fait de lui un atout précieux pour le secteur. Les contributions de M. Pinakin dans le domaine de la cybersécurité lui ont valu de prestigieuses récompenses, consolidant ainsi sa réputation de leader distingué dans le secteur.
À propos d'Ashish Saldanha
Ashish Saldanha, l'auteur de cet article, croit au pouvoir de la technologie pour transformer les services financiers et, plus important encore, au rôle qu'elle peut jouer dans la lutte contre la criminalité financière. Dans la vie de tous les jours, il travaille comme spécialiste de la communication pour la division Technologie, données et innovation de la Deutsche Bank.