Essai gratuit

Renforcer le secteur financier par l'authentification et la réglementation

Frederik Mennes,
Authentication and regulation

Au début de l'année 2024, le Financial Crimes Enforcement Network (FinCEN) du département du Trésor américain a publié un rapport quantifiant l'impact des solutions d'identité faibles sur notre système financier. C'est la première fois qu'une agence fédérale s'efforce de quantifier l'impact de la compromission des informations d'identification sur le système financier américain. Selon le rapport, 1,6 million de cas et 212 milliards de dollars d'activités suspectes liées à l'identité ont été identifiés, dont 112 milliards de dollars pour la seule authentification. Il est clair que le secteur des services financiers est attaqué et que de sérieuses améliorations doivent être apportées à la sécurité.

Les attaques par ingénierie sociale et autres menaces deviennent de plus en plus sophistiquées dans un paysage technologique en évolution rapide. Le secteur financier américain est déjà confronté à des problèmes d'authentification. Selon un rapport de HYPR datant de 2022, 80 % des entreprises ont subi une violation liée à une faiblesse de l'authentification. Les entreprises et le gouvernement doivent travailler ensemble pour réduire les cas et les risques de criminalité financière et trouver les bonnes solutions pour améliorer la vérification de l'identité.

Le défi

Les méthodes d'authentification faibles sont encore couramment utilisées dans le secteur financier, les mots de passe constituant la première ligne de défense malgré leur vulnérabilité aux cybermenaces. Les mots de passe présentent d'énormes lacunes, non seulement du point de vue de la sécurité, mais aussi du point de vue de la commodité.

De nombreux mots de passe sont réutilisés et faciles à deviner, ce qui les rend faciles à voler. Selon un sondage Google Harris, deux tiers des Américains utilisent le même mot de passe pour plusieurs comptes. Pour que les mots de passe soient sûrs, ils doivent être différents pour chaque application et difficiles à deviner ; cependant, ce n'est un secret pour personne que cela a un impact sur la commodité de l'utilisateur. Se souvenir de plusieurs mots de passe complexes et en garder la trace est un défi et une gêne pour l'utilisateur moyen. Des solutions alternatives, telles que les mots de passe à usage unique délivrés par SMS, peuvent améliorer l'expérience de l'utilisateur final.

Bien qu'ils soient utiles, les mots de passe à usage unique peuvent également présenter des risques pour la sécurité. Les messages SMS peuvent être facilement interceptés par des logiciels malveillants résidant sur les téléphones mobiles des utilisateurs ou par des vulnérabilités dans le protocole SS7 (Signaling System 7), que les réseaux mobiles utilisent pour échanger des informations et exécuter diverses fonctions, telles que les messages SMS. Les attaques d'ingénierie sociale devenant de plus en plus sophistiquées, les SMS et certaines autres tactiques d'authentification multifactorielle deviennent obsolètes. Pour rester réellement sûr, le secteur financier doit se doter de solutions d'authentification et de vérification d'identité plus rigoureuses, en plus des nouvelles réglementations fédérales imposant une authentification résistante au phishing.

Trouver un équilibre entre sécurité et commodité

Alors que le besoin de solutions de sécurité plus strictes se fait de plus en plus sentir dans le secteur, les institutions financières ne doivent pas perdre de vue la nécessité de donner la priorité à l'expérience de l'utilisateur et à la commodité. Certaines mesures de sécurité peuvent introduire de nouveaux défis ou de nouvelles étapes pour les utilisateurs finaux, ce qui perturbe la fluidité d'une transaction ou d'une interaction. Grâce aux méthodes d'authentification sans mot de passe et résistantes au phishing, l'équilibre entre sécurité et commodité est devenu plus accessible pour le secteur financier. Ces méthodes sont non seulement plus sûres, mais aussi plus pratiques à utiliser que les mots de passe. Les méthodes d'authentification qui combinent la résistance au phishing et les solutions sans mot de passe présentent l'énorme avantage que même si un site web de phishing vole un justificatif d'identité, le fraudeur ne peut pas utiliser le justificatif phishing pour se connecter à l'application authentique. Les méthodes sans mot de passe ne peuvent s'appuyer que sur des éléments de possession, tels qu'un jeton ou un appareil mobile, et des éléments biométriques, tels que les caractéristiques du visage ou des empreintes digitales.

Les méthodes d'authentification sans mot de passe résistantes à l'hameçonnage sont notamment basées sur les normes de l'alliance FIDO (Fast Identity Online), une alliance industrielle mondiale regroupant des entreprises technologiques de premier plan, des agences gouvernementales, des fournisseurs de services, des institutions financières, des sociétés de traitement des paiements et d'autres secteurs d'activité. L'authentification FIDO est le fruit du travail de la FIDO Alliance. Les normes d'authentification FIDO visent à réduire l'utilisation des mots de passe et à améliorer les normes d'authentification sur les ordinateurs de bureau et les appareils mobiles.

En outre, les mécanismes d'authentification continue et adaptative permettent de lutter contre les menaces les plus avancées. Ces mécanismes surveillent la session de l'utilisateur et évaluent les facteurs de risque, tels que le comportement de l'utilisateur (vitesse de frappe, moment où l'utilisateur est actif, etc.) et les caractéristiques de l'appareil, telles que l'adresse IP et la version du système d'exploitation. Lorsqu'un risque est détecté, les exigences d'authentification sont ajustées de manière dynamique et, si le risque est élevé, l'utilisateur doit faire plus d'efforts pour s'authentifier. Ce type de solution, transparente pour l'utilisateur, permet de trouver un équilibre important entre sécurité et commodité.

La nécessité de nouvelles réglementations fédérales

Alors que des réglementations exigeant des méthodes résistantes au phishing sont déjà en place pour les agences fédérales, les organisations de services financiers doivent suivre le mouvement pour préserver leur réputation, maintenir la confiance de leurs clients et protéger leurs résultats. Si des progrès ont été réalisés dans l'amélioration des mesures de cybersécurité pour les agences gouvernementales, le secteur financier exige des réglementations plus strictes. Par exemple, le gouvernement fédéral américain a introduit des réglementations imposant une authentification résistante au phishing pour les agences gouvernementales au cours des deux dernières années, notamment l'ordre exécutif 14028 de mai 2021 et le mémorandum M-22-09 de mars 2022. En comparaison, le secteur des services financiers est à la traîne en matière de réglementation et a besoin de sérieuses améliorations. Il est essentiel pour l'avenir du secteur que les banques soient tenues de mettre en place un système d'authentification résistant à l'hameçonnage.

Les organismes de réglementation américains devraient continuer à fixer des objectifs ambitieux pour le niveau de sécurité des applications bancaires en ligne, comme le font l'Asie, l'Europe et le gouvernement fédéral américain depuis plusieurs années. Par exemple, le Federal Information Security Modernization Act (FISMA) exige des agences fédérales qu'elles développent, documentent et mettent en œuvre des programmes de sécurité de l'information pour protéger leurs informations et leurs systèmes d'information, y compris ceux liés à la banque en ligne. Les régulateurs financiers n'ont pas besoin de prescrire des solutions spécifiques, mais de fixer des exigences basées sur les résultats.

Les statistiques alarmantes révélées cette année par le département du Trésor américain soulignent le besoin urgent de mesures robustes et plus strictes dans le secteur financier. Avec des milliards en jeu et des millions de cas d'activités suspectes liées à l'identité, il est clair qu'il n'est plus possible de s'appuyer sur des méthodes dépassées. La solution consiste à mettre en œuvre des protocoles de vérification d'identité plus stricts tout en préconisant des mandats réglementaires pour une authentification résistante à l'hameçonnage. En trouvant un équilibre entre sécurité et commodité grâce à des méthodes innovantes telles que l'authentification sans mot de passe et l'évaluation continue des risques, les institutions financières peuvent rester à l'abri des menaces en constante évolution. Il est temps pour le secteur des services financiers de donner la priorité à la sécurité, de maintenir la confiance des clients et de s'aligner sur les normes mondiales. C'est la clé de la sauvegarde de l'intégrité de notre système financier.

AUTHENTIFICATION FIDO

AUTHENTIFICATION FIDO

Solutions basées sur la norme FIDO pour une authentification plus simple et plus forte à l'aide d'une approche ouverte, évolutive et interopérable

En savoir plus

Cet article a été publié pour la première fois sur Global FinTech Series le 27 juin 2024.

Pourquoi FIDO est l'avenir de l'authentification

Fichier audio

Ce podcast a été publié pour la première fois en juillet 2024 sur Expert Insights.

Frederik Mennes
Frederik Mennes

Frederik dirige le Security Competence Center de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie des technologies d'authentification, de gestion des identités, de réglementation et de sécurité pour les applications cloud et mobiles.

Contenu
Partager