Trois exigences clés pour les meilleures solutions d’authentification sans mot de passe

OneSpan Team,

Les institutions financières évaluent et déploient de plus en plus des solutions d’authentification sans mot de passe pour lutter contre les fraudes évoluées, l’expérience client qui laisse à désirer et les coûts d’exploitation élevés liés aux mots de passe.

L’exposition aux fraudes que subissent les banques est ahurissante. Les mots de passe perdus et volés sont la matière brute des prises de contrôle de comptes, des violations de données et des autres types de fraudes. Aujourd’hui, le Web clandestin a exposé 15 milliards de mots de passe volés, dont de nombreux sont réutilisés par les clients de services bancaires sur plusieurs sites et écosystèmes numériques. Ces mots de passe volés entraînent des augmentations fulgurantes du nombre de fraudes, ce qui coûte environ 6,9 milliards de dollars aux banques et aux entreprises, selon les estimations du FBI. De par leur nature, les solutions sans mot de passe préviennent mieux les fraudes, puisque les pirates n’ont rien à voler ni à deviner à l’aide de logiciels malveillants mobiles, de chevaux de Troie ou d’attaques par ingénierie sociale.

Même si la gestion de la fraude est importante, la croissance des revenus l’est encore plus. Selon une étude récente de Forrester, 39 % des banques indiquent que la croissance se trouve au sommet de leurs priorités. La pierre angulaire de la croissance des canaux numériques est d’offrir des expériences conviviales pour les utilisateurs. Plus il est facile pour un client d’accéder en toute sécurité à son application de services bancaires, plus il utilise de services — ce qui stimule les revenus. Les solutions sans mot de passe offrent justement ce genre d’expérience utilisateur avec peu de friction.

Enfin, les plateformes qui font appel à des mots de passe sont beaucoup plus coûteuses à entretenir que celles sans mot de passe. Selon un sondage de Ponemon mené l’an dernier, l’authentification sans mot de passe permet à une entreprise moyenne d’économiser environ 1,9 million de dollars en coûts, dont une grande part est associée aux réinitialisations de mots de passe par les services d’assistance technique.

De toute évidence, l’authentification sans mot de passe peut permettre de relever chacun des trois défis présentés ci-dessus, mais quelles sont les fonctionnalités de la solution qui seront essentielles à la mise en place d’un service ou d’un déploiement efficaces d’authentification sans mot de passe? Nous présentons ci-dessous les trois fonctionnalités ayant le plus grand impact :

  • Une vaste gamme de méthodes d’authentification sans mot de passe 
  • La capacité de lutter contre les fraudes sophistiquées à l’ouverture de session et après l’ouverture de session 
  • Un déploiement rapide et souple des nouvelles technologies d’authentification sans mot de passe

Maintenant, examinons plus en détail ces trois exigences.

Des méthodes d’authentification variées

Par exemple, un groupe de clients bancaires pourrait être parfaitement à l’aise avec le fait de se connecter à l’application bancaire à l’aide d’une reconnaissance faciale ou d’une lecture d’empreinte digitale — deux technologies biométriques — sur leurs appareils mobiles, alors que d’autres groupes pourraient préférer de recevoir une notification poussée pour accéder à l’application. Les attentes de ces divers groupes d’utilisateurs finaux changeront également en fonction des cas d’utilisation. Par exemple, il pourrait être possible d’effectuer une simple vérification du solde du compte à l’aide d’une méthode biométrique. Par contre, un transfert de fonds de grande valeur pourrait nécessiter un code semblable à un code QR crypté en couleur pour authentifier l’utilisateur et sa transaction. Ce genre de code peut simplement être balayé à l’aide d’un appareil mobile ou d’un jeton matériel pour offrir les niveaux de protection les plus élevés qui soient contre les attaques par ingénierie sociale et par « personne du milieu » (aussi appelées « attaques de l’homme du milieu »).

Si elles ne sont pas en mesure de combiner et de déployer facilement diverses méthodes d’authentification sans mot de passe matérielles et logicielles, les banques courent le risque d’exclure des segments clés de leur clientèle.En bref, toute approche adoptée pour passer à une authentification sans mot de passe doit garder à l’avant-plan les attentes des clients en matière d’expérience d’ouverture de session, en plus de permettre de combiner diverses options d’authentification, qu’elles soient logicielles ou matérielles, afin de répondre aux mieux aux attentes de chaque groupe sur tous les canaux bancaires.

Une atténuation des fraudes sophistiquées

L’utilisation de l’authentification sans mot de passe pour offrir une excellente expérience client, c’est fantastique, mais ce n’est pas très utile si cette authentification ne prévient pas toute la gamme d’arnaques qui existent actuellement dans la vraie vie. Les attaques frauduleuses qui connaissent le plus de succès ne sont pas les attaques de force brute ou le code malveillant qui infiltrent les systèmes de gestion des identités et des accès ou les systèmes Active Directory dans les bureaux d’une entreprise. De nos jours, les attaques qui fonctionnent le mieux sont celles qui ciblent les clients bancaires (p. ex. : ingénierie sociale) et les applications bancaires mobiles (p. ex. : logiciels malveillants et chevaux de Troie).

Selon un rapport de Statista,les banques font partie des trois organisations les plus ciblées par les attaques par hameçonnage, et un autre rapport a démontré que les fraudes par hameçonnage visant les clients bancaires ont augmenté de 300 %. De plus, les trousses d’hameçonnage offertes pour la vente sur le Web clandestin — qui sont facilement accessibles — permettent aux criminels d’héberger facilement, rapidement et à peu de frais des sites d’hameçonnage qui activent des attaques ciblant les clients bancaires.

Les fraudes survenant dans le canal bancaire mobile sont aussi un élément important à prendre en compte. Selon une une étude d’Aite-Novarica, 65 % des consommateurs des États-Unis, du Royaume-Uni et de l’Allemagne accèdent à leur compte par l’entremise du canal mobile au moins une fois par semaine. Lorsqu’on se penche sur cette utilisation accrue du canal mobile, et qu’on la met en parallèle avec un sondage sur les opérations de développement et de sécurité qui démontre que 47 % des développeurs estiment que la sécurité est importante, mais n’ont pas de temps à y consacrer, une tendance alarmante se dégage : une utilisation accrue des appareils mobiles accompagnée d’une sécurité moindre mise en place dans les applications bancaires mobiles. Il est donc essentiel de protéger le flux de travail de l’authentification sans mot de passe et de garantir une authentification forte au sein de l’application bancaire.

Une solution complète d’authentification sans mot de passe qui gère ces risques de fraude est en mesure de combiner des facteurs d’authentification sans mot de passe avec des technologies complémentaires de sécurité. La solution optimale intègre une méthode à l’épreuve de l’hameçonnage, comme la technologie Cronto de OneSpan, ainsi qu’un blindage des applications, un canal sécurisé et une surveillance en continu de la session bancaire.

  • Cronto est une technologie robuste sans mot de passe, et comme elle est activée par la banque, elle lutte efficacement contre les attaques par hameçonnage.
  • Le blindage des applications protège l’application mobile contre le trafiquage, la rétro-ingénierie et les logiciels malveillants qui peuvent exposer les identifiants et alimenter les fraudes de contrôle de compte.
  • Le canal sécurisé offre une communication cryptée entre le client et le serveur qui prévient les attaques de « personne du milieu ».
  • La surveillance en continu de la session va plus loin que l’ouverture de session : elle accentue la sécurité pour toutes les autres activités « de la même session », par exemple un changement de bénéficiaire.

Même s’il ne fait aucun doute que les pirates disposent de tout un attirail d’outils pour prendre le contrôle de comptes et commettre des fraudes semblables, l’authentification sans mot de passe, associée à ces technologies complémentaires de sécurité, est parfaitement adaptée à la prévention des attaques, même les plus évoluées, tout en offrant la meilleure expérience client qui soit, exempte de toute friction.

Une plateforme d’authentification évolutive

Outre les différents types de technologies d’authentification sans mot de passe et la capacité de déceler et de prévenir les fraudes, les solutions d’authentification sans mot de passe doivent offrir une plateforme qui permet d’apporter des changements simples de façon ponctuelle au besoin.

L’exemple que je présente ci-dessous n’est peut-être pas le plus concret, mais laissez-moi vous l’expliquer. Nous sommes en 2017 et le NIST déclare officiellement que les SMS pour l’authentification à deux facteurs sont une solution obsolète. Pourquoi? Parce que les vulnérabilités de cette solution ont été bien documentées. Par exemple, il existe des défaillances dans les réseaux SS7 qui peuvent être utilisées pour intercepter ou réacheminer un message SMS contenant un mot de passe unique. Les pirates font aussi des « échanges de cartes SIM » : ils amènent par la ruse les fournisseurs de services mobiles à leur émettre une nouvelle carte bancaire en utilisant votre numéro de client bancaire, ce qui leur permet de recevoir tous les mots de passe uniques et d’accéder à votre compte.

Si vous êtes le directeur des TI ou de la sécurité de la banque et que vous utilisez les mots de passe uniques par SMS, que faites-vous dans cette situation? À quel point est-il simple de déployer une nouvelle méthode d’authentification? Quelles sont les répercussions sur les clients?

 

Pour bien des banques, la méthode et le flux de travail d’authentification des utilisateurs sont codés en dur. Autrement dit, tout changement apporté à la méthode d’authentification nécessiterait de recréer au complet le code de programmation de l’application bancaire et des flux d’authentification connexes. Évidemment, il s’agit là d’une dépense considérable pour la banque, et cette situation augmente les risques d’une perturbation des services offerts aux clients.

Une plateforme d’authentification sans mot de passe nuagique, véritablement souple, permet d’apporter à la volée des changements dynamiques aux méthodes d’authentification, qui peuvent être ensuite mis en production en quelques minutes seulement. De plus, il existe de nombreuses options plus sécurisées que les mots de passe uniques envoyés par SMS que vous pouvez utiliser dans votre authentification multi-facteurs sans mot de passe, notamment les notifications poussées, Cronto et l’authentification biométrique (c.-à-d. biométrie native de l’appareil, biométrie de tiers, biométrie comportementale, norme FIDO ouverte et toutes les prochaines générations de ces solutions).

Au final, si une méthode d’authentification devient vulnérable, les banques ont absolument besoin d’une plateforme qui permet d’apporter des changements rapidement et facilement sans que ces changements aient d’incidence sur leurs clients. Sans cette fonctionnalité, l’exposition aux fraudes augmente de façon exponentielle.

Obstacles aux solutions sans mot de passe

Les projets liés à la sécurité, comme l’authentification sans mot de passe, font toujours l’objet d’un examen étroit en termes de priorités pour les banques. Souvent, les questions ci-dessous sont soulevées : « Comment ce projet s’inscrit-il dans nos objectifs de croissance? » ou alors « Quelles sont les répercussions de ce projet sur nos coûts d’exploitation? »

L’importance de l’authentification sans mot de passe a pris un élan considérable au cours des dernières années. Cette attention accrue s’explique en grande partie par les initiatives de transformation numérique qui accordent la priorité à l’expérience client et qui, ce faisant, favorisent la croissance. En effet, un sondage récent de Forrester démontre que 66 % des décideurs du secteur bancaire prévoient de mettre en place des projets de transformation numérique, ou sont en train de les mettre en place ou d’en agrandir la portée. Ces projets ont pour but d’accroître les fonctionnalités et les expériences numériques dans les canaux numériques comme les appareils mobiles, ce que l’authentification sans mot de passe permet d’accomplir. Toujours en ce qui a trait à l’expérience utilisateur, 97 % des consommateurs affirment qu’une expérience simple et agréable est un critère important lorsqu’ils choisissent un prestataire de services, selon des recherches réalisées par Aite-Novarica.

L’approche de OneSpan en matière d’authentification sans mot de passe

L’approche qu’adopte OneSpan à l’égard de l’authentification sans mot de passe s’appuie sur plus de 30 ans d’expérience à titre de partenaire stratégique des plus grandes banques mondiales.

Les banques font appel à OneSpan pour obtenir des solutions sans mot de passe, car nous comprenons que le passage à l’authentification sans mot de passe est un cheminement, dont la clé est notre capacité à nous concentrer sur le point de départ idéal qui répond aux objectifs à court terme de chaque banque.

C’est précisément pour cette raison que nos solutions sont offertes sous forme de modules qui satisfont à des exigences particulières au besoin. L’organisation pourrait devoir migrer d’une plateforme matérielle à une plateforme logicielle et faire un déploiement hybride à moyen terme. Ou encore, l’organisation devra peut-être passer à la prochaine étape de son évolution en matière de sécurité, en remplaçant les mots de passe uniques par la biométrie, les notifications poussées, les applications d’authentification ou les codes Cronto cryptés. L’organisation pourrait même chercher à adopter une approche d’authentification sans mot de passe plus globale qui fait appel à des technologies de sécurité complémentaires qui peuvent sécuriser son application bancaire mobile (et les données bancaires de ses clients) grâce au blindage d’application et à la surveillance de session en continu qui peut déceler les activités anormales après l’ouverture de session et prévenir un nombre encore plus important d’attaques frauduleuses.

En somme, l’approche de OneSpan en matière d’authentification sans mot de passe se veut globale : elle tient compte de l’expérience utilisateur, de la gestion de la fraude et des coûts d’exploitation pour faciliter un accès sécurisé — ce qui, au final, permet aux banques d’atteindre leurs objectifs en respectant leurs échéances et leur budget.

Faits saillants

En conclusion, une solution complète sans mot de passe est tout indiquée pour surmonter les principaux défis auxquels les institutions financières sont confrontées : des fraudes sophistiquées, une expérience utilisateur qui laisse à désirer et des coûts d’exploitation élevés.

Cependant, n’oubliez pas que les solutions sans mot de passe ne sont pas toutes les mêmes, à l’instar des solutions de sécurité. Celles qui offrent la plus grande variété de méthodes d’authentification (matérielles et logicielles), qui préviennent les attaques modernes par hameçonnage et par logiciels malveillants et qui sont fondées sur une plateforme souple et rapide à déployer sont celles qui offrent les meilleures chances de succès aux banques qui souhaitent atteindre leurs objectifs commerciaux.

people in office
Blog

Authentification avancée : un plan d’attaque pour votre pile d’authentification

Comment les banques mettent en œuvre l’authentification avancée, surmontent les réticences à investir et obtiennent l’adhésion des dirigeants.

En savoir plus

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.