NewB a mis en œuvre la sécurité pour les services bancaires numériques en quelques semaines - voici comment vous pouvez faire de même
NewB est la première nouvelle banque en Belgique depuis 40 ans. Une banque entièrement numérique, NewB dessert ses membres exclusivement par l’entremise de son portail en ligne et de son application mobile bancaire. NewB a pour mandat de favoriser des services bancaires et durables. Chacun des membres de la banque — qui est une coopérative — est partiellement propriétaire de la banque, et a donc son mot à dire dans la façon dont la banque est gérée, quelle que soit la taille de son investissement dans la banque.
Nous présentons ici le récit des mois qui ont mené au lancement des services bancaires numériques de NewB sur le marché. NewB était aux prises avec un échéancier très serré pour la mise en œuvre de la sécurité numérique. Il était essentiel que la banque mette en place les mesures appropriées de cybersécurité afin de protéger ses membres et de répondre aux exigences de conformité en matière de sécurité. Après tout, les membres allaient utiliser les applications numériques de NewB pour effectuer leurs activités bancaires quotidiennes : confier leur épargne à NewB, demander des prêts personnels et utiliser NewB pour payer des factures et transférer des fonds.
Pour atteindre ses objectifs en matière de sécurité numérique, NewB devait suivre un cheminement qui lui demandait de répondre à des questions fondamentales, par exemple : quelle est la technologie d’authentification appropriée pour protéger nos membres et nos transactions? Et avec quel fournisseur d’outils de sécurité devons
Le défi : comment mettre rapidement en place une sécurité conforme à la DSP2 pour les services bancaires numériques
Pour commencer, il était essentiel pour NewB de se conformer à la directive DSP2. La DSP2 a pour but de s’assurer que les concepts d’authentification avancée, comme les liaisons dynamiques, deviennent les outils standard de sécurité dans le secteur des services financiers. Voici quelques-unes des exigences les plus importantes de la DSP2 en matière d’authentification forte client :
- Authentification à deux facteurs (2FA) : Afin de s’assurer que seul(s) le ou les propriétaire(s) légitime(s) d’un compte bancaire puissent y accéder et accéder aux services en ligne, l’authentification 2FA ou l’authentification multifacteurs (MFA) est la première ligne de défense.
- Liaison dynamique : Aussi appelée « autorisation de transaction », la liaison dynamique a pour but de protéger les consommateurs contre l’ingénierie sociale et les autres attaques pendant lesquelles les cybercriminels interceptent des paiements et des transferts de fonds légitimes afin de rediriger l’argent vers le compte bancaire du fraudeur.
- Indépendance des éléments d’authentification: : Lorsque l’application mobile de la banque est utilisée pour authentifier un client ou une transaction, le fournisseur de services financiers doit faire appel à des environnements d’exécution sécurisés pour ses applications mobiles. L’une des meilleures façons d’y parvenir est d’utiliser une technologie de blindage d’application.
NewB ne pouvait pas se permettre le luxe d’opter pour un long échéancier pour la préparation et la mise en œuvre de solutions technologiques pour se conformer à ces exigences. Lorsque la banque a obtenu un permis bancaire en janvier 2020, elle devait agir rapidement pour mettre la sécurité en place.
« En Belgique, en vertu de la loi, une fois que nous obtenons un permis bancaire, nous devons commencer nos activités bancaires au plus tard un an après l’obtention de ce permis. Cela signifiait donc que nous devions offrir nos activités bancaires d’ici la fin de janvier 2021 », explique Adrien Liénard, chargé de projets à NewB.
Il était crucial que toutes les étapes soient accomplies à temps. Il ne devait y avoir aucun délai qui nuirait à la possibilité d’introduire la nouvelle banque sur le marché. NewB devait choisir un fournisseur de solutions de sécurité et lancer ses activités au début de novembre 2020, puisque c’est à ce moment qu’elle allait être reliée au système de paiements européen.
Dès janvier 2020, le compte à rebours était commencé pour trouver la technologie appropriée – offerte par un fournisseur ayant des antécédents de succès en matière de déploiement de la solution dans les institutions bancaires.
Identification de la solution : quelle est la meilleure technologie pour atteindre nos objectifs?
En plus de devoir trouver les technologies appropriées pour se conformer aux exigences d’authentification forte client de la DSP2, NewB devait mettre ces technologies en œuvre en quatre mois. Avec un tel échéancier, il faut utiliser des solutions infonuagiques. Les solutions infonuagiques sont rapides à déployer, faciles à gérer et prennent en charge de nombreuses méthodes d’authentification. Et si NewB pouvait trouver une solution fondée sur une seule API de type REST, elle savait que la configuration serait simple et qu’elle pourrait lancer ses activités plus rapidement.
La première solution que NewB a mise en œuvre a été OneSpan Cloud Authentification. Pour NewB, l’un des principaux avantages de cette solution est qu’elle peut être déployée en quelques semaines sans qu’il soit nécessaire d’acheter, d’obtenir et de déployer des infrastructures TI. Il s’agit là d’un avantage considérable par rapport aux déploiements sur site, qui peuvent prendre jusqu’à un an selon les ressources, le budget et d’autres facteurs. Deuxième avantage : OneSpan Cloud Authentication est conçu pour répondre aux exigences d’authentification forte client de la DSP2 dès le départ, y compris l’authentification multi-facteurs, les liaisons dynamiques, la sécurité mobile et des technologies biométriques comme Touch ID sur un iPhone Apple ou le lecteur d’empreinte digitale sur Android.
OneSpan Cloud Authentication offre de nombreuses options de sécurité pour les services bancaires numériques. Les technologies Cronto et Mobile Security Suite de OneSpan étaient les solutions qui répondaient à toutes les exigences de NewB, comme l’indique Adrien Liénard. Ces solutions ont offert à NewB la sécurité dont elle avait besoin pour protéger les titulaires de comptes contre les attaques frauduleuses, tout en lui permettant de fournir l’expérience de services bancaires modernes à laquelle les membres s’attendent de la part d’une banque numérique.
1. Technologie Cronto
Lorsqu’elle a conçu son expérience d’authentification client, NewB a choisi deux méthodes d’authentification : la solution d’autorisation de transaction CrontoMD pour les appareils mobiles et son équivalent matériel, l’authentificateur DigipassMD 772.
L’expérience utilisateur offerte par une banque numérique sur un téléphone mobile doit être exceptionnelle. Or, du point de vue de l’expérience utilisateur, l’une des exigences de sécurité les plus complexes à mettre en œuvre est la liaison dynamique. Le défi à relever se résume par cette question : comment mettre en place la liaison dynamique d’une manière qui sera à la fois conforme et facile d’utilisation pour les clients de la banque?
L’une des façons les plus largement acceptées pour mettre en place cette liaison est l’utilisation d’un code couleur semblable à un code couleur, appelé « Cronto ».
Lorsque la banque envoie les données relatives à une transaction financière ou à un paiement au client à des fins de vérification et d’autorisation, ces données sont cryptées à l’intérieur du code Cronto. Le client décrypte les données en numérisant le cryptogramme à l’aide de son téléphone intelligent ou de son dispositif matériel. Si un logiciel malveillant de type « cheval de Troie » est présent sur l’ordinateur du client, ce logiciel ne sera pas en mesure de modifier les données qui se trouvent dans le code visuel. Cette approche permet aux institutions financières de se conformer aux exigences de liaison dynamique de la directive DSP2.
La fonctionnalité Cronto est offerte à la fois sous forme logicielle et sous forme matérielle. Cette particularité permet aux membres de la banque de choisir leur méthode d’authentification de prédilection et permet à la banque d’uniformiser l’expérience client et à sécurité pour l’ensemble de sa clientèle. Comme l’explique Adrien Liénard, « la principale raison pour laquelle nous avons choisi Cronto est la convivialité, ainsi que la possibilité d’offrir la même expérience client à tous nos membres. Les facteurs déterminants ont été le coût, la convivialité et le fait que Cronto nous permettait de lancer nos activités bancaires avant que nos cartes de débit ne soient disponibles. »
2. Mobile Security Suite
La deuxième composante de la solution de NewB était OneSpan Mobile Security Suite (MSS), qui permet aux développeurs d’applications mobiles d’intégrer des fonctionnalités supplémentaires de sécurité de façon native dans leurs applications bancaires mobiles. Parmi des fonctionnalités de sécurité mobile, NewB utilise la capacité de blindage d’application mobile pour protéger l’application bancaire mobile qu’elle a mise au point.
Le blindage des applications mobiles est une technologie faible en code qui protège les applications contre les menaces de cybersécurité bancaires mobiles comme les chevaux de Troie, les techniques de rétro-ingénierie, les fraudes liées à l’exécution et les autres méthodes que les fraudeurs utilisent pour voler des identifiants bancaires, des données sensibles ou des données personnelles et pirater les transactions bancaires. Le blindage crée également un environnement d’exécution sécuritaire qui permet aux applications mobiles de fonctionner en toute sécurité même sur des appareils mobiles non sécurisés, comme ceux qui ont été débridés.
Cette technologie a pour objectif précis de rendre l’application conforme à la DSP2. La directive DSP2 exige que les applications bancaires mobiles utilisées dans le cadre des processus d’authentification atténuent le risque qu’un fraudeur fasse une rétro-ingénierie de l’application pour découvrir, et possiblement reproduire, le jeton secret utilisé pour produire un code d’authentification. Le blindage d’application mobile de OneSpan protège l’application bancaire de NewB contre le clonage. Autre avantage du blindage : l’application est aussi protégée contre les cyberattaques de reconditionnement.
Choix du fournisseur : Auprès de quel fournisseur de sécurité devrions-nous acheter notre solution?
Après avoir évalué les principaux fournisseurs de solutions de sécurité, NewB a choisi OneSpan. « L’expertise et la réputation d’un partenaire sont tout aussi importantes que les fonctionnalités de la solution proprement dite, affirme Adrien Liénard de NewB. Les autorités vont analyser les nouvelles banques au peigne fin; ça fait partie de la réalité d’être un nouvel intervenant sur le marché. Nous savons qu’elles étudient NewB et que ça les rassure de nous voir collaborer avec des partenaires de confiance. OneSpan travaille avec la plupart des banques de la Belgique, et choisir OneSpan nous a donné de la crédibilité auprès de la Banque nationale.
La réputation de OneSpan sur le marché, son expertise en matière de sécurité et son expérience en lien avec la DSP2 ont fait une véritable différence pour nous. Par exemple, dernièrement, nous avons dû présenter un rapport sur la DSP2 à la Banque nationale. Nous avons demandé de l’aide à OneSpan, et 24 heures plus tard, nous avions les réponses. Ça a été une valeur ajoutée pour nous de savoir que OneSpan était là pour nous aider. »
NewB a également choisi MAINSYS comme partenaire d’intégration pour ce projet. MAINSYS fournit le système bancaire de base de NewB, et est une entreprise belge de services de TI et de logiciels qui se spécialise dans les plateformes numériques pour le secteur financier.
« Les contraintes de temps étaient exigeantes, alors nous avons accordé la priorité à la mise en œuvre de la technologie Cronto et des authentificateurs Digipass de OneSpan pour les services bancaires en ligne. Une fois cette mise en œuvre terminée, nous avons entrepris la phase 2, c’est-à-dire le développement de l’application mobile, explique Mathieu Latour, chargé de projets à MAINSYS.
Il était très important pour NewB que les membres qui n’avaient pas de téléphone cellulaire puissent s’authentifier de façon sécuritaire tout aussi facilement que ceux qui possèdent un cellulaire. OneSpan répond à cette exigence en offrant sa solution à la fois en format logiciel et en format matériel, ce qui permet de fournir la même expérience utilisateur et les mêmes processus d’authentification à tous les utilisateurs. Cette particularité a fait la différence – en plus d’aider à raccourcir l’échéancier de mise en œuvre. »
Dernières réflexions
Dans un contexte où tous les secteurs d’activités cherchent à mettre en place des processus et des environnements TI modernes, l’authentification infonuagique présente, pour le secteur bancaire, la possibilité de réaliser très rapidement des gains d’efficacité. L’authentification infonuagique offre aux institutions financières une solution facile à déployer et abordable, qui présente tous les avantages habituels d’un déploiement dans le nuage. En cette époque où les fraudes dans les canaux numériques augmentent à vue d’œil et où l’expérience client est primordiale, le nuage mérite d’être envisagé sérieusement. L’authentification infonuagique peut aider à protéger vos canaux numériques contre les pirates, l’hameçonnage, les fuites de données, les rançongiciels, le vol d’identité, la prise de contrôle de comptes et d’autres cybercrimes.
Selon David Vergara, directeur principal du marketing des produits de sécurité à OneSpan, « les avantages, ce sont véritablement la vitesse, la souplesse et la simplicité qui caractérisent le nuage lorsqu’il s’agit de fournir une méthode permettant d’ajouter de nouvelles technologies pour prévenir la fraude et gérer les autres risques de sécurité. Et en réalité, les plateformes sont exceptionnellement bien adaptées à l’intégration de technologies d’authentification et de sécurité et elles rendent ces mesures de cybersécurité disponibles très rapidement pour les banques et les entreprises de technologies financières. »
Pour en apprendre plus au sujet de la façon dont NewB a mis en œuvre la technologie infonuagique de OneSpan dans ses processus d’expérience client et d’authentification pour protéger les renseignements financiers personnels de ses membres, lisez l’étude de cas complète.