Comment Raiffeisen Italy a instauré une méthode d'authentification et de blindage des applications mobiles pour se conformer à la directive DSP2

Jeannine Mulliner, octobre 22, 2018

Raiffeisen Italy est l'organisation mère de 40 entités de la Raiffeisen Bank, dans la province italienne du Tyrol du Sud. Alexander Kiesswetter, directeur des systèmes d'information et du numérique chez Raiffeisen et chargé de la supervision des services informatiques des banques membres, a modernisé le système d'authentification de Raiffeisen Italy pour se conformer à la directive révisée sur les services de paiement (DSP2). Dans le cadre de cette initiative, Raiffeisen Italy a commencé à utiliser une application mobile autonome pour authentifier les utilisateurs de manière sécurisée. Celle-ci a été élaborée en marque blanche grâce à la OneSpan Mobile Security Suite, puis adaptée à la marque Raiffesien.

Si la conformité à la directive DSP2 est le principal moteur de cette initiative, l'adoption rapide de la banque numérique et mobile a motivé Raiffeisen Italy à offrir à ses clients une sécurité forte tout en fluidifiant leur expérience. En réalité, les clients sont las de devoir sortir leur carte bancaire et leur dispositif d'identification à la moindre transaction : ils préfèrent s'authentifier grâce à leur appareil mobile.

« L'omniprésence du mobile est la pierre angulaire de notre stratégie de transformation numérique. Pour la première fois, nous bénéficions d'une solution qui nous permet de migrer nos services entièrement sur smartphone, avec une authentification qui ne nécessite pas d'outils supplémentaires. Désormais, le code PIN n'est plus la seule clé d'authentification : on peut aussi passer par Face ID et Touch ID », explique Alexander Kiesswetter.

Les exigences de conformité DSP2

En tant que responsable des systèmes numériques, Alexander Kiesswetter a été confronté à deux défis : la conformité à la directive DSP2 et un système d'authentication vieillissant, que les consommateurs jugeaient compliqué.

La conformité à la directive DSP2 est de la plus haute importance pour les institutions financières en Europe. Les sociétés financières doivent se conformer aux prescriptions relatives à l'authentification forte du client et à l'analyse des risques des transactions. Par ailleurs, Raiffeisen Italy était tenue de respecter deux autres exigences de la directive DSP2 :

  • L'authentification dynamique : pour les transactions impliquant un paiement à distance, la directive DSP2 oblige les institutions financières à appliquer une authentification qui lie de manière dynamique la transaction au montant et au bénéficiaire. Au fil du processus d'authentification, la confidentialité, l'intégrité et l'authenticité des informations de paiement doivent être protégées, et l'utilisateur doit être mis au courant du montant et de l'identité du bénéficiaire.
  • La protection contre la duplication : si une banque intègre une application mobile dans son processus d'authentification, elle doit faire en sorte de réduire le risque qu'une personne attaque l'application par rétro-ingénierie, pour se procurer la clé secrète à partir de laquelle est généré le code d'authentification et la copier. Dès lors, les institutions financières sont tenues de protéger leurs possessions (ici, l'application) de la copie.

En parallèle, la banque souhaitait proposer une expérience d'authentification plus agréable à ses clients. Malheureusement, elle s'est retrouvée tiraillée entre la sécurité et la facilité d'utilisation. Face à un tel dilemme, c'est la sécurité qui l'emporte, au détriment de l'expérience client. Le système d'authentification était hautement sécurisé, mais les clients se plaignaient de son manque de praticité.

« Jusqu'à ce que nous commencions à utiliser OneSpan, notre attention était centrée sur la sécurité. Nous utilisions donc des dispositifs d'authentification par carte bancaire, parce que nous ne savions pas s'il existait une alternative suffisamment sécurisée », déclare Alexander Kiesswetter.

Évaluation et sélection des offres

Pour Raiffeisen Italy, choisir des outils à la pointe de la technologie et un réseau adéquat de partenaires de sécurité informatique est le secret de la réussite. La banque n'ayant jamais envisagé d'élaborer un système interne, M. Kiesswetter a donc chargé deux équipes de trouver des solutions :

  • Un premier groupe de techniciens informatiques a sélectionné un logiciel d'authentification.
  • Pour régler le problème de la sécurité des applications mobiles, on a rassemblé dans l'équipe d'évaluation le responsable de la protection des informations, un architecte IT et des représentants des départements risques et conformité, développement logiciel et assistance client.

« Au cours du processus de sélection, nous avons évalué différentes entreprises. La grande différence entre OneSpan et les autres fournisseurs, c'est que ses solutions présentent une sécurité et une conformité de haut niveau tout en restant agréables à utiliser. »

Activation de la surveillance des fraudes conforme à PSD2 avec OneSpan Risk Analytics
PAPIER BLANC

Activation de la surveillance des fraudes conforme à PSD2 avec OneSpan Risk Analytics

Les nouvelles exigences PSD2 exigent que les organisations de services financiers effectuent une surveillance des transactions. Découvrez les exigences spécifiques et la manière dont OneSpan Risk Analytics peut vous garantir la conformité dans ce livre blanc.

Télécharger

Une solution en deux temps

Grâce à la bibliothèque d'API OneSpan Mobile Security Suite, Raiffeisen Italy a mis en place l'authentification des transactions pour protéger le parcours de ses clients de la fraude en ligne. L'entreprise a également instauré un blindage des applications mobiles pour renforcer son application d'authentification sur ce canal.

« Nous avons opté pour les solutions innovantes de OneSpan car elles offrent une haute sécurité tout en restant très pratiques. En général, il est très difficile de combiner la sécurité et la facilité d'utilisation ; ici, plus besoin de compromis. Nous voulions innover et simplifier l'expérience client. Dans ce projet, nous avons pu profiter des deux avantages à la fois », conclut A. Kiesswetter.

La solution de OneSpan a permis à la banque de respecter les exigences de la directive DSP2 en matière de :

  • Authentification dynamique  : la banque a opté pour la technologie Cronto®, qui exploite un cryptogramme coloré représentant les données de transaction chiffrées. Utilisé par diverses banques en Europe et dans le reste du monde, le système Cronto répond aux exigences d'authentification de la directive DSP2 (notamment, l'authentification dynamique) pour protéger les transactions financières en affectant très peu l'expérience utilisateur.

    Voici un exemple d'expérience d'authentification de transaction >>
     
  • Protection contre la duplication : dans le cadre de sa stratégie centrée sur le mobile, Raiffeisen Italy a lancé une application bancaire mobile qui permet d'authentifier les utilisateurs tout en les protégeant. La banque a fait figure d'exemple en Italie, en protégeant son application via des mesures de sécurité des applications mobiles, et plus précisément un blindage avec protection d'exécution (runtime protection). Cette technologie protège l'application mobile contre diverses menaces d'exécution. Elle met en place un environnement d'exécution sécurisé pour les applications mobiles, qui leur permet de fonctionner sur les appareils les moins fiables.

    Voici une vidéo consacrée au blindage des applications mobiles >>

Les avantages

Raiffeisen Italy a reçu des retours positifs de la part de ses clients, qui ont adopté en masse la nouvelle application d'authentification.

« Nos clients considèrent à nouveau Raiffeisen comme une banque innovante, souligne A. Kiesswetter. D'après ce que j'ai entendu, les clients sont très satisfaits de la nouvelle fonctionnalité. Nous avons organisé un lancement marketing de la nouvelle application d'authentification. Dès sa sortie, la demande et l'activation étaient élevées – autant de signaux positifs qui semblent indiquer que le marché l'a accueillie à bras ouverts. »

« Mon conseil aux autres banques serait de débuter leur transformation numérique directement au point de contact avec le client. C'est là que l'innovation est la plus cruciale. »

Les extraits de cet article sont tirés de l'étude de cas relative à la directive DSP2 chez Raiffeisen Italy, intitulée Raiffeisen Italy Implements Mobile Authentication & Mobile App Shielding for PSD2 Compliance and Ease of Use.

Depuis 20 ans, Jeannine écrit sur la technologie et comment l'appliquer pour résoudre les défis quotidiens. Dans son rôle de directrice de contenu chez OneSpan, Jeannine dirige une équipe de rédacteurs et de développeurs de contenu visant à aider les institutions financières et autres organisations à tirer parti des solutions de sécurité et de signature électronique. Jeannine détient un baccalauréat en rédaction professionnelle de l'Université de Sherbrooke.