Résumé
Objectifs de l'entreprise
En tant que nouvelle banque exclusivement numérique, il était essentiel que la banque mette en œuvre la bonne sécurité pour établir la confiance et protéger sa marque.Le défi
La banque numérique avait besoin de solutions d'authentification et de sécurité mobile éprouvées, mises en œuvre dans un délai très court. Sa licence bancaire étant en jeu, les retards n'étaient pas envisageables.
La solution
- OneSpan Cloud Authentication
- OneSpan Mobile Security Suite
- OneSpan Mobile App Shielding
Les résultats
- Forte protection contre l'ingénierie sociale, les chevaux de Troie bancaires, les logiciels malveillants mobiles et d'autres attaques
- Mise en œuvre avant la date limite
- Mise en service de la solution d'authentification en 4 mois
- Protection des applications mobiles configurée et déployée en quelques jours
- Conformité avec la directive PSD2 facilitée
- Rentabilité et convivialité
- Agilité et rapidité de l'infrastructure en nuage
Cette banque numérique a été la première nouvelle banque en Belgique en 40 ans. En tant que banque numérique, elle sert ses clients exclusivement par le biais de son portail en ligne et de son application mobile. Ce qui différencie cette banque, c'est sa vision. Il s'agit d'une banque coopérative éthique qui sert la société en investissant dans des projets qui respectent la planète et les droits de l'homme. En tant que coopérative, chaque membre a son mot à dire, quelle que soit la taille de son investissement dans la banque ; les membres sont les propriétaires et ils décident de la manière dont leur argent sera géré au sein de la banque.
Bien que cette banque soit une nouvelle venue dans le secteur bancaire, sa réussite est le fruit de sept années de travail. La banque a surmonté de nombreux défis et, après des années de dur labeur, elle a officiellement commencé à opérer en tant que banque agréée en 2020.
La course à la licence bancaire
Si la banque a d'abord vu le jour sous la forme d'un mouvement social en Belgique en 2013, ce n'est qu'en 2016 qu'elle a lancé sa première offre. En 2018, la banque a introduit des produits d'assurance sur le marché. À partir de là, la coopérative a commencé à préparer le terrain pour obtenir une licence bancaire.
En octobre 2019, l'Autorité des services et marchés financiers a approuvé le prospectus de la banque et a commencé à lever desfonds1. Elle devait lever 30 millions d'euros avant la fin du mois suivant. Si la banque ne parvenait pas à atteindre cet objectif, la Banque centrale européenne ne lui accorderait pas de licence bancaire.
Avec l'aide de plus de 70 000 investisseurs - particuliers, agences gouvernementales et entreprises - la banque a levé un total de 35 millions d'euros. La coopérative a obtenu sa licence bancaire en janvier 2020 et a commencé à recruter officiellement des membres. Dix mois plus tard, en novembre 2020, les premiers titulaires de compte ont pu voir leur salaire déposé sur leur compte bancaire.
Aujourd'hui, la banque propose des comptes personnels, des prêts personnels et tous les services de paiement standard. Les consommateurs utilisant les applications numériques de la banque, il était essentiel que la banque mette en œuvre la bonne sécurité pour protéger les membres contre l'ingénierie sociale, les logiciels malveillants mobiles et d'autres types d'attaques frauduleuses.
Le prochain défi : Trouver le bon fournisseur de sécurité numérique
L'obtention d'une licence bancaire a déclenché une étape cruciale : l'évaluation des fournisseurs de sécurité pour l'authentification forte des clients, la liaison dynamique, le blindage des applications mobiles et les solutions de liaison des appareils.
"Nous devions prendre une décision quant au partenaire avec lequel nous allions travailler et nous devions ensuite mettre en œuvre très rapidement", explique Adrien Liénard, chef de projet à la banque. "Bien que nous ayons eu des contacts avec des fournisseurs de sécurité en 2019, nous n'avions pas de licence bancaire à ce moment-là. Nous avons dû attendre que la licence bancaire soit délivrée avant de signer un accord et de commencer la mise en œuvre."
La première étape a consisté à identifier le bon fournisseur de technologie de sécurité. La banque avait besoin d'un partenaire solide ayant une grande expérience du secteur bancaire, un portefeuille de solutions de sécurité éprouvé et des antécédents de mises en œuvre réussies.
La licence bancaire de la banque étant en jeu, il n'était pas question de faire des compromis sur la sécurité ou le calendrier. OneSpan a relevé ce défi en proposant une sécurité de haute qualité, déployée en avance sur le calendrier.
En outre, la banque ne pouvait risquer aucun retard car sa licence bancaire était en jeu. "En Belgique, la loi prévoit que lorsque vous obtenez une licence bancaire, vous disposez d'un an pour commencer vos activités bancaires. Cela signifie que nous devions commencer nos activités bancaires avant la fin du mois de janvier 2021", explique Adrien Liénard.
Il était essentiel que tout se passe rapidement et dans les temps. Il ne pouvait y avoir aucun retard susceptible d'affecter la capacité à lancer la nouvelle banque. De plus, les dirigeants de la banque avaient annoncé lors de la campagne de collecte de fonds qu'ils lanceraient la banque en 2020. Le respect du délai n'était pas seulement une question de conformité légale, mais aussi de confiance du public.
Après avoir évalué les principaux fournisseurs de solutions de sécurité, la banque a choisi OneSpan pour sa solution d'authentification.
"L'expertise et la réputation d'un partenaire sont tout aussi importantes que les capacités de la solution elle-même", explique Adrien Liénard. "Les autorités vont examiner de près les nouvelles banques, cela fait partie de la nouveauté sur le marché. Nous savons qu'elles examinent la banque et cela les rassure de nous voir travailler avec des partenaires de confiance. OneSpan travaille avec la plupart des banques en Belgique et cela nous a donné de la crédibilité aux yeux de la Banque Nationale"
La banque a également choisi MAINSYS comme partenaire d'intégration pour ce projet. MAINSYS, qui fournit le système bancaire central de la banque, est une société belge de services informatiques et de logiciels spécialisée dans le secteur financier.
Conformité PSD2, avec une forte défense contre la fraude
La nécessité d'authentifier les transactions financières à l'aide d'une liaison dynamique est l'une des principales exigences de la PSD2.
Les législateurs ont introduit cette exigence pour empêcher les cybercriminels de modifier les transactions après l'authentification du payeur. Une telle attaque pourrait transformer un virement authentique de 100 euros à un ami en un virement frauduleux de 1 000 euros à un imposteur. La directive PSD2 précise que, dans le cas d'une opération de paiement, le code d'authentification doit être dynamiquement lié à deux points de données : la valeur de l'opération et le bénéficiaire. Si l'un ou l'autre change au cours de la transaction, le code d'authentification doit également changer. En outre, les informations de paiement doivent être échangées via un canal sécurisé et être clairement présentées à l'utilisateur.
La technologie Cronto de OneSpan permet aux banques de se conformer à ces exigences d'une manière simple et rapide pour les utilisateurs.
Authentification basée sur le cloud : Rapidité et agilité
La première solution mise en œuvre a été OneSpan Cloud Authentication (OCA). OneSpan Cloud Authentication offre des options d'authentification étendues. Elle offre la sécurité dont la banque a besoin pour protéger ses membres contre les attaques frauduleuses, avec l'expérience moderne que les membres attendent d'une banque exclusivement numérique.
Lors de la conception de son expérience d'authentification, la banque a choisi deux méthodes d'authentification : la solution logicielle de signature des transactions Cronto® et son équivalent matériel, les authentificateurs matériels Digipass® 772.
La technologie Cronto offre le meilleur des deux mondes
En tant que nouvelle startup, la banque est très soucieuse de ses coûts et a dû soigneusement réfléchir aux méthodes d'authentification qu'elle choisirait.
En Belgique, la plupart des banques utilisent des lecteurs de cartes bancaires. La banque a évalué cette option, mais dans son cas, ce type de dispositif d'authentification présentait des inconvénients. Étant donné que la banque ne prévoyait pas d'émettre une carte de débit avant juin 2021, choisir l'option du lecteur de carte aurait signifié que les membres n'auraient pas pu commencer à effectuer des transactions immédiatement en janvier 2021, lorsque la banque a ouvert ses portes.
La banque souhaitait également éviter les dépenses liées à l'envoi de dispositifs matériels à chaque membre.
La réputation de OneSpan sur le marché, son expertise en matière de sécurité et son expérience de la PSD2 ont fait toute la différence pour nous. Par exemple, nous avons récemment dû envoyer un rapport PSD2 à la Banque nationale. Nous avons demandé de l'aide à OneSpan et en 24 heures, nous avons eu les réponses. C'était une valeur ajoutée pour nous, car nous savions que nous avions besoin d'une assistance technique
OneSpan nous soutient.
C'est alors que la banque a découvert la technologieCronto de OneSpan. Cronto est une technologie d'authentification hors bande qui aide les institutions financières à réduire la fraude. Elle réduit le risque d'ingénierie sociale, où les clients peuvent être amenés à révéler un code d'authentification, et protège également contre les chevaux de Troie bancaires, une technique utilisée par les criminels pour intercepter les informations d'identification bancaire et manipuler les transactions financières
Cronto affiche à l'écran un code de type QR que les clients scannent avec leur téléphone ou un authentificateur matériel pour s'authentifier rapidement et en toute sécurité. Contrairement aux lecteurs de cartes, la fonctionnalité de Cronto est disponible à la fois dans le logiciel et dans le matériel. Les membres peuvent ainsi choisir leur mode d'authentification, tout en conservant la même expérience utilisateur et la même sécurité pour l'ensemble de leur clientèle.
C'était d'autant plus intéressant pour la banque que beaucoup de ses membres - mais pas tous - sont des utilisateurs mobiles et qu'une option d'authentification logicielle éliminerait la nécessité d'envoyer des lecteurs de cartes par courrier ou par coursier à la majorité de sa base de clients.
"Cette réduction des coûts a été un grand avantage pour nous", explique M. Liénard.
En outre, la technologie Cronto de OneSpan a permis d'éliminer la charge de travail administratif liée à l'émission de lecteurs de cartes pour les membres qui n'ont pas de smartphone. Le Digipass 772 étant un dispositif non personnalisé, il n'est pas nécessaire de l'attribuer manuellement à un membre au préalable, comme c'est le cas pour un lecteur de carte. Cela a facilité la gestion pour la banque, car elle peut envoyer en masse des Digipass, et chaque membre l'active lui-même en ligne via un portail en libre-service. Le processus d'activation relie le dispositif matériel au profil d'utilisateur de l'individu.
"La principale raison pour laquelle nous avons choisi Cronto est la convivialité et le fait que l'expérience utilisateur soit la même pour tous. Les facteurs décisifs étaient le coût, la convivialité et le fait qu'il nous permettrait de lancer la banque avant que nos cartes de débit ne soient disponibles"
L'expérience utilisateur
À la banque, les deux cas d'utilisation de l'authentification sont la connexion sécurisée et la signature des transactions.
VOICI COMMENT CELA FONCTIONNE :
Les membres qui possèdent un smartphone :
Pour les services bancaires en ligne : Les membres peuvent utiliser leur téléphone portable pour scanner un code Cronto affiché sur le portail de la banque en ligne. Cela génère un code d'accès unique (OTP) sur le smartphone. Le membre saisit ensuite l'OTP dans sa session de banque en ligne et il est connecté avec succès ou la transaction est autorisée.
Le code de sécurité étant généré par un canal différent, indépendant de la session de banque en ligne, il est considéré comme hors bande. L'authentification hors bande améliore la sécurité car elle rend plus difficile la violation d'un compte en raison de deux canaux d'authentification distincts et non connectés qui devraient être compromis simultanément pour qu'un pirate puisse accéder au compte.
Pour les services bancaires mobiles : Dans l'application mobile de la banque, les membres saisissent un code PIN ou un facteur biométrique (par exemple, scan facial, empreinte digitale) pour se connecter à l'application ou autoriser une transaction dans l'application.
Les membres qui n'ont pas de smartphone :
Si un membre n'a pas de smartphone, il utilisera un appareil Digipass 772 pour scanner le code de type QR.
Déploiement en avance sur le calendrier
"Nous avons commencé l'intégration en juillet. L'objectif était d'être opérationnel au début du mois de novembre 2020, car c'est à ce moment-là que nous serions connectés au système de paiement en Europe. Il était essentiel que nous soyons connectés à cette date", explique Adrien Liénard.
Toute l'intégration du canal de banque en ligne a été réalisée en quatre mois. La première réunion technique entre la banque, MAINSYS et OneSpan a eu lieu en mars 2020. Cet été-là, la solution OneSpan a été mise en œuvre et la banque en ligne de la banque a été connectée.
"Nous avons donc donné la priorité à l'implémentation de la technologie Cronto de OneSpan et des authentificateurs Digipass pour la banque en ligne. Une fois cette étape terminée, nous avons entamé la phase 2, à savoir le développement mobile", explique Mathieu Latour, chef de projet chez MAINSYS. "Il était très important pour la banque que les membres ne possédant pas de téléphone portable puissent s'authentifier en toute sécurité aussi facilement que ceux qui en ont un. OneSpan résout ce problème en proposant sa solution à la fois sous forme de logiciel et de matériel, ce qui offre la même expérience utilisateur et les mêmes flux d'authentification à tous les utilisateurs. C'est ce qui a fait la différence et qui a permis de raccourcir le délai de mise en œuvre
La composante "Mobile App Shielding" de la solution de la banque
Le deuxième élément de la solution de la banque est la OneSpan Mobile Security Suite (MSS), qui permet aux développeurs d'applications mobiles d'intégrer des fonctions de sécurité supplémentaires à leur application. Parmi ces fonctions de sécurité mobile, la banque a choisi la fonction de protection des applications mobiles.
"Il ne nous a fallu que quelques jours pour configurer la fonction de protection des applications mobiles de OneSpan afin de protéger l'application bancaire mobile de la banque que nous venions de développer", explique Mathieu Latour.
Le Mobile App Shielding est une technologie à code bas qui protège contre les derniers chevaux de Troie bancaires mobiles, les techniques de rétro-ingénierie, plusieurs types de menaces d'exécution et les méthodes utilisées par les attaquants pour voler les informations d'identification bancaires et détourner les transactions bancaires. Il crée également un environnement d'exécution sécurisé, permettant aux applications mobiles de fonctionner en toute sécurité, même sur des appareils mobiles non fiables tels que ceux qui ont été jailbreakés.
La conformité à la directive PSD2 est l'une des raisons qui ont poussé la banque à mettre en place un bouclier pour les applications mobiles. Connue sous le nom de "protection contre la réplication", cette exigence de la DSP2 stipule que si une banque choisit d'utiliser une application mobile dans le cadre de ses flux d'authentification, elle doit prendre des mesures pour atténuer le risque qu'un attaquant procède à une ingénierie inverse de l'application pour découvrir et potentiellement reproduire le secret du jeton utilisé pour générer un code d'authentification. Par conséquent, pour se conformer à la directive PSD2, les banques doivent protéger l'application contre le clonage. En outre, le bouclier applicatif protège également l'application contre les attaques par reconditionnement.
Le bouclier applicatif permet d'atteindre cet objectif grâce à une combinaison d'approches préventives, de détection et réactives. L'obscurcissement du code en est un exemple. Pour atténuer le risque de rétro-ingénierie de l'application par les attaquants, l'obscurcissement du code augmente le temps et les efforts nécessaires à la rétro-ingénierie. La protection au moment de l'exécution est un autre exemple. La protection de l'application détecte les attaques au moment de l'exécution, comme les tentatives d'altération de l'application ou l'exécution de l'application dans un émulateur.
Conclusion
En tant que néobanque, la stratégie de la banque a consisté à travailler avec des partenaires établis afin d'instaurer la confiance dans leurs services numériques, leurs applications et leur marque.
"La réputation de OneSpan sur le marché, son expertise en matière de sécurité et son expérience de la PSD2 ont fait la différence pour nous ", déclare Adrien Liénard. Non seulement en termes de technologie d'authentification robuste, de mise en œuvre rapide et d'expérience utilisateur fluide, mais aussi pour faciliter la mise en conformité. "Par exemple, nous avons récemment dû envoyer un rapport PSD2 à la Banque nationale. Nous avons demandé de l'aide à OneSpan et en 24 heures, nous avons eu les réponses. C'était une valeur ajoutée pour nous, de savoir que OneSpan nous soutient
Chez OneSpan, nous comprenons les défis liés à la protection du parcours numérique du client. En plus de technologies éprouvées, nous apportons une approche hautement consultative, une expertise réglementaire approfondie et les meilleures pratiques en matière d'expérience utilisateur. Pour en savoir plus sur la manière dont OneSpan peut vous aider à protéger vos clients contre la fraude numérique, visitez OneSpan.com ou contactez-nous.