Résumé exécutif
Objectifs de l'entreprise
- Se conformer aux exigences de la PSD2 en matière d'authentification forte des clients, y compris la liaison dynamique et la protection de la réplication
- Faciliter l'authentification des clients
Avantages
- Raiffeisen Italie est prête pour la PSD2, bien avant la date limite de septembre 2019
- La banque dispose à la fois d'un système sécurisé et d'une expérience client très simple
- Taux élevé d'adoption et d'activation par les clients
- Perçue par les clients comme innovante
Raiffeisen Italie est l'organisation faîtière de 40 entités de la Banque Raiffeisen dans la province italienne du Tyrol du Sud. Supervisant les services informatiques de ces banques membres, le DSI du système d'information de Raiffeisen, Alexander Kiesswetter, a modernisé le système d'authentification de Raiffeisen Italie pour se conformer à la directive révisée sur les services de paiement (DSP2). Dans ce cadre, Raiffeisen Italie a lancé une application mobile qui authentifie et sécurise les utilisateurs - construite à l'aide de la suite OneSpan Mobile Security et marquée en marque blanche avec la marque Raiffesien.
"En Italie, près de 50 % de nos clients utilisent la banque en ligne et 20 % la banque mobile. Mais nous constatons une augmentation beaucoup plus rapide de l'adoption des services bancaires mobiles par rapport aux services bancaires par Internet", explique Alexander Kiesswetter.
Bien que la directive PSD2 ait été le principal moteur, le passage rapide à la banque numérique et mobile a rendu tout aussi important pour Raiffeisen Italie d'offrir à la fois une sécurité forte et une expérience utilisateur plus facile. En clair, les clients ne veulent plus sortir leur carte bancaire et leur jeton matériel pour chaque petite transaction - ils préfèrent s'authentifier par le biais de leur appareil mobile.
"La priorité au mobile est un élément important de notre stratégie de transformation numérique. C'est pourquoi OneSpan était parfait pour nous. Pour la première fois, nous disposons d'une solution qui nous permet de transférer entièrement les services sur le smartphone sans utiliser d'autres outils matériels pour l'authentification. Désormais, nous pouvons utiliser non seulement le code PIN pour l'authentification, mais aussi Face ID et Touch ID
Nous avons choisi les solutions innovantes de OneSpan parce qu'elles offrent un niveau élevé de sécurité et de convivialité. Traditionnellement, il est très difficile de combiner les deux - jusqu'à présent, il s'agissait toujours d'un compromis. Nous voulions innover et simplifier l'expérience du client. Avec OneSpan, nous y sommes parvenus.
Le défi
En tant que DSI, Alexander Kiesswetter était confronté à deux défis : La conformité PSD2 et un ancien système d'authentification que les clients trouvaient difficile à utiliser.
La conformité à la directive PSD2 est une priorité essentielle pour les institutions financières (IF) dans toute l'Europe. Les IF doivent se conformer aux exigences relatives à l'authentification forte du client et à l'analyse du risque de transaction. En outre, Raiffeisen Italie devait répondre à deux autres exigences :
- Dynamic Linking (liaison dynamique) : Pour les transactions de paiement à distance, la PSD2 exige que les IF appliquent une authentification qui lie dynamiquement la transaction à un montant et à un bénéficiaire spécifiques. Tout au long du processus d'authentification, la confidentialité, l'intégrité et l'authenticité des informations de paiement doivent être protégées, et l'utilisateur doit être informé du montant et du bénéficiaire.
- Protection contre la réplication: Si une banque choisit d'utiliser une application mobile dans le cadre de ses flux d'authentification, elle doit prendre des mesures pour atténuer le risque qu'un attaquant procède à une rétro-ingénierie de l'application pour découvrir et éventuellement reproduire le secret du jeton utilisé pour générer un code d'authentification. Par conséquent, les institutions financières doivent protéger l'élément de possession (dans ce cas, l'application) contre le clonage.
En outre, la banque souhaitait faciliter l'authentification de ses clients. Le problème est qu'elle s'est retrouvée dans le bras de fer classique entre la sécurité et la facilité d'utilisation - la sécurité l'emportant au détriment de l'expérience client. Bien que leur ancien système d'authentification soit très sûr, les clients se plaignaient de sa lourdeur.
"Jusqu'à ce que nous commencions à utiliser OneSpan, notre attention était concentrée sur la sécurité. C'est pourquoi nous utilisions des jetons matériels distincts avec les cartes bancaires, car nous n'étions pas convaincus qu'une autre solution nous offrirait une sécurité suffisante", explique M. Kiesswetter.
Évaluation et sélection
Pour Raiffeisen Italie, le choix des meilleures technologies par le biais du bon réseau de partenaires en sécurité informatique est au cœur de sa réussite. Il n'a jamais été question de créer une solution en interne, et le DSI a donc chargé deux équipes d'évaluer les solutions :
- Pour l'authentification, un groupe de techniciens informatiques a sélectionné le logiciel.
- Pour la sécurité des applications mobiles, l'équipe d'évaluation comprenait le RSSI, un architecte informatique et des représentants des équipes chargées des risques et de la conformité, du développement logiciel et de l'assistance à la clientèle.
"Au cours du processus de sélection, nous avons évalué plusieurs entreprises. La grande différence que nous avons constatée entre OneSpan et les autres fournisseurs est que les solutions de OneSpan combinent un haut niveau de sécurité et de conformité avec un haut niveau de convivialité
Dans le cadre du processus d'évaluation, Raiffeisen s'est tourné vers d'autres banques de son réseau, principalement en Allemagne et en Autriche, afin de bénéficier de l'expérience de ses pairs. Enfin, la banque a également effectué des tests internes pour évaluer la technologie et l'expérience utilisateur. Elle a réalisé une enquête auprès des clients, des ateliers internes et une démonstration de faisabilité (POC).
"Ce que nous avons constaté, c'est que les clients étaient très favorables à l'utilisation d'une solution basée sur un smartphone", explique le directeur des systèmes d'information.
Exigences clés et critères d'évaluation
Liaison dynamique
Protection de la réplication
OBJECTIF
Protéger les transactions bancaires en ligne et mobiles des clients contre la fraude, y compris les chevaux de Troie bancaires et les attaques d'ingénierie sociale telles que le phishing et les attaques de l'homme dans le navigateur.
Protéger l'application d'authentification de Raiffeisen contre l'intrusion, la falsification et l'ingénierie inverse.
TECHNOLOGIE ONESPAN ÉVALUÉE
La technologie Cronto® de OneSpan est basée sur des cryptogrammes en couleur qui ne peuvent être lus que par un appareil de confiance.
Cronto utilise un défi visuel unique contenu dans un cryptogramme graphique consistant en une matrice de points colorés affichés sur l'écran du PC du client. Le client utilise l'appareil photo de son téléphone portable pour capturer ce cryptogramme en balayant l'écran, décodant, déchiffrant et affichant instantanément les détails de la transaction pour vérification par l'utilisateur. Si l'image n'a pas été falsifiée, le client reçoit les informations relatives à la transaction, comme les détails du paiement, décodées en toute sécurité à partir de l'image du cryptogramme visuel.
La suite OneSpan Mobile Security Suite permet aux développeurs de mobiles d'intégrer nativement dans une application des fonctions de sécurité telles que l'authentification à deux facteurs, la géolocalisation, la détection de jailbreak et de root, l'identification de l'appareil et d'autres fonctions de sécurité.
L'app shielding, l'un des 17 SDK de la suite, détecte et interrompt en temps réel les attaques mobiles potentielles. Afin de créer un environnement d'exécution sécurisé pour les applications mobiles, celles-ci doivent être protégées à l'aide d'un bouclier d'application avec protection d'exécution. Cette technologie protège les applications mobiles contre plusieurs types de menaces liées à l'exécution. Elle crée un environnement d'exécution sécurisé pour les applications mobiles, leur permettant d'être exécutées même sur des appareils mobiles non fiables.
Le bouclier applicatif utilise une combinaison d'approches préventives, détectives et réactives. Il atténue les menaces d'exécution, par exemple en obscurcissant le code pour rendre la rétro-ingénierie plus difficile. Il détecte les attaques au moment de l'exécution, comme les tentatives d'altération de l'application ou l'exécution de l'application dans un émulateur. Enfin, il peut réagir aux attaques au moment de l'exécution de différentes manières, par exemple en alertant les moteurs de risque côté serveur de la banque, ou même en arrêtant l'application.
CRITÈRES D'ÉVALUATION CLÉS
- Un processus d'inscription et de signature facile qui permet à la banque de répondre aux exigences de la directive PSD2 avec un impact minimal sur l'expérience de l'utilisateur.
- Prise en charge de FaceID ou TouchID, en plus d'un code PIN pour l'authentification.
- Utilisation d'une communication hors bande cryptée.
- Notification push : Pour les transactions mobiles, la possibilité de transférer les données de la transaction du serveur bancaire à l'application bancaire mobile à l'aide d'un message de notification push crypté.
- Sécurité invisible : La protection en cours d'exécution assure une surveillance et une défense continues, sans interrompre l'expérience du client.
- Une intégration facile qui ne pèse pas sur les développeurs.
- Une protection dynamique qui détecte et atténue les attaques d'exécution sur une application mobile afin que celle-ci puisse fonctionner en toute sécurité, même dans des environnements hostiles ou compromis.
Une double solution
En utilisant la bibliothèque d'API de OneSpan Mobile Security Suite, Raiffeisen Italie a ajouté la signature des transactions pour sécuriser les transactions en ligne des clients contre la fraude. Elle a également intégré un bouclier d'application mobile pour protéger son application d'authentification mobile. Cette solution a permis à la banque de se conformer aux exigences de la PSD2 pour :
- Dynamic Linking : La banque a mis en œuvre la technologie Cronto, qui utilise un cryptogramme graphique composé de points colorés pour crypter les détails des transactions. Utilisée par des banques en Europe et dans le monde entier, Cronto répond aux exigences de la PSD2 en matière d'authentification et de liaison dynamique pour sécuriser les transactions financières avec un impact minimal sur l'expérience de l'utilisateur.
- Protection de la réplication : Dans le cadre de sa stratégie " mobile-first ", Raiffeisen Italie a lancé une application bancaire mobile qui authentifie et sécurise les utilisateurs. La banque a joué un rôle de leader en étant la première sur le marché italien à protéger son application à l'aide d'un bouclier d'application mobile (mobile app shielding).
L'aspect innovant du bouclier d'application mobile de OneSpan avec protection du runtime a été l'une des raisons qui ont poussé la banque à choisir cette technologie.
"C'est la première fois que nous utilisons un système basé sur le smartphone, car jusqu'à ce produit, nous étions convaincus que le smartphone était par définition un appareil non sécurisé. Lorsque nous avons vu la manière dont OneSpan renforce la sécurité sur le smartphone, ainsi que les mises à jour continues du logiciel du smartphone, nous avons été convaincus qu'il s'agissait enfin d'un produit que nous pouvions offrir à nos clients et qui nous garantissait un niveau de sécurité élevé."
Les avantages
Raiffeisen Itay a reçu des commentaires positifs de la part de ses clients et a connu une forte adoption de la nouvelle application d'authentification.
"Les clients perçoivent une fois de plus Raiffeisen comme une banque innovante", déclare le DSI. "Les commentaires qui me sont parvenus indiquent que les clients sont très satisfaits de la nouvelle fonctionnalité. Nous avons également organisé un lancement marketing pour la nouvelle application d'authentification. Lors de ce lancement, nous avons constaté que l'effort marketing avait créé beaucoup d'attentes chez les clients. Lorsque nous l'avons lancée, la demande a été forte et l'activation élevée, autant de signaux positifs de la part du marché qui ont montré qu'ils l'avaient très bien acceptée."
En outre, Raiffeisen Italie est prête pour la PSD2, bien avant la date limite de septembre 2019. Kiesswetter explique que, "en ce qui concerne les exigences de la PSD2, nous sommes en avance sur le marché."
Conclusion
"Après avoir travaillé sur ce projet, je conseille aux autres banques de commencer leur transformation numérique en première ligne, au point de contact avec le client. C'est là que l'innovation est la plus importante. Choisissez un partenaire solide qui a une vision stratégique de la direction que votre transformation numérique peut prendre à l'avenir. Commencez par les premières lignes, travaillez sur les points de contact avec le client et choisissez un partenaire qui a une vision claire de la direction que prendra la transformation numérique au cours des prochaines années."
"La vision du partenaire est importante. Après avoir travaillé avec OneSpan, nous voyons les choses différemment. Ce projet a changé notre état d'esprit. Au lieu de devoir choisir entre la sécurité et l'expérience client, il est vraiment possible de faire les deux. Je pense que c'est la plus grande surprise. À l'avenir, nous continuerons à innover et à travailler sur notre système en sachant que nous pouvons avoir un système sécurisé et une expérience client très simple et positive. C'est donc ce principe qui guidera désormais notre vision de l'avenir