Qu'est-ce que l'authentification continue ?
L'authentification continue est une méthode permettant de confirmer l'identité d'un client en temps réel lors de ses opérations bancaires. En général, cela se produit lorsqu'un client utilise son téléphone mobile ou son ordinateur de bureau, ou un guichet automatique, ou lorsqu'il se trouve dans une agence. Il comprend leur session bancaire du début à la fin, ou de la connexion à la déconnexion. L'authentification continue repose sur des données continues traitées par un moteur de risque qui applique le niveau d'authentification approprié pendant toute la session. Cela permet à une institution financière de confirmer en permanence que le propriétaire légitime du compte bancaire est bien la personne qui effectue la transaction sur le compte, et non un fraudeur. L'authentification continue se produit lors de tous les événements, comme la vérification d'un solde, un virement ou l'ajout d'un bénéficiaire, au fur et à mesure que le client progresse dans sa session bancaire.
L'authentification continue utilise plusieurs flux de données pour permettre au moteur de risque d'évaluer et de reconnaître les mouvements et les modèles uniques d'un client pendant sa session bancaire. Le client ne remarque pas que sa localisation, son appareil, son environnement, sa cadence de frappe, etc., sont comparés à un profil de la façon dont il interagit normalement avec son téléphone et son application bancaire dans le cadre de son expérience utilisateur.
L'authentification continue permet également à un moteur de risque, qui est le cœur d'un système de prévention de la fraude, de surveiller et d'analyser toutes les données relatives à la session bancaire, au client et à son appareil, afin de déterminer la probabilité d'une fraude. Le moteur de risque attribue en permanence un score de risque en temps réel à chaque action qui se déroule pendant la session bancaire.
Avec l'authentification continue, le comportement du client est continuellement évalué sans sa participation directe jusqu'à ce que le comportement s'écarte de son activité normale, ce qui permet d'obtenir des couches de sécurité supplémentaires. Le niveau de sécurité précis est appliqué au bon moment et peut signifier que le client n'est pas conscient de la sécurité qui est effectuée en arrière-plan en son nom. Cependant, elle permet également aux institutions financières de réduire les frictions lors des sessions bancaires légitimes en diminuant l'authentification requise pour les interactions authentiques, offrant ainsi au client une expérience fluide.
Comment fonctionne l'authentification continue
Les banques et autres institutions financières peuvent utiliser l'authentification continue dans le cadre de leur stratégie anti-fraude. Les données peuvent être collectées à partir de nombreux éléments différents de la session d'un client avec sa banque, qu'il s'agisse de la manière dont il interagit avec son appareil mobile, comme les schémas de balayage et la dynamique des frappes, ou de sa localisation. Il peut même s'agir de choses telles que ce qui se passe dans l'appareil au moment où le client l'utilise. Toutes ces informations permettent d'établir un profil de données de l'utilisateur. L'analyse du risque de fraude peut alors détecter facilement tout écart par rapport à ce schéma et réagir en conséquence.
L'authentification continue n'augmente pas le temps que le client consacre à l'authentification, à condition que son comportement ne s'écarte pas de son schéma habituel. Si c'est le cas, le système anti-fraude demande à l'utilisateur une authentification renforcée. Comme indiqué, le mécanisme d'authentification n'interrompra pas le client après la connexion, sauf si cela est nécessaire.
Avec l'authentification continue, les profils de données fonctionnent avec le moteur de risque de l'institution financière, afin de fournir le score de risque le plus précis pour aider à détecter la fraude. Cela permet aux institutions financières de déterminer et d'appliquer des exigences d'authentification qui correspondent au risque relatif de la transaction au moment où elle a lieu. Un moteur de règles avancé filtrera les événements frauduleux qui répondent à des critères spécifiques, mais il ne peut pas suivre la complexité des attaques frauduleuses. Lorsqu'ils sont combinés, l'apprentissage automatique et un système basé sur des règles peuvent couvrir un large espace d'attaque. La technologie d'authentification continue permet de repérer le moment où il convient de renforcer la sécurité ou d'interrompre une transaction, afin de prévenir la fraude sur la base d'une évaluation des risques en temps réel.
Il existe de nombreuses variétés de sources de données que l'application bancaire (mobile, bureau, guichet automatique ou agence) peut fournir au moteur de risque. La biométrie comportementale, dont la définition de la fonctionnalité est très large, en est un exemple. La biométrie comportementale peut correspondre à des interactions de l'utilisateur au sein d'une application mobile, telles que la façon dont vous tenez le téléphone ou vos habitudes de balayage. Mais il peut également s'agir des habitudes des utilisateurs et de la manière dont le client interagit avec la banque, comme l'heure de la journée ou l'endroit où il se trouve. Les données biométriques comportementales contribuent à la création d'un profil de données sur le client qui est utilisé par le moteur de risque.
L'authentification continue peut utiliser différents types de biométrie comportementale
La biométrie comportementale travaille en coulisse en examinant la façon dont un client se comporte avec son appareil pour identifier son modèle unique de comportement, l'authentifiant continuellement pendant sa session bancaire pour s'assurer qu'il est l'utilisateur légitime. L'authentification biométrique comportementale compare le comportement actuel d'un client avec son comportement passé stocké dans son profil. Plus la similitude entre le profil et le comportement actuel est grande, moins la banque doit s'inquiéter de l'identité et de l'intention du client.
Dans le cas d'une personne inconnue demandant à distance l'ouverture d'un nouveau compte bancaire, une solution de sécurité biométrique comportementale peut également comparer son comportement à celui d'une population plus large, ce qui permet d'obtenir un score évaluant la probabilité que la personne effectuant les actions n'est pas un robot ou un programme informatique obtenant un accès non autorisé. Avec la biométrie comportementale, le comportement d'une personne avec son appareil permet de déterminer le niveau d'authentification nécessaire en fonction du niveau de risque.
Types de biométrie comportementale utilisés pour l'authentification continue :
- La façon dont vous tenez votre téléphone : la main dominante que vous utilisez lorsque vous utilisez votre téléphone et l'angle sous lequel vous le tenez sont analysés à l'aide de la biométrie comportementale.
- La façon dont vous tapez et la vitesse à laquelle vous tapez déterminent votre rythme de frappe.
- La pression que vous exercez sur vos doigts lorsque vous tapez peut être convertie en un modèle reconnaissable, ce qui peut contribuer à prévenir l'usurpation d'identité et à réduire le risque de fraude en ligne.
- Les modèles de balayage ou de défilement examinent si vous faites un balayage à droite ou à gauche sur l'écran tactile de votre appareil et comment vous faites défiler l'écran vers le haut ou vers le bas sur votre appareil.
- Votre démarche, ou votre façon de marcher, est également un trait comportemental qui peut être étudié pour trouver un modèle.
Comment l'authentification continue aide à prévenir la fraude
L'authentification continue permet de repérer les anomalies dans le modèle établi de comportement d'un client avec son appareil et sa banque. En outre, la biométrie comportementale permet de détecter les logiciels malveillants, tels que les robots capables de capturer les frappes d'une personne pour révéler ses informations bancaires, car les mouvements du robot sont différents des frappes d'une personne.
Lorsqu'un comportement suspect est détecté, les institutions financières peuvent demander une authentification supplémentaire à l'utilisateur pour contester l'accès à la connexion ou les transactions bancaires en cours. Si l'utilisateur peut passer l'obstacle de la sécurité et s'authentifier, il peut continuer. S'ils ne le peuvent pas, le processus est arrêté et la fraude est évitée.
Le paysage des menaces est en constante évolution, le nombre d'attaques et de violations de données augmentant, ce qui pose des défis à la cybersécurité tout en offrant aux fraudeurs de nombreuses opportunités. Grâce à l'authentification continue, les institutions financières ont la possibilité de réduire leur vulnérabilité à de nombreux vecteurs d'attaque et menaces de cybersécurité.
Suite à COVID-19, les attaques de fraude ont fortement augmenté. Selon Aite Group, "un dirigeant d'une grande IF dit que son IF avait précédemment prévu une baisse de 8 % de la fraude en 2020 et qu'il a révisé cette projection à une augmentation de 10 à 15 % de la fraude pour l'année, et il dit que la plupart des banques homologues ont fait de même" L'authentification continue aide à réduire la fraude parce qu'elle va bien au-delà de la vérification de l'identité d'un client lors de la connexion ou lorsqu'il effectue une transaction. Il est important de noter que la biométrie comportementale peut être difficile à battre pour les fraudeurs à l'heure actuelle, car elle fournit des signaux continus sur l'authenticité du client en fonction de son comportement.
Les coulisses de l'authentification continue : le rôle de l'apprentissage automatique et des règles anti-fraude
Les algorithmes d'apprentissage automatique peuvent analyser de très grandes quantités de données de transaction qu'il serait difficile et long pour les analystes d'examiner. Les algorithmes prennent en compte la localisation du client, son appareil, son réseau et d'autres données. Toutes ces données permettent de dresser un portrait détaillé de chaque transaction et de signaler en temps réel les transactions suspectes d'un attaquant ou d'un robot, en fonction de scores de risque très précis. En fonction du score de risque, un défi d'authentification immédiat peut être présenté sur la base de modèles comportementaux, si nécessaire. Un client peut être invité à saisir un mot de passe à usage unique (OTP) généré par son dispositif d'authentification ou délivré par notification push, par exemple. Ou, si le niveau de risque est très élevé, on peut demander au client un scan facial pour l'authentification de l'utilisateur. S'ils ne parviennent pas à s'authentifier, l'interaction bancaire ou la transaction est interrompue.
En outre, le score de risque peut également tenir compte de l'historique des incidents de sécurité de l'utilisateur, du nombre de connexions et de la sensibilité des données à consulter. La raison pour laquelle un score d'authentification est basé sur une combinaison de nombreux points de données contextuels et autres est qu'un point de données seul peut être et sera battu par un attaquant. Cependant, de nombreuses demandes d'accès se situent en dessous des seuils de risque définis et ne nécessitent pas d'authentification supplémentaire.
L'apprentissage automatique se penchera également sur les éléments de données de l'appareil d'un client, par exemple, et examinera comment l'appareil est utilisé, son âge, s'il s'agit d'un appareil partagé, quelles méthodes biométriques et quelles méthodes d'authentification sont souscrites pour cet appareil, entre autres. Il peut également réduire la partialité humaine et la lassitude des alertes en ne présentant que les événements et les transactions très inhabituels à un expert en fraude. Une transaction à faible risque (telle qu'une vérification du solde à partir d'un appareil connu) ne nécessiterait aucune validation supplémentaire, tandis que les transactions à risque plus élevé (telles qu'un transfert important à partir d'un appareil jailbreaké dans un nouveau lieu) déclencheraient des étapes d'authentification supplémentaires. Un appareil jailbreaké est un téléphone qui a été modifié de façon à pouvoir apporter des changements qui ne sont pas pris en charge par le logiciel dans son état par défaut.
Alors que les algorithmes d'apprentissage automatique peuvent repérer les scénarios d'attaque émergents grâce à leur capacité à détecter les anomalies, un système antifraude qui utilise des règles de fraude ne peut détecter que les attaques de fraude connues, qui peuvent inclure une attaque par hameçonnage ou un bourrage de crédence. C'est la raison pour laquelle les bibliothèques de règles sont si longues, car dès qu'une nouvelle attaque frauduleuse est identifiée, une règle est construite et ajoutée, ce qui rend nécessaire la maintenance de centaines, voire de milliers de règles individuelles. Toutefois, un moteur de règles avancé filtrera les événements frauduleux répondant à des critères spécifiques et détectera les transactions dont les montants s'écartent d'un scénario normal. Il alerte le système pour qu'il renforce l'authentification, mais un système basé sur des règles ne peut pas faire face à la complexité des attaques frauduleuses. Et les bibliothèques de règles ne cessent de s'étendre, mettant le système sous pression, ralentissant les opérations et augmentant le taux de faux positifs. Cependant, lorsqu'un système basé sur des règles est combiné à l'apprentissage automatique, les deux offrent de solides capacités pour détecter un large éventail de tentatives de fraude.
Comment l'authentification continue favorise l'expérience client
L'authentification continue reste en arrière-plan pendant que le client effectue ses opérations bancaires, établissant un profil de risque continu pour la session, qui peut changer à chaque action du client ou de son appareil. Non seulement cela permet à l'institution financière de prendre des mesures en temps réel lorsque des anomalies sont détectées, mais cela permet également à la banque de réduire les frictions lors des sessions bancaires légitimes. L'expérience de l'utilisateur est fluide tout en diminuant la menace d'une attaque, ce qui améliore la convivialité.