Qu'est-ce que la biométrie comportementale ?
La biométrie comportementale analyse la façon dont une personne interagit avec son appareil mobile, par exemple la façon dont elle tient son téléphone ou la vitesse à laquelle elle tape. Par conséquent, la biométrie comportementale crée un modèle de comportement qui est unique à une personne. Contrairement aux méthodes d'authentification actives, telles que le scan du visage ou le code PIN, les biométries comportementales sont considérées comme passives car elles ne nécessitent aucune action supplémentaire de la part du client, ce qui améliore son expérience bancaire numérique. Il est important de distinguer la biométrie comportementale de la biométrie physique, même si les raisons de leur utilisation sont similaires. Labiométrie mesure les caractéristiques physiques uniques d'une personne pour vérifier son identité. Il peut s'agir d'une empreinte digitale, de la reconnaissance du visage, de l'empreinte ou des veines de la paume, de la reconnaissance de l'iris ou de la rétine ou de la géométrie de la main.
Comment fonctionne la biométrie comportementale
Contrairement à la biométrie basée sur des caractéristiques biologiques statiques, ou immuables, comme une empreinte digitale, la biométrie comportementale analyse les actions d'un client pour une authentification continue en coulisse. C'est pourquoi la biométrie comportementale est souvent décrite comme passive. La biométrie comportementale examine les schémas de mouvement uniques d'une personne pour permettre une comparaison constante avec le comportement passé et une authentification constante tout au long de la session bancaire, renforçant ainsi la protection contre la fraude. Ce type d'analyse aboutit à un score évaluant la probabilité que la personne qui effectue les actions soit le client légitime. Plus le score de similarité est élevé, moins l'institution financière doit se préoccuper de l'identité et de l'intention de la personne, ce qui améliore l'expérience de l'utilisateur. À l'inverse, un manque de similitude entre le comportement d'un client et son profil historique justifie des couches d'authentification supplémentaires, comme un scan d'empreintes digitales. La biométrie comportementale combinée à l'apprentissage automatique, qui peut analyser de grandes quantités de données pour repérer les anomalies en temps réel, et aux techniques d'évaluation des risques peut contribuer à réduire la fraude. Les données biométriques comportementales sont difficiles à reproduire car chaque personne a un profil spécifique de ses habitudes et de ses mouvements, qui sont constamment comparés à l'activité qu'elle exerce pendant une session bancaire. Il y a peu de problèmes de confidentialité, car les données comportementales d'un client sont converties en une représentation mathématique dans son profil, qui n'aurait aucun sens pour un fraudeur qui y aurait accès. Les algorithmes de biométrie comportementale permettent de s'assurer que la personne qui participe effectivement à la session bancaire est bien celle qui est présumée l'effectuer.
Types de biométrie comportementale
La biométrie comportementale modifie l'authentification des clients, en ajoutant une nouvelle couche de sécurité transparente sans que le client ait besoin de participer activement. En analysant la façon dont une personne interagit avec son appareil mobile, la biométrie comportementale est utilisée pour identifier le modèle unique de comportement d'un client pendant une session bancaire.
- Comment vous tenez votre téléphone : la biométrie comportementale analyse l'angle sous lequel vous tenez votre téléphone et la main dominante que vous utilisez lorsque vous êtes au téléphone.
- Lesmodèles de balayage ou de défilement examinent si vous faites un balayage à droite ou à gauche sur l'écran tactile de votre appareil et comment vous faites défiler l'écran vers le haut ou vers le bas sur votre appareil.
- Lerythme des frappes analyse la manière et la vitesse de votre frappe pour déterminer des schémas distinctifs. La pression exercée par les doigts lors de la frappe peut être mise en relation avec un modèle reconnaissable, ce qui peut contribuer à prévenir l'usurpation d'identité et à minimiser le risque de fraude en ligne.
- Votre démarche, ou votre façon de marcher, est également un trait comportemental qui peut être étudié pour trouver un modèle.
- Lapression des doigts sur le clavier et le rythme de frappe analysent la force avec laquelle vous appuyez sur les touches, la vitesse de frappe et les pauses dans la frappe pour établir une cadence.
Comment la biométrie comportementale aide à prévenir la fraude dans les services financiers
La biométrie comportementale répond aux exigences de sécurité, en permettant aux institutions financières de vérifier l'identité d'un client de manière continue, indépendamment de son appareil, de sa localisation ou des données saisies. En bref, il s'agit d'un moyen discret de vérifier les actions de l'utilisateur, tout en déplaçant la charge de la sécurité du client vers la détection passive de la fraude par une institution financière. L'analyse comportementale permet de détecter les écarts par rapport au comportement habituel de l'utilisateur en les comparant aux données historiques relatives à l'heure de connexion, aux montants des transactions, aux nouveaux bénéficiaires et aux changements d'adresse, entre autres. La biométrie comportementale est devenue une importante technologie de cybersécurité qui permet d'identifier les personnes en fonction de leurs habitudes ou de ce qu'elles font, ce qui permet de distinguer les modèles comportementaux des utilisateurs légitimes de ceux des fraudeurs potentiels. Les institutions financières ont de plus en plus besoin de mesures de pointe, telles que la biométrie comportementale, qui permettent une authentification continue et adaptative tout en réduisant les problèmes administratifs coûteux et les frictions avec l'utilisateur final
La biométrie comportementale peut être utilisée pour détecter différents types de fraude
- Lafraude applicative est généralement le résultat de violations de données, qui ont connu un pic en 2020, en grande partie à cause de la pandémie de COVID-19. Le nombre croissant de violations de données permet aux cybercriminels de disposer d'un grand nombre d'informations personnelles identifiables (IPI) pour usurper l'identité d'individus existants et pour créer des identités synthétiques, qui utilisent une combinaison d'informations personnelles réelles et volées. Dans ce cas, la biométrie comportementale effectue plusieurs contrôles continus pendant le processus de demande. L'un des contrôles définira la facilité avec laquelle un utilisateur navigue dans le processus de candidature. Le client utilise-t-il des raccourcis clavier comme le copier-coller ou un script pour automatiser le processus afin de remplir rapidement la demande ou prend-il plus de temps pour remplir les informations personnelles ? Si le groupe de pairs représentatif ne l'a pas fait, cela peut indiquer que le fraudeur est déjà familiarisé avec le processus. Ce type de contrôle peut également être adapté à une région et à un cas d'utilisation spécifiques. Par exemple, si la population d'une région n'utilise généralement pas la fonction de copier-coller pour saisir son numéro d'identité ou d'autres informations, mais que le demandeur le fait, la biométrie comportementale peut signaler cette activité comme une fraude potentielle.
- La fraude aux nouveaux comptes se produit lorsqu'un fraudeur a réussi à passer le processus d'intégration d'une banque et que le compte frauduleux semble être légitime. La meilleure pratique consiste à comparer le comportement du nouvel utilisateur à celui d'un groupe représentatif de clients. Au cours de cette analyse, le système anti-fraude d'une banque peut analyser des indicateurs tels que le comportement de dépense par rapport à la moyenne, la séquence d'actions et les données de navigation liées au comportement d'une machine ou d'un robot, pour aider à détecter les comptes frauduleux.
- Lafraude par prise de contrôle de compte se produit lorsqu'un cybercriminel accède aux identifiants de connexion de la victime pour voler des fonds ou des informations par le biais d'un hameçonnage, d'un logiciel malveillant ou d'autres attaques. La biométrie comportementale peut aider les institutions financières à empêcher les clients légitimes d'être victimes d'une fraude par prise de contrôle de compte (ATO), car elle permet de détecter les anomalies spécifiques à l'utilisateur en comparant le comportement actuel avec l'activité passée.
Comment la biométrie comportementale fait-elle partie de l'authentification basée sur le risque ?
Une institution financière peut vérifier de manière positive l'identité d'un client au début d'une session bancaire, mais dix minutes plus tard, celui-ci peut essayer d'effectuer une transaction monétaire importante qui ne correspond pas à son comportement antérieur. Si l'authentification multifactorielle ou AMF (quelque chose que vous savez, quelque chose que vous avez, quelque chose que vous êtes) est un élément essentiel d'une approche moderne de l'authentification, demander aux clients de franchir des étapes supplémentaires peut être ennuyeux et frustrant pour eux. L'utilisation de la biométrie comportementale dans le cadre de l'authentification basée sur le risque (RBA) fonctionne comme une prévention passive de la fraude. Elle permet de capturer plusieurs points de données et de les analyser sans affecter le confort de l'utilisateur afin de déterminer si le client est l'utilisateur légitime qui effectue une transaction.
La biométrie comportementale analyse les interactions du client avec son appareil mobile par rapport à un profil d'utilisateur préalablement établi. Plus le score de similarité est élevé, moins la banque doit s'inquiéter de l'identité et de l'intention du client. Un manque de similitude entre le comportement d'un client par rapport à son profil justifie l'application de couches supplémentaires d'authentification.
Selon Shirley Inscoe, analyste chez Aite Group, la biométrie comportementale offre aux institutions financières un outil efficace pour améliorer l'authentification des clients et lutter contre les tentatives de prise de contrôle des comptes. "La biométrie comportementale évalue l'activité et permet aux institutions financières de prendre des mesures lorsque les scores indiquent une activité suspecte", explique-t-elle. "Par exemple, si un client déplace des fonds hors de l'établissement, un score plus élevé peut être exigé que si le solde du compte est vérifié."
Comment l'analyse comportementale complète la biométrie comportementale dans la prévention des fraudes
Alors que la biométrie comportementale génère un score pour évaluer dans quelle mesure les données correspondent au comportement historique d'un client avec son comportement actuel ou avec un groupe de pairs représentatif, l'analyse comportementale considère un contexte plus large. Le comportement habituel d'une personne à travers les canaux bancaires et ses habitudes de transaction peuvent également faire partie d'un modèle comportemental. Par conséquent, l'analyse comportementale tient compte de la manière dont l'utilisateur interagit avec le compte - à quelle heure il se connecte habituellement, s'il ajoute de nouveaux bénéficiaires à des moments inhabituels, ce qu'il a fait dans le passé, si son comportement transcanal est cohérent, etc. Toutes ces données sont évaluées pour générer un profil comportemental cohérent, qui est utilisé pour évaluer le risque de fraude. Ainsi, l'analyse comportementale peut même détecter des scénarios de fraude inconnus puisqu'elle s'appuie sur le comportement typique de l'utilisateur.
Que disent les analystes de la biométrie comportementale ?
La réduction des coûts et l'amélioration de l'expérience client suscitent un intérêt croissant pour l'authentification biométrique. "Les responsables de la sécurité et de la gestion des risques en charge de la gestion des identités et des accès (IAM) et de la prévention des fraudes continuent de rechercher des approches pour la corroboration des identités qui équilibrent la confiance et la responsabilité avec le coût total de possession et l'UX/CX", a déclaré Ant Allan, vice-président de la recherche chez Gartner. "La mise en œuvre via des applications pour smartphones offre plus de cohérence dans l'UX/CX et est techniquement plus simple que de la prendre en charge directement sur une variété de dispositifs d'extrémité différents."
Selon le magazine Infosecurity, les méthodes d'authentification biométrique comportementale ont gagné en popularité parce qu'elles fournissent un mécanisme permettant d'authentifier passivement les personnes à leur insu. "Un autre facteur qui joue en faveur de ce type d'authentification est que la collecte des points de données nécessaires à l'authentification est dynamique. Les autres types d'authentification, comme les mots de passe, les codes PIN ou les empreintes digitales, comportent des données statiques ou des modèles statiques stockés au point d'inscription. Ces données peuvent être utilisées par les personnes qui parviennent à les voler. Grâce aux points de données dynamiques, les profils comportementaux sont ajustés en permanence, ce qui rend toute donnée volée inutile."
Selon Shirley Inscoe, analyste chez Aite Group, "des méthodes telles que la biométrie comportementale permettent aux IF d'authentifier leurs clients de manière transparente et sans impact négatif sur le consommateur. Cela permet également d'améliorer l'expérience client, ce qui est un objectif de nombreuses institutions financières en plus de la prévention de la fraude."
Enfin, Gartner prévoit que d'ici 2022, 70 % des organisations utilisant l'authentification biométrique pour l'accès au personnel la mettront en œuvre via des applications pour smartphones, quel que soit le dispositif d'extrémité utilisé. En 2018, ce chiffre était inférieur à 5 %.
Comment la biométrie comportementale améliore l'expérience client
La biométrie comportementale fonctionne en arrière-plan sans demander au client d'effectuer des étapes d'authentification supplémentaires. Par conséquent, la biométrie comportementale constitue une expérience transparente et positive pour les clients, mais représente un défi pour les fraudeurs, car chaque individu possède un profil spécifique de ses habitudes et de ses mouvements, qui sont constamment comparés à l'activité qu'il effectue pendant une session et qui sont difficiles à reproduire.