Assurer la conformité sans sacrifier l’expérience client

Les consommateurs recherchent aujourd’hui une expérience bancaire fluide, multicanale et entièrement numérique. Comment amener ce niveau de service, tout en respectant les obligations de conformité aux règlements de protection des données et de sécurité, comme le RGPD et DSP2 ?

Pour Frederik Mennes, Directeur de l’offre de sécurité chez OneSpan cet équilibre est possible sans aucun compromis sur la sécurité et la qualité.

La DSP2 ou PSD2 (Directive sur les services de paiement – Payment Services Directive) implique le monitoring des transactions. Il s’agit de bloquer les paiements frauduleux et prévenir des menaces comme la prise de contrôle de comptes, la fraude aux nouveaux comptes et la fraude mobile.

Des outils d’analytique faisant appel au Machine Learning permettent d’analyser en temps réel les données de transactions. Ils se basent sur la connaissance des scénarios de fraude, la détection de malwares et l’analyse des montants des transactions. Un score de risque peut ainsi être attribué pour déclencher ensuite des actions prédéfinies. Une démarche qui bénéficie autant à la conformité qu’au contrôle des coûts et à la qualité de l’expérience client.

Mettre en œuvre un authentification à double facteur est désormais demandé pour respecter la directive DSP2. Mais il est aussi nécessaire de protéger l’application elle-même, par une démarche de « shielding » ou « blindage ». Chiffrer le code de l’application permet d’empêcher sa manipulation par les cybercriminels, la rétro-ingénierie et les intrusions.

DSP2 requiert également une liaison dynamique pour protéger contre les attaques de type « Man in the middle » (littéralement une interception des données par l’ « homme du milieu », par exemple pour modifier le montant d’une transaction). Ce “Dynamic linking” se base sur l’authentification des montants et destinataires des transactions par un code qui sera lié aux données de transaction. Une solution comme Cronto permet ainsi de valider une image ou mosaïque virtuelle ressemblant à un QR Code. Une approche simple pour une expérience de paiement fluide.

L’authentification intelligente prend en compte toute une variété de facteurs pour décider du niveau d’authentification requis pour une transaction. Elle se base sur le montant de la transaction, la géolocalisation et l’intégrité de l’appareil.
C’est aussi un moyen de répondre à l’exigence DSP2 de fournir une authentification forte (Strong Customer Authentication – SCA). Deux des facteurs suivants sont alors demandés : la connaissance (par exemple d’un mot de passe ou d’un PIN), la possession (d’un jeton/token ou d’un appareil mobile) et l’inhérence (ce qui est propre à l’utilisateur, comme ses données biométriques).