Home » Digital Transformation » La solution Identity Hub aide les banques à se repositionner
Sponsored

Marc Vanmaele

CEO

Trustbuilder

Le secteur financier va au-devant d’importants changements, qui exerceront un impact considérable sur la gestion des identités et des accès. Marc Vanmaele, CEO de TrustBuilder, nous en dit plus.

Texte : Joris Hendrickx

En quoi consiste exactement la gestion des identités et des accès ?

« Lorsqu’un utilisateur se connecte à une plateforme bancaire, il doit d’abord valider son identité. C’est le contexte qui détermine la méthode la plus appropriée selon les cas. Il peut s’agir d’un simple nom d’utilisateur avec mot de passe, mais pour les transactions bancaires, par exemple, cette option n’est pas suffisamment sécurisée. »

« Il faut ensuite déterminer à quels éléments il a accès et ce qu’il a ou non le droit de faire. L’authentification unique (single sign-on) permet à l’utilisateur d’accéder automatiquement à certaines applications sans devoir valider son identité à chaque fois. Il se peut néanmoins qu’il utilise initialement une application à faible risque en matière de sécurité, pour ensuite passer à une application au profil de risque plus élevé. Dans ce cas, il est souvent nécessaire de procéder à une nouvelle vérification (plus stricte) de l’identité, également appelée « authentification renforcée » (step-up authentication). »

« Avant, c’était relativement facile, mais aujourd’hui, la situation est nettement plus complexe, car le contexte a gagné en importance. Cette évolution est principalement due à la popularité des appareils mobiles, qui entraînent une diversification des lieux où l’utilisateur veut effectuer des opérations. Il faut déterminer l’appareil utilisé (est-il déjà connu ou non ?), l’endroit où il est utilisé, le moment (est-il inhabituel ?),… Tous ces paramètres sont vérifiés puis soumis à une analyse des risques. »

Comment combiner tout cela avec le confort d’utilisation ?

« Les utilisateurs sont devenus extrêmement exigeants à cet égard, car une multitude de réseaux sociaux et applications mobiles les y ont habitués. Si un système est plus compliqué que nécessaire, ils décrochent. Pour les organisations, l’enjeu consiste donc à trouver à chaque instant, à chaque endroit, dans chaque contexte et pour chaque transaction, le juste équilibre entre le niveau de sécurité souhaité et la facilité d’utilisation. »

« Parfois, un nom d’utilisateur et un mot de passe suffisent, mais dans d’autres cas, il faut un système plus sécurisé. Ainsi, par exemple, les transactions bancaires passeront éventuellement par le lecteur de cartes classique. Cette solution est ressentie comme fastidieuse par les utilisateurs, mais heureusement, elle n’est plus nécessaire dans de nombreux cas, car de nouvelles méthodes permettent d’obtenir le même niveau de sécurité. »

« On peut aussi combiner plusieurs méthodes (authentification multifacteurs), par exemple un code PIN avec une carte bancaire et un système biométrique. Chaque smartphone possède un numéro unique, de sorte que la plateforme sait immédiatement de quel appareil il s’agit. De nombreux smartphones peuvent également lire une empreinte digitale, apportant ainsi un complément convivial aux contrôles de sécurité. Mais ce n’est pas un système de bout en bout : l’empreinte digitale libère une clé locale utilisée pour se connecter ou pour signer des transactions. »

Quelles sont les évolutions dans ce domaine ?

« Une nouvelle dimension concerne le fait que l’organisation contrôle de moins en moins les applications et les données sous-jacentes. Pensez, par exemple, aux applications bancaires qui sont encore gérées par les banques à l’heure actuelle, mais qui seront sans doute externalisées à des tiers d’ici quelques années. Les banques utilisent d’ores et déjà des services liés au Cloud, surtout pour leurs affaires internes. »

Pour les organisations, l’enjeu consiste à toujours trouver le juste équilibre entre le niveau de sécurité souhaité et la facilité d’utilisation.

« Dans le passé, les identités étaient toujours gérées par les banques mêmes. Mais aujourd’hui, il existe aussi l’app itsme, qui deviendra très probablement le nouveau facteur d’authentification par excellence pour valider votre identité, y compris pour les transactions bancaires. La gestion et la validation de l’identité seront donc confiées à une partie externe. »

Et du côté front-end ?

« Dans le secteur bancaire, nous assistons à un glissement du modèle d’entreprise – une évolution en partie imputable à la directive DSP2, qui oblige les banques à dissocier leur back-end (où les transactions sont effectuées) du front-end (l’interface avec l’utilisateur, où la validation est réalisée). Ainsi, des tiers peuvent également associer leur front-end au back-end de la banque via des API. Ces tiers sont souvent des entreprises « fintech » qui ont développé des solutions très innovantes et faciles d’utilisation. Mais il peut aussi s’agir de grands acteurs tels que Google. »

« La directive DSP2 entraîne donc une ouverture totale du marché. Les banques doivent chercher de nouvelles opportunités pour offrir une valeur ajoutée et se distinguer, si elles ne veulent pas être limitées à la gestion des comptes et à l’exécution des transactions de tiers. Elles pourront garder leurs clients chez elles en offrant des services supplémentaires via leur app mobile et en les associant aux applications de tiers, par exemple. Dans ce dernier cas, elles feront office de partie et intermédiaire de confiance qui orchestre l’ensemble et veille à la sécurité des transactions à destination des tiers. Nous proposons d’ores et déjà la solution TrustBuilder Identity Hub, qui les aide à assumer ce nouveau rôle. »

Next article