Authentification forte : un défi clé à relever pour les banques

Le 2nd volet de la Directive Européenne sur les Services de Paiements (DSP2) est entré en vigueur en janvier 2018. Avec la DSP2, l’Union européenne met en place des conditions favorisant la concurrence sur le marché européen des paiements qui reste aujourd’hui principalement monopolisé par les banques traditionnelles. Cet accroissement de la concurrence sur le marché pousse les acteurs, anciens ou récents, à se démarquer sur des compétences clés liées au paiement. Le package règlementaire que constitue la DSP2 encourage également à la sécurisation des transactions notamment via l’authentification forte. Cette dernière est ainsi devenue strictement obligatoire pour :

Sécuriser les transactions dont le montant excède 30 euros ;

• valider le premier paiement d’une transaction régulière du même montant ;
• accéder à la consultation de comptes : l’authentification est requise au minimum une fois tous les 90 jours.

On parle d’authentification forte dès lors que l’entreprise qui souhaite s’assurer de l’identité de son client mobilise deux facteurs parmi les 3 suivants :

• L’inhérence : un élément de ce que l’on est ou fait (exemple : une empreinte digitale)
• La connaissance : un élément que l’on connait (exemple : un code)
• La possession : un élément que l’on possède (exemple : un smartphone)

L’utilisation de l’authentification forte par les acteurs financiers dépasse le périmètre pour lequel son utilisation a été rendue obligatoire. Nous la retrouvons à plusieurs moments-clés de l’expérience client comme l’illustre le schéma ci-dessous.

Cet impératif réglementaire et de sécurité implique de repenser les parcours clients.

En effet, passer d’une authentification à un facteur (par exemple via un code PIN) à une authentification à double facteur peut nécessiter de rajouter au parcours d’authentification au moins une étape supplémentaire.

Prenons l’exemple du paiement en ligne d’une chambre d’hôtel. Après avoir validé sa réservation, le client est amené à rentrer ses coordonnées bancaires, et passe alors à la page suivante. Sans authentification forte, la réservation aurait été validée. Avec l’authentification forte, il reçoit un code par SMS, à renseigner sur la page suivante. Ce n’est qu’après avoir validé son code SMS que sa réservation est confirmée et le paiement initié.

On comprend ainsi que la procédure de paiement est rallongée et le parcours client moins fluide. Or, à chaque nouvelle étape, le taux de conversion se réduit et le parcours client s’alourdit, et le risque que des facteurs extérieurs (changement d’avis, perte de connexion Internet, etc.) ne viennent interrompre la transaction augmente.       

A terme, ce sont les performances commerciales des commerçants, des banques et des acteurs du paiement qui ensemble peuvent être pénalisées par des parcours clients alourdis par l’authentification forte. Il est donc impératif pour l’ensemble de ces acteurs de concilier sécurité, conformité, et parcours client optimisé.

Pour répondre à cette problématique, plusieurs acteurs se sont positionnés sur le segment de l’authentification forte. Ces nouvelles parties prenantes s’inscrivent, pour la plupart, dans un mouvement de travail collaboratif avec les acteurs traditionnels du secteur bancaire, et commencent à déployer à échelle croissante leurs solutions innovantes. On assiste même à une uniformisation des pratiques : on remarque que les établissements bancaires convergent et optent pour des solutions d’authentification forte proches voire similaires – espérant ainsi façonner plus rapidement les habitudes liées à l’authentification forte.

C’est le cas de FranceConnect, portail d’accès aux services publics en ligne, qui se positionne comme le garant universel de l’identité des citoyens français. Le client peut attester de son identité grâce à ses identifiants et code de 5 « fournisseurs d’identité » : les Impôts, Ameli, La Poste, Mobile Connect et moi (l’identité numérique d’Orange) et la Mutuelle Sociale Agricole.

Boursorama a noué un partenariat avec FranceConnect pour bénéficier de ce service. Lorsqu’un client effectue une ouverture de compte en ligne chez Boursorama, il a la possibilité de vérifier son identité grâce à FranceConnect. En se connectant au portail de son choix, le client permet à Boursorama de récupérer les éléments de son identité.

En Belgique, Itsme est une solution d’authentification forte basée sur une application mobile gratuite et développée par Belgian Mobile ID pour un usage mutualisé entre la clientèle des entreprises du consortium. Le consortium Belgian Mobile ID est constitué de 7 actionnaires, dont 4 banques (Belfius, BNP Paribas Fortis, ING et KBC) et 3 opérateurs télécoms (Proximus, Orange et Telenet). La sécurité du système est basée sur la liaison du numéro de téléphone, de la carte SIM et de son code personnel. Itsme permet d'accéder aux différents services sécurisés des banques et des opérateurs en utilisant un unique mot de passe et une seule application dédiée.

L’authentification forte apporte sécurité et prévention des risques de fraude. Par conséquent, ce système insuffle confiance dans les paiements en ligne, et notamment mobiles. Le passage par une uniformisation des pratiques semble se dessiner ; il permettrait ainsi la création d’un standard d’authentification, gage de confiance, utilisé par tous. Etant donné l’incitation règlementaire et la recherche de sécurité du consommateur européen, avoir un temps d’avance en matière d’authentification forte permettra, à coup sûr, de gagner des parts de marché.