DSP2… L’authentification forte ? Une opportunité !
La nouvelle directive européenne DSP2 (Payment Service Directive 2) est entrée en vigueur le 13 janvier 2018. Nouvelle étape en septembre 2019, avec l’authentification forte. Mise au point avec Frederik Mennes, VASCO Data Security.
Avant la DSP2, l’authentification forte restait seulement recommandée. Avec la DSP2, elle deviendra obligatoire… Concrètement, au moment d’une transaction en ligne, elle consiste en deux niveaux d’identification. Exemple le plus connu : entrer un numéro de carte bancaire online, puis confirmer l’achat avec un code reçu par SMS. Ce peut être aussi valider un mot de passe ou un code pin, posséder un certain type de carte ou encore présenter des empreintes digitales ou un scan de l’iris.
«Fort logiquement, la DPS2 vise à imposer des normes plus strictes concernant les transactions, afin de réduire la fraude et renforcer la confiance des consommateurs dans les achats en ligne, explique Frederik Mennes, Senior Manager Market & Security Strategy. Les banques, notamment, seront tenues d’authentifier de manière sécurisée tous les accès aux comptes, et les autorisations de paiements effectués par leur intermédiaire. Par ailleurs, on verra des acteurs tiers, comme Facebook, Amazon ou encore Google, proposer une multitude de nouveaux services aux consommateurs. Il se pourrait même qu’un jour un de ces GAFA envoie à un client la meilleure offre de prêt-auto sur la base de ses finances en temps réel, ce qui serait encore plus disruptif… ou bien ferait émerger de nouvelles industries !»
L’authentification forte, mesure majeure de la DSP2
Qui dit DSP2 dit open banking. Selon une étude du cabinet Accenture, les banques pourraient perdre jusqu’à 43% de leurs revenus basés sur les transactions d’ici 2020. Mais nombreuses sont celles qui s’apprêtent à relever le défi de l’open banking, cela en simplifiant les opérations internes et en travaillant avec les partenaires fintechs pour déployer de nouveaux services très attractifs. Néanmoins, les plus grands défis pour les banques et les acteurs du paiement en ligne ne seront pas liés à la création de services innovants, mais bien à la sécurité.
L’authentification forte est une mesure majeure de la DSP2. Comme le note Frederik Mennes, les paiements en ligne, la création de virements permanents et les autorisations de prélèvements feront l’objet d’une authentification forte; les paiements inférieurs à un certain montant ou les virements à une liste pré-validée de bénéficiaires «fiables» ne seront, quant à eux, pas soumis à ce mode d’authentification.
Les défis sont considérables
Au-delà des procédures existantes d’envoi d’un code PIN par SMS ou d’un mot de passe à usage unique, d’autres moyens innovants d’authentification seront utilisés à l’avenir. On peut citer notamment la biométrie classique (validation de l’identité de l’utilisateur, par empreintes digitales par exemple) ou comportementale (détection des fraudes grâce à une intelligence artificielle en exploitant des données telles que la géo-localisation, le périphérique utilisé, l’objet du paiement ou même la façon de manipuler l’écran tactile ou la souris). Le big data sera aussi de plus en plus utilisé dans l’analyse de risques afin de reconnaître certaines opérations sûres ne nécessitant pas d’authentification forte et, ainsi, alléger le parcours client tout en garantissant la sécurité des transactions.
«Les défis à relever pour mettre en œuvre une authentification forte pour les clients sont considérables car ils impliquent de nombreux acteurs et diverses procédures, explique Frederik Mennes. Les technologies et processus sélectionnés doivent se conformer aux normes établies, tout en respectant les attentes des utilisateurs. Enfin, outre les enjeux de conformité, les facteurs psychologiques doivent également être pris en compte… Ces questions -et d’autres- relèvent de notre compétence. Aussi, nous avons développé un ensemble de services et de produits pour accompagner le secteur financier. Et, depuis un an, nous sommes fort sollicités…»
Saisir la DSP2 pour se différencier
Dans cette approche de la problématique, il ne faudrait pas non plus négliger les consommateurs : ils ne souhaitent pas seulement bénéficier de plus de sécurité, ils veulent aussi un plus grand confort d’utilisation. Si la sécurité doit les ralentir, ils abandonneront tout simplement leur panier d’achat virtuel, ce qui aurait pour conséquence une baisse de satisfaction des consommateurs, des commerçants et des opérateurs de paiement.
«Pour les établissements bancaires, le risque est de perdre le monopole de la connaissance du client sur leurs métiers, ils doivent donc prendre les devants en proposant eux-mêmes les services innovants que les utilisateurs attendent, observe encore Frederik Mennes. En même temps, la DSP2 peut leur permettre de se différencier. C’est la raison pour laquelle l’authentification forte du client représente bien plus qu’un enjeu technologique ou légal. C’est un élément essentiel à la sécurité : une sécurité qui offrira aux banques de nouvelles perspectives et qui leur permettra d’innover et de bénéficier de la création de valeur.»