Depuis que l’Union européenne a adopté sa directive révisée sur les services de paiement (DSP2), l’authentification forte du client (SCA en anglais pour Strong Customer Authentication) est sur toutes les lèvres. Mais qu’est-ce que la SCA exactement ? Quelles sont les conséquences pour nos transactions en ligne ? Quels sont les défis pour les entreprises ayant une activité en ligne et quels sont ses avantages ?
En octobre 2015, l’Union européenne a adopté un nouveau règlement sur les services de paiement dont l’objectif est de mieux protéger les consommateurs lorsqu’ils effectuent des opérations en ligne ou des paiements transfrontaliers. Bien que sa date limite de transposition initiale ait été reportée, la SCA est rapidement devenue un élément incontournable de nos interactions quotidiennes sur le web avec les banques, les commerçants en ligne et les prestataires de services.
Mais qu’est-ce qui a motivé cette volonté d’adopter des mesures de sécurité renforcées ? Pour répondre à cette question, nous devons dans un premier temps étudier ce qui a conduit à la DSP2, notamment une recrudescence des cybermenaces touchant aussi bien les particuliers que les entreprises.
Pour finir, nous devons analyser à la fois les avantages et les inconvénients que l’authentification forte du client crée pour les commerçants et les prestataires de services en ligne. Que peuvent faire les émetteurs de cartes, les banques et les établissements financiers pour se conformer aux obligations imposées par la SCA, tout en continuant à offrir une expérience fluide à leurs utilisateurs et à les fidéliser.
Qu’est-ce que l’authentification forte du client ?
L’authentification forte du client (ou SCA en anglais) est une réponse directe à l’évolution profonde des modes de consommation en ligne et des habitudes bancaires des citoyens européens depuis 2010. Bien qu’elle offre un niveau de sécurité renforcé, elle s’accompagne d’un niveau de complexité supplémentaire. Mais comment fonctionne-t-elle exactement ?
La SCA est l’une des pierres angulaires de la DSP2. Elle impose aux prestataires de services de paiement (PSP) au sein de l’Espace économique européen (EEE) de mettre en place des procédures d’authentification multifacteurs (AMF). Cela garantit ainsi que des clients qui ont accès à des services de paiement et partagent des données sensibles par le biais d’applications de banque en ligne et d’interfaces similaires sont bien ceux qu’ils prétendent être.
Au minimum, l’authentification à deux facteurs (A2F) oblige les utilisateurs à fournir deux des éléments suivants lorsqu’ils effectuent une opération ou consultent des documents confidentiels :
Ce que vous savez | Ce que vous possédez | Ce qui vous est propre |
Mot de passe | Numéro de téléphone | Empreinte digitale |
Code PIN | Jeton | Reconnaissance faciale |
Information secrète | Carte à puce | Reconnaissance vocale |
Ces trois catégories peuvent être résumées selon les concepts suivants :
- Connaissance – il s’agit des mots de passe, des numéros d’identification personnels (PIN) ou d’informations que l’utilisateur ou le client est le seul à pouvoir fournir.
- Possession – il s’agit de ce que l’utilisateur a sur lui, y compris un téléphone portable, un jeton ou une carte à puce, et qui peut être utilisé pour fournir les informations demandées.
- Inhérence – cela se rapporte aux caractéristiques physiques de l’utilisateur, telles que la reconnaissance grâce à son visage, sa voix ou ses empreintes digitales.
Alors que cette dernière catégorie nous aurait semblé tout droit sortie d’un film de science-fiction il y a seulement quelques années, elle est maintenant devenue omniprésente dans notre quotidien. Parmi les incarnations les plus répandues, citons le Face ID d’Apple ou les capteurs d’empreintes digitales utilisés par les fabricants de smartphones pour permettre le déverrouillage de leurs appareils, en lieu et place du traditionnel code PIN.
Au-delà de l’augmentation rapide des modes de consommation en ligne, la question demeure cependant de savoir ce qui a motivé le renforcement des méthodes d’authentification. Et avec quelles conséquences potentielles pour les particuliers et les entreprises exerçant leurs activités en ligne ?
Le saviez-vous ? Selon les chiffres publiés par l’Autorité bancaire européenne, au sein de l’UE, plus de 50 % des consommateurs utilisaient des services de banque en ligne en 2017, contre seulement 25 % en 2007. |
Pourquoi introduire la SCA ?
Si les protections offertes aux consommateurs lors de l’utilisation de services de banque en ligne et sur des sites e-commerce semblaient faire défaut avant la deuxième directive sur les services de paiement, les raisons sont simples. Parmi ces raisons figure notamment l’augmentation notable du nombre et du degré de sophistication des cyberattaques au cours des dix dernières années, les évolutions plus récentes exacerbant encore cette tendance. Si la SCA a vocation à atténuer les cybermenaces, elle peut également avoir des répercussions négatives sur le parcours utilisateur sur une plateforme, dans une application ou sur un site web donné. Mais dans quelle mesure ?
En 2020, tandis que la pandémie de COVID-19 bouleversait véritablement nos vies, les escroqueries par hameçonnage, les logiciels malveillants, les ransomwares et autres types d’attaques frauduleuses ont connu une augmentation exponentielle et de nombreux professionnels du secteur des services ont fait le choix, du jour au lendemain, du télétravail. Même avant la pandémie, la cybercriminalité avait connu une recrudescence régulière année après année, au cours de la dernière décennie. Dans son 9e rapport annuel sur le coût de la cybercriminalité intitulé « Cost of Cybercrime Study », dans le cadre duquel plusieurs milliers de dirigeants de 355 entreprises réparties dans 11 pays ont été interrogés, Accenture a constaté une augmentation de 67 % des violations de sécurité au sein des entreprises entre 2013 et 2018. Cependant, les données des salariés et des entreprises ne sont pas les seules cibles des cybercriminels puisque les cyberattaques visant les particuliers ont connu une progression similaire. La DSP2 vise donc à remédier à cette situation.
Les vulnérabilités inhérentes à l’authentification à facteur unique (AFU), comme l’utilisation récurrente de mots de passe faciles à oublier, exposent les consommateurs à toutes sortes de cybermenaces. Il incombe donc désormais aux émetteurs de cartes, aux banques et aux prestataires de services de paiement d’instaurer un mécanisme d’authentification forte du client offrant de meilleures garanties contre les intrusions malveillantes.
Dans l’ensemble, cette authentification forte du client présente à la fois des avantages et des inconvénients pour les particuliers et les entreprises dans le cadre de leurs activités en ligne :
AVANTAGES | INCONVÉNIENTS |
Pour les consommateurs, cette sécurité renforcée implique un risque moindre de fraude et de cyberattaques | Elle peut ralentir l’accès aux services et aux boutiques en ligne en cas de mise en œuvre maladroite |
Les consommateurs qui étaient auparavant réticents à l’idée d’effectuer des transactions en ligne sont également rassurés par l’authentification forte | Si le client trouve le processus peu pratique, cela peut entraîner, pour les e-commerçants, l’abandon du processus d’achat |
L’authentification forte crée des conditions de concurrence équitables pour les entreprises fonctionnant en ligne puisqu’en majorité, elles doivent se conformer à la SCA | Les méthodes d’authentification plus sophistiquées (par exemple la reconnaissance faciale) ne sont toutefois pas encore très répandues |
Pour ce qui est de l’expérience utilisateur, il est indéniable que les frictions éventuelles, liées l’authentification multifacteurs sont devenues un sujet de préoccupation pour bon nombre d’entreprises. La question qui se pose donc est la suivante : de quelle manière les émetteurs de cartes, les banques et les prestataires de services de paiement peuvent-ils garantir la sécurité des particuliers tout en préservant la fluidité de l’expérience utilisateur ?
Le saviez-vous ? Selon les données de 2018 recueillies par la société britannique de marketing comportemental SaleCycle, le secteur des services financiers est, après celui du tourisme et du transport aérien, le secteur dans lequel les consommateurs sont les plus susceptibles d’abandonner leur panier en ligne avant même la finalisation de leur achat. |
Sécurité ou expérience utilisateur, une équation impossible à résoudre ?
Uber, Deliveroo, Just Eat… la liste est longue. D’innombrables services fournis grâce à une application ont fleuri ces dernières années, faisant du service rapide, du paiement immédiat et d’une expérience utilisateur sans friction des éléments incontournables de notre quotidien. L’authentification forte du client a créé un véritable casse-tête pour les entreprises qui souhaitent offrir à leurs clients un niveau de service fluide et sans friction identique à celui que tant de personnes considèrent aujourd’hui comme acquis. Alors, que peut-on faire exactement ?
En vertu de la DSP2, les e-commerçants eux-mêmes n’ont aucun contrôle sur la manière dont l’authentification forte est mise en œuvre, puisque cette responsabilité incombe aux émetteurs de cartes et aux partenaires bancaires de leurs clients. Cela peut être une véritable source de frustration, même si les deux parties ont tout intérêt à maintenir une expérience de paiement fluide. Lorsque les opérateurs bancaires traditionnels ont commencé à proposer leurs services de banque en ligne via des applications, ils ont bien souvent opté pour une version simplifiée de leur interface web sur laquelle les clients effectuent habituellement leurs virements et consultent leur solde en quelques clics. Les perturbations causées par l’authentification forte pour les banques en ligne et son impact potentiel sur l’expérience utilisateur ne sont pas passés inaperçus.
Les entreprises et les prestataires de services de paiement qui ne tiennent pas compte des attentes des utilisateurs le font à leurs risques et périls. Selon une enquête sur le commerce de détail en ligne récemment menée par l’institut de recherche en expérience utilisateur indépendant Baymard, un « processus de paiement long ou compliqué » est le troisième motif le plus fréquemment cité pour expliquer l’abandon d’une opération en ligne, plus de 20 % des personnes interrogées dans cette catégorie l’ayant cité pour expliquer leur décision. Pire encore, la proportion de ceux qui ont abandonné leur panier parce que le site web voulait qu’ils « créent un compte » s’élevait à près de 30 %.
À une époque où la possibilité de passer d’une boutique ou d’un prestataire de services en ligne à un ou une autre n’a jamais été aussi simple, l’équilibre précaire entre la sécurité et la fluidité du parcours utilisateur est une source de préoccupation importante pour les entreprises, les banques et les établissements financiers. Les options d’authentification proposées doivent être aussi vastes que possible, tout en tenant compte de la diversité des profils des utilisateurs ou des clients. Trouver cet équilibre peut faire toute la différence. Malgré l’authentification forte, la fidélisation des clients peut se trouver renforcée et non diminuée en raison d’étapes perçues comme pénibles et contraignantes.
Pour réduire les frictions dans le cadre du parcours utilisateur et s’assurer que les attentes de tous les utilisateurs et clients sont bien prises en compte, les émetteurs de cartes, les banques et les prestataires de services de paiement doivent prendre en considération les facteurs suivants :
1. Tous les systèmes d’exploitation mobiles (OS) ne sont pas à jour
- Les commerçants ou les utilisateurs sont susceptibles de ne pas mettre à jour automatiquement leur système d’exploitation lorsque cela est nécessaire.
- L’authentification forte sur les plateformes ou les applications doit donc fonctionner même si un système d’exploitation ne dispose pas des dernières mises à jour.
2. Tout le monde n’a pas un smartphone
- Les personnes âgées qui n’ont pas de smartphones peuvent représenter une proportion importante de la clientèle d’une entreprise. Les méthodes utilisées dans le cadre d’une authentification forte du client devraient en tenir compte.
- Lorsque les notifications « push » ne peuvent pas être utilisées, il convient de faciliter l’utilisation de mots de passe à usage unique (MPUU) par le biais d’appels automatiques ou de SMS.
3. L’authentification forte est inutile pour les transactions récurrentes
- Les transactions récurrentes associées à un ordre permanent pour les débits ou les abonnements ne sont tenues de satisfaire aux exigences imposées par l’authentification forte qu’une seule fois.
- Recurring direct debit transactions initiated by the payee are exempt.
4. Des solutions biométriques existent
- La reconnaissance précise du visage ou des empreintes digitales est la forme d’authentification la plus sûre qui soit.
- C’est également celle qui permet le parcours utilisateur le plus fluide.
- Les prestataires de services d’identification numérique proposent des solutions qui s’intègrent directement aux interfaces des applications ou aux infrastructures des plateformes existantes.
5. Informer, c’est rassurer
- Il est essentiel de fournir aux clients des informations sur les situations dans lesquelles une authentification forte est nécessaire.
- Expliquer son objectif, c’est-à-dire la réduction des cyberattaques et de la fraude, est primordial.
- Conseiller aux clients de mettre régulièrement à jour leurs appareils mobiles, leurs systèmes d’exploitation et leurs données à caractère personnel garantit une fluidité accrue lors de l’utilisation de l’authentification forte.
En fin de compte, les entreprises et les commerçants en ligne ont également un rôle à jouer pour que celle-ci ne soit pas perçue comme une entrave. En informant leurs clients des avantages qu’elle confère en matière de sécurité, ils peuvent eux aussi les rassurer et atténuer les réticences perçues initialement. L’authentification forte, quoi qu’on en pense, est appelée à perdurer. Même si elle peut momentanément entraîner des désagréments, avec le temps, elle deviendra plus intuitive ; alors qu’en matière de transactions en ligne, les consommateurs et les entreprises de l’espace économique européen s’adapteront au nouvel environnement défini par la DSP2.
Le saviez-vous ? Selon une enquête réalisée auprès de 1 000 titulaires de cartes britanniques en 2020, Visa, la multinationale spécialisée dans les services de paiement, a constaté que 66 % des personnes interrogées pensaient que les méthodes d’authentification biométrique étaient plus faciles à utiliser que les mots de passe. |
Peu de législations n’ont eu de répercussions d’une telle ampleur sur les transactions en ligne que les DSP1 et DSP2. Au-delà de l’instauration d’un cadre applicable aux nouveaux services de paiement, les dispositions de la DSP2 sur l’authentification forte du client offrent aux consommateurs une protection accrue contre les cyberattaques lors de leurs transactions en ligne. Les mesures associées créent toutefois des défis de taille en matière d’expérience utilisateur.
Il incombe aux émetteurs de cartes, aux banques et aux prestataires de services de paiement de veiller à ce que le parcours utilisateur et les transactions en ligne se déroulent sans heurts, sans être entravés par des mesures de sécurité renforcées. Cela est non seulement dans leur intérêt, mais aussi dans celui des établissements financiers, des consommateurs et des entreprises qui opèrent sur internet. Proposer des options d’authentification étendues et flexibles et informer les consommateurs sur les avantages de l’authentification forte sont quelques-uns des meilleurs moyens d’y parvenir.
Avec le temps, les méthodes d’authentification forte seront plus rapides, plus intuitives et de plus en plus répandues, et la réticence initiale s’estompera. Les risques de sécurité restent cependant une constante, et toutes les entreprises ayant une activité en ligne se doivent d’être vigilantes. Compte tenu de l’environnement réglementaire strict dans lequel ils évoluent, les prestataires de services financiers ont acquis une véritable expertise dans les domaines de la gestion des questions de sécurité et de la protection contre les menaces. Ils ont donc un rôle crucial à jouer dans la sensibilisation à ces questions afin de permettre aux entreprises de mieux se protéger.
Catégories