Actualités des paiements


Posté le 3 septembre 2019

Paiements à distance – Vers une gestion mutualisée de l’authentification client

 

Le report de l'échéance de l'obligation fixée par la DSP2 d'authentification forte pour les paiements à distance ouvre de nouvelle perspectives pour permettre aux acteurs de s'adapter tout en préservant la fluidité des parcours clients. 

Thierry Leblond, Directeur du Pôle Monétique et Moyens de Paiement de PW Consultants Sébastien Lethiec, Directeur chez PW Consultants ont apporté leur analyse dans le dernier numéro de Revue Banque. 

 

 

Paiements à distance, Vers une gestion mutualisée de l’authentification client

 

L’échéance DSP2 du 14 septembre 2019 concernant la mise en oeuvre de solutions d’authentification forte sur les paiements à distance a été reportée pour permettre à tous les acteurs, banques comme commerçants, de mettre en oeuvre ces solutions en limitant les impacts sur les parcours clients. C’est aussi une opportunité pour les banques pour se doter d’un gestionnaire d’authentification multi-services.

 

Dans une opinion publiée le 21 juin 2019, l’Autorité Bancaire Européenne (ABE) réaffirme que l’OTP SMS, bien qu’il soit la solution la plus communément mise en œuvre par les établissements bancaires et qu’il permette à ce jour de contenir la fraude des paiements à distance, n’est pas une solution conforme à l’exigence d’authentification forte (SCA) pour les opérations de paiement s’appliquant à compter du 14 septembre 2019.

 

Cependant, afin de permettre une appropriation des solutions d’authentification forte aussi bien par les clients des banques que par les commerçants, l’ABE demande aux Autorités nationales compétentes de définir avec chaque prestataire de service de paiement un plan de déploiement de solutions SCA et d’en suivre la mise en œuvre effective.

 

La Banque de France demande un effort significatif sous 18 mois

 

« L’Observatoire sur la Sécurité des Moyens de Paiement demande aux établissements bancaires d’atteindre l’objectif de 70% de clients équipés fin 2020 »

 

En France, le rapport annuel 2018, publié le 9 juillet 2019, de l’Observatoire sur la Sécurité des Moyens de Paiement de la Banque de France demande aux établissements bancaires de commencer à équiper leurs clients de solutions SCA qui remplaceront l’OTP SMS au second semestre 2019 puis de produire un effort significatif l’année suivante pour atteindre l’objectif de 70% de clients équipés fin 2020, puis de 90% mi 2022 (schéma 1).

La Banque de France suivra l’évolution de l’équipement des clients des banques mais aussi le ratio entre les « transactions mettant en œuvre un dispositif d’authentification conforme SCA» et celles « requérant, au regard de la réglementation, une authentification forte ».

 

Cela concerne donc aussi bien les paiements par carte sur internet que les opérations bancaires en ligne telles qu’un virement ou l’enregistrement d’un nouveau numéro de téléphone.

 

Schéma 1 - Déploiement des solutions d’authentification forte - L’enrôlement progressif des clients

 

 

 

Aujourd’hui, vu du client, un process simple

 

Le client reçoit un code temporaire par SMS qu’il renseigne sur un écran. Son « parcours client » est identique pour un paiement par carte sur internet ou pour la validation d’un virement en ligne.

 

Mais vu de la banque, la situation est différente. Le paiement carte et les services en ligne fournis par la banque sont souvent issus de « deux mondes » différents. Le numéro de téléphone auquel envoyer le SMS est le même, mais le module de gestion des risques décidant s’il faut déclencher un OTP SMS et le module d’envoi et de vérification de ce mot de passe temporaire sont spécifiques à la carte d’un côté et aux services bancaires en ligne de l’autre (schéma 2).

 

Dans cette situation, à chaque fois que la banque veut sécuriser un nouveau service, elle met en place un module d’authentification spécifique. Outre le manque de souplesse, cela implique aussi une fragmentation de la connaissance des clients et une grande difficulté à consolider une vision des risques sur l’ensemble des transactions requérant une authentification.

 

 

Schéma 2 : Module d’authentification - Paiement carte et services en lignes : deux process distincts

 

 

 

Conserver la fluidité du parcours client

 

« Le délai accordé par l’ABE pour la mise en œuvre de la SCA doit être mis à profit pour « masquer » cette complexité et conserver des parcours d’authentification fluides. »

 

Pour se conformer aux exigences d’authentification forte, il faut désormais équiper chaque client de deux facteurs d’authentification de types différents (la connaissance, la possession ou l’inhérence).  Le cycle de vie de ces facteurs d’authentification est beaucoup plus complexe à gérer qu’un simple numéro de téléphone. En effet, il faut gérer des éléments tels que la version de l’application mobile de la banque, une paire de clés symétriques ou un mot de passe. L’association entre le client et le facteur d’authentification doit être robuste, non seulement lors de l’attribution initiale, mais surtout lors de la réactivation.

 

Dans ce contexte, le délai accordé par l’ABE pour la mise en œuvre de la SCA doit être mis à profit pour « masquer » cette complexité et conserver des parcours d’authentification fluides. Par exemple, si l’un des facteurs d’authentification est un mot de passe, il serait judicieux d’éviter que le client ait à mémoriser autant de mots de passe que de services à sécuriser !

 

Enfin, les RTS précisent que chaque transaction relative à une opération de paiement doit faire l’objet d’une analyse de risque tenant compte notamment de l’historique et des habitudes du client. Analyse difficile à réaliser si chaque service de paiement dispose de son propre module d’authentification.

 

Apparaissent alors évidents les avantages de la mutualisation de la gestion de l’authentification pour l’ensemble des services faisant appel à une authentification du client (schéma 3). Cette mutualisation présente plusieurs avantages :

  1. la banque capitalise sur la SCA comme facteur de confiance dans toutes ses relations à distance avec ses clients et pourrait à termes proposer l’utilisation de cette SCA comme élément d’identification à des acteurs tiers.
  2. la banque équipe ses clients de plusieurs facteurs d’authentification et leur affecte un niveau de robustesse. Cela permet de gérer leur cycle de vie et de décider, par exemple, qu’au-delà d’une certaine date, le capteur biométrique d’un couple mobile / système d’exploitation n’est plus valide. Cela incite donc à anticiper l’équipement du client avec un facteur d’authentification complémentaire avant la date de caducité de celui qu’il utilise.
  3. ayant une vision claire de l’ensemble des transactions du client, la banque peut moduler le niveau d’authentification requis et décider d’appliquer le niveau d’authentification adéquat : une authentification « contextuelle » (reconnaître le mobile du client dans une zone géographique cohérente pour un montant cohérent avec ses habitudes d’achat), une authentification simple (un seul facteur d’authentification), ou une authentification forte (deux facteurs d’authentification).

 

 

Schéma 3 : Nouveau processus - La mutualisation de l’authentification client

 

 

 

Consolider les données nécessaires aux reportings réglementaires

 

L’Observatoire de la Sécurité des Moyens de Paiement de la Banque de France collecte, deux fois par an, auprès des banques, les chiffres relevant l’équipement des clients en solution SCA et les transactions pour lesquelles la SCA a effectivement été mise en œuvre. Le premier reporting est à fournir à la fin de l’année 2019.

Dans le cadre de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR, l’annexe sur la sécurité des moyens de paiement vient de passer cet été de 25 à 50 pages pour intégrer la description du niveau de conformité des banques aux RTS.

 

Concernant la conformité à l’obligation d’authentification forte, il s’agira de justifier que les solutions d’authentification retenues sont effectivement « fortes » (force et indépendance des facteurs choisis), que le niveau d’équipement progresse, et que le cycle de vie des facteurs d’authentification est robuste. Il faudra aussi vérifier la complétude, l’exactitude et la cohérence de la collecte des données sur les transactions faisant appel ou non à la SCA.

 

Toutes ces données seront d’autant plus simples à fournir si elles sont gérées en un seul et même endroit.

 

L'article sur Revue Banque : http://www.revue-banque.fr/risques-reglementations/article/paiements-distance-vers-une-gestion-mutualisee-aut

Besoin de plus d'infos ? Contactez-nous !

20 rue Euler
75008 Paris
Téléphone : 01.49.52.93.93
contacteznous@pw-consultants.com

Dans le cadre de l’entrée en vigueur du RGPD (Règlement Général pour la Protection des Données) depuis le 25 mai 2018, sachez que les données que vous nous fournirez seront uniquement utilisées pour le traitement de votre demande.

Conformément à la loi « Informatique et libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez adresser votre demande à : rgpd@pw-consultants.fr