Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets
Arlo

Internet : Internet : Sécurité des banques en ligne, le mythe !
Posté par JulieM le 13/2/2012 11:30:00 Articles du même auteur

Derrière la technologie et le produit… Le point de vue de l’expert avec Network Computing. Cette master class a été organisée en partenariat avecActivIdentity, passons au crible deux mythes relatifs à la sécurité des banques en ligne et démontrons que les notions de service et de préférences utilisateurs s’inscrivent au cœur d’une politique de sécurité efficace.



Deux mythes relatifs à la sécurité des banques en ligne, des notions de service et de préférences utilisateurs qui s’inscrivent au cœur d’une politique de sécurité efficace.

Mythe N°1 : une politique de sécurité en ligne renforcée incommode les utilisateurs et est source de mauvaises expériences pour eux.

Les banques appliquant les politiques de sécurité les plus strictes disposent d’une meilleure capacité à satisfaire leurs clients et peuvent proposer plus de services que leurs concurrents moins fiables en la matière. Prenons l’exemple de cette banque, qui a lancé son service en ligne en appliquant dès le départ une authentification forte bi-facteurs basée sur un OTP (One-Time Password) pour chaque connexion : rapidement, elle a atteint 2,5 millions d’utilisateurs en ligne, malgré un processus de connexion basé sur un protocole « défi/réponse ».





Élaborer des systèmes en ligne qui soient à la fois riches en fonctionnalités, fiables du point de vue de la sécurité et pratiques pour les clients : voici le challenge auquel sont confrontées les institutions financières. Aussi, le fait d’offrir aux utilisateurs la possibilité de choisir leurs options de sécurité améliore la fidélisation, comme l’illustrent les exemples suivants.

• En fonction de l’utilisation qu’il entend faire du service, le client doit pouvoir choisir sa méthode d’authentification favorite lorsqu’il se connecte. En effet, un mot de passe pourra s’avérer suffisant pour visualiser le statut de ses différents comptes et réaliser un virement interne entre ces derniers.

• Pour plus de praticité, il convient également de permettre au client de configurer lui-même ses critères de sécurité selon ses usages. Lorsqu’il est connecté suivant une méthode d’authentification forte, via un OTP (One-Time Password) ou un message SMS, il doit être possible de réinitialiser le mot de passe ou bien d’activer / de désactiver totalement l’accès.

• Afin d’autoriser le client à se connecter depuis le terminal de son choix, une banque en ligne proposera des applications dédiées aux téléphones mobiles et aux tablettes. Cependant, l’utilisation du navigateur Web intégré à ce type d’équipement n’est généralement pas une bonne option. Mieux vaut concevoir ces applications en prenant en compte les questions de sécurité, tout en restant attentif à leur compatibilité avec la politique de sécurité et les équipements d’authentification de l’entreprise. De cette manière, quels que soient le terminal ou l’application utilisés, l’internaute aura accès à un service de qualité constante dans un environnement familier et fiable.

• Certains clients souhaiteront obtenir leurs identifiants en se rendant directement dans leur agence, tandis que d’autres préféreront que tout soit géré par téléphone. Quant aux plus connaisseurs, ils voudront parfois utiliser leur téléphone mobile en guise d’OTP. Laissez-leur le choix.

Mythe N°2 : l’accès à tout service doit, dès les premières étapes, être protégé par les mesures de sécurité les plus fortes.

L’augmentation du niveau de sécurité doit être liée au caractère sensible des transactions réalisées. En effet, si la connexion à un compte en ligne peut être protégée via une authentification par un simple mot de passe, l’accès à des virements requiert plus de rigueur. Inspirez-vous des meilleures pratiques présentées ci-après.

• Rendez les choses aussi faciles que possible. Par exemple, pour valider une transaction, n’exigez une signature que si l’argent est viré vers des comptes extérieurs. Autorisez également les transactions en différé, que ce soit pour un paiement, un virement ou toute autre opération nécessitant une signature.

• Pour effectuer la signature, ayez recours à une technologie sécurisée, mais adaptée au niveau de risque. Les cartes à puce, les tokens matériels ou logiciels et les messages SMS sont autant de moyens de procéder à la signature électronique. Toutefois, pour permettre à un client de se connecter et de réaliser des opérations en ligne, une banque se contentera de lui demander un identifiant de sécurité fort. De plus, l’utilisateur devra pouvoir choisir, sans y être contraint, d’utiliser plusieurs identifiants.

• Les éléments validés par la signature électronique doivent être clairement identifiables. Cela est particulièrement important aujourd’hui, en raison des récentes attaques dont ont été victimes certains des fournisseurs de certificats comptant parmi les plus fiables et du piratage des mécanismes liés aux protocoles de sécurisation (SSL/TLS) utilisés par les navigateurs Web. Par exemple, dans le cas d’un virement de 500€ émis le 3 décembre par le compte 12345678 vers le compte 87654321, les données relatives à la transaction peuvent être réunies dans un sous-groupe, qui sera crypté (signé électroniquement) par le client, en utilisant un identifiant de sécurité fort. Si l’on a recours à un OTP, le nombre 5008321312 (500 étant le montant, 8 le dernier chiffre du compte émetteur, 321 les trois derniers chiffres du compte destinataire et 312 la date de la transaction) sera enregistré dans le token dédié au cryptage. Ce dernier retournera ensuite une version cryptée de ce numéro qui, une fois enregistré par le site Internet de la banque, sera validé par son système comme étant la seule autre entité à avoir accès à la même clé de cryptage.

Si la fiabilité ne peut être compromise, appliquer les meilleurs niveaux de sécurité ne signifie pas nécessairement que l’on appauvrit l’expérience utilisateur. En réalité, en offrant un certain niveau de contrôle à l’internaute, il est même possible d’obtenir de meilleurs résultats.

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



Bitdefender

Pocketalk
Arlo





© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité