Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets
Arlo

Internet : Internet : Sécurité des banques en ligne, le mythe !
Posté par JulieM le 13/2/2012 11:30:00 Articles du même auteur

Derrière la technologie et le produit… Le point de vue de l’expert avec Network Computing. Cette master class a été organisée en partenariat avecActivIdentity, passons au crible deux mythes relatifs à la sécurité des banques en ligne et démontrons que les notions de service et de préférences utilisateurs s’inscrivent au cœur d’une politique de sécurité efficace.



Deux mythes relatifs à la sécurité des banques en ligne, des notions de service et de préférences utilisateurs qui s’inscrivent au cœur d’une politique de sécurité efficace.

Mythe N°1 : une politique de sécurité en ligne renforcée incommode les utilisateurs et est source de mauvaises expériences pour eux.

Les banques appliquant les politiques de sécurité les plus strictes disposent d’une meilleure capacité à satisfaire leurs clients et peuvent proposer plus de services que leurs concurrents moins fiables en la matière. Prenons l’exemple de cette banque, qui a lancé son service en ligne en appliquant dès le départ une authentification forte bi-facteurs basée sur un OTP (One-Time Password) pour chaque connexion : rapidement, elle a atteint 2,5 millions d’utilisateurs en ligne, malgré un processus de connexion basé sur un protocole « défi/réponse ».





Élaborer des systèmes en ligne qui soient à la fois riches en fonctionnalités, fiables du point de vue de la sécurité et pratiques pour les clients : voici le challenge auquel sont confrontées les institutions financières. Aussi, le fait d’offrir aux utilisateurs la possibilité de choisir leurs options de sécurité améliore la fidélisation, comme l’illustrent les exemples suivants.

• En fonction de l’utilisation qu’il entend faire du service, le client doit pouvoir choisir sa méthode d’authentification favorite lorsqu’il se connecte. En effet, un mot de passe pourra s’avérer suffisant pour visualiser le statut de ses différents comptes et réaliser un virement interne entre ces derniers.

• Pour plus de praticité, il convient également de permettre au client de configurer lui-même ses critères de sécurité selon ses usages. Lorsqu’il est connecté suivant une méthode d’authentification forte, via un OTP (One-Time Password) ou un message SMS, il doit être possible de réinitialiser le mot de passe ou bien d’activer / de désactiver totalement l’accès.

• Afin d’autoriser le client à se connecter depuis le terminal de son choix, une banque en ligne proposera des applications dédiées aux téléphones mobiles et aux tablettes. Cependant, l’utilisation du navigateur Web intégré à ce type d’équipement n’est généralement pas une bonne option. Mieux vaut concevoir ces applications en prenant en compte les questions de sécurité, tout en restant attentif à leur compatibilité avec la politique de sécurité et les équipements d’authentification de l’entreprise. De cette manière, quels que soient le terminal ou l’application utilisés, l’internaute aura accès à un service de qualité constante dans un environnement familier et fiable.

• Certains clients souhaiteront obtenir leurs identifiants en se rendant directement dans leur agence, tandis que d’autres préféreront que tout soit géré par téléphone. Quant aux plus connaisseurs, ils voudront parfois utiliser leur téléphone mobile en guise d’OTP. Laissez-leur le choix.

Mythe N°2 : l’accès à tout service doit, dès les premières étapes, être protégé par les mesures de sécurité les plus fortes.

L’augmentation du niveau de sécurité doit être liée au caractère sensible des transactions réalisées. En effet, si la connexion à un compte en ligne peut être protégée via une authentification par un simple mot de passe, l’accès à des virements requiert plus de rigueur. Inspirez-vous des meilleures pratiques présentées ci-après.

• Rendez les choses aussi faciles que possible. Par exemple, pour valider une transaction, n’exigez une signature que si l’argent est viré vers des comptes extérieurs. Autorisez également les transactions en différé, que ce soit pour un paiement, un virement ou toute autre opération nécessitant une signature.

• Pour effectuer la signature, ayez recours à une technologie sécurisée, mais adaptée au niveau de risque. Les cartes à puce, les tokens matériels ou logiciels et les messages SMS sont autant de moyens de procéder à la signature électronique. Toutefois, pour permettre à un client de se connecter et de réaliser des opérations en ligne, une banque se contentera de lui demander un identifiant de sécurité fort. De plus, l’utilisateur devra pouvoir choisir, sans y être contraint, d’utiliser plusieurs identifiants.

• Les éléments validés par la signature électronique doivent être clairement identifiables. Cela est particulièrement important aujourd’hui, en raison des récentes attaques dont ont été victimes certains des fournisseurs de certificats comptant parmi les plus fiables et du piratage des mécanismes liés aux protocoles de sécurisation (SSL/TLS) utilisés par les navigateurs Web. Par exemple, dans le cas d’un virement de 500€ émis le 3 décembre par le compte 12345678 vers le compte 87654321, les données relatives à la transaction peuvent être réunies dans un sous-groupe, qui sera crypté (signé électroniquement) par le client, en utilisant un identifiant de sécurité fort. Si l’on a recours à un OTP, le nombre 5008321312 (500 étant le montant, 8 le dernier chiffre du compte émetteur, 321 les trois derniers chiffres du compte destinataire et 312 la date de la transaction) sera enregistré dans le token dédié au cryptage. Ce dernier retournera ensuite une version cryptée de ce numéro qui, une fois enregistré par le site Internet de la banque, sera validé par son système comme étant la seule autre entité à avoir accès à la même clé de cryptage.

Si la fiabilité ne peut être compromise, appliquer les meilleurs niveaux de sécurité ne signifie pas nécessairement que l’on appauvrit l’expérience utilisateur. En réalité, en offrant un certain niveau de contrôle à l’internaute, il est même possible d’obtenir de meilleurs résultats.

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
6/12/2023 15:00:00 - Towers & Powers est un jeu de défense de tour en réalité virtuelle
6/12/2023 14:00:00 - Comment créer une IA de confiance ?
6/12/2023 13:00:00 - Prédictions de Netskope pour 2024 : zero trust, IA et au-delà
4/12/2023 15:00:00 - Stalker 2 : nouveau trailer
4/12/2023 14:00:00 - E-mail de relance en e-commerce : astuces pour faire mouche
4/12/2023 13:00:00 - Cybercriminalité : 5 tendances.
4/12/2023 12:00:00 - Interview Insolite : Conversation amicalement avec ChatGPT
22/11/2023 15:00:00 - League of Legends : Hwei, le visionnaire
22/11/2023 14:00:00 - Like a Dragon : Infinite Wealth, consoles
22/11/2023 13:00:00 - Les applications Google vecteurs de malwares.

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



Bitdefender

Pocketalk
Arlo





© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité