Lorsqu’on aborde la question de la sécurité des services bancaires en ligne, on se trouve confronté à deux préjugés assez répandus, qui retiennent les institutions financières d’offrir à leurs clients les meilleurs services possibles.

C’est, du moins, l’opinion d’Hilding Arrehead, Directeur monde des services aux professionnels chez ActivIdentity, que partage sa maison mère, HID Global, leader reconnu sur le marché des solutions d’identification sécurisée.

Comme l’explique M. Arrehead : « J’ai eu le plaisir de collaborer avec des banques du monde entier, afin de les accompagner dans la conception et la mise en place de solutions de sécurité dédiées à leurs systèmes en ligne. Ainsi, mes collègues et moi-même avons appris un certain nombre de choses sur les moyens à déployer pour proposer des solutions à la fois sécurisées et conviviales du point de vue de l’utilisateur.

Pour commencer, il faut savoir qu’une expérience utilisateur offrant un confort moindre lors de la connexion ne pose aucun souci, du moment que les clients se sentent en sécurité et qu’ils ont accès à un maximum de services bancaires en ligne (voire, de préférence, à l’ensemble des services proposés). »

Alors, comment utiliser les technologies de pointe actuellement disponibles pour concevoir un système bancaire en ligne bénéficiant d’une sécurité renforcée, tout en garantissant un vrai confort d’utilisation et un accès aussi large que possible à tous les services que vous souhaitez proposer ?

Voici les suggestions de M. Arrehead :

1. Laissez à vos clients le soin de choisir leur méthode d’authentification lorsqu’ils se connectent, en fonction de l’utilisation qu’ils entendent faire de votre service.

2. Donnez-leur la possibilité de configurer leurs propres niveaux de sécurité.

3. Permettez-leur de décider eux-mêmes depuis quel type de terminal ils se connectent.

4. Intégrez votre système bancaire en ligne et sa sécurité à vos autres activités, afin de renvoyer à vos clients une image cohérente de votre approche en termes de sécurité.

5. Autorisez-les à utiliser les mêmes identifiants pour leur banque en ligne que pour l’accès à d’autres services bancaires.

6. Offrez-leur un accompagnement de qualité et suivant le mode qui leur convient : via une rubrique FAQ sur votre site Web, à travers une fonction de chat en ligne, par téléphone, par e-mail, en proposant des rendez-vous en face-à-face ou encore par courrier.

En matière de banque en ligne, l’un des préjugés les plus courants consiste à penser que la problématique de la sécurité peut tout simplement être résolue, grâce à une authentification dans les règles lors de l’accès au compte.

« Ce n’est pas de cette façon que j’ai appris à envisager la question. Le véritable risque encouru par les clients des banques en ligne, c’est de se faire voler de l’argent sur leurs comptes. Partant de ce constat, il convient de se concentrer sur les moyens de sécuriser les virements à proprement parler et non pas uniquement l’accès au service », poursuit M. Arrehead.

Fort de son expérience auprès de banques ayant réussi la mise en place de leurs systèmes en ligne, il estime que celles-ci se sont contentées de cette approche et partage quelques-unes de leurs recommandations :

1. Rendez les choses aussi simples que possible. Pour valider une transaction, n’exigez une signature que si l’argent est viré vers un compte n’appartenant pas au client et autorisez les transactions en différé.

2. Ayez recours à une technologie sécurisée, mais adaptée au niveau de risque pour effectuer la signature. Les cartes à puce, les tokens matériels ou logiciels et les messages SMS sont autant de moyens appropriés pour procéder à la signature électronique.

3. Assurez-vous que l’utilisateur identifie clairement ce à quoi se rapporte la signature électronique. Cela permet de se prémunir contre les menaces du type « man-in-the-middle », un risque particulièrement important aujourd’hui en raison des récentes attaques dont ont été victimes certains des fournisseurs de certificats comptant parmi les plus fiables et du piratage des mécanismes liés aux protocoles de sécurisation (SSL/TLS) utilisés par les navigateurs Web. (blog activIdentity)

4. Sauvegardez les informations relatives à la transaction, y compris la signature électronique du client, en les archivant dans une base de vérification des données sécurisée et inviolable. En effet, il peut s’avérer très utile d’être en mesure de prouver qu’un virement a été correctement effectué et validé, même après plusieurs années.

En conclusion, M. Arrehead souligne : « De toute évidence, chaque banque a ses propres atouts, des défis à relever et des besoins spécifiques en matière de sécurité. Votre solution de sécurité, y compris les mécanismes d’authentification et de validation des virements, doit donc nécessairement être définie avec précision pour satisfaire ces exigences. »