| |
 |
Gaël Barrez
Responsable de produit
RSA Security |
|
Gaël Barrez
"Les banques françaises interdisent beaucoup d'opérations sur Internet"
Bien qu'encore peu affectées par le phishing, les établissements français pourraient à terme devoir renforcer la sécurité. Profiling, moteur de risque, contrôle temps réel, les solutions ne manquent pas.
21/11/2006 |
| |
|
 |
JDN
Solutions. Où en sont les banques françaises dans l'adoption de solutions d'authentification forte
?
Gaël Barrez. Elles ont déjà mis en place des mesures, en général des solutions développées en interne. La problématique et l'objection en France sont de deux sortes. D'une part le coût. Les banques ne veulent pas trop dépenser, parce qu'en termes de fraude à l'heure actuelle, nous sommes sur des montants relativement faibles.
La seconde objection tient à la limitation. Les banques françaises interdisent beaucoup d'opérations sur le canal Internet. Pour faire un virement, il faut ainsi déclarer préalablement un compte destinataire. Les plafonds des transactions sont souvent assez bas, etc. Ces restrictions expliquent que les fraudes soient moindres.
Et puis, les banques ont peur de communiquer, peur de la réaction des clients qui pourraient penser qu'avant ils bénéficiaient d'une sécurité nulle.
Cette politique ne freine-t-elle pas leur propre développement ?
En effet, les banques ont pris conscience qu'elles allaient devoir faire des concessions pour répondre aux demandes de leur clientèle qui attend plus de services en ligne. Mais c'est également pour elles, une bonne opportunité de générer plus de PNB [ndlr produit net bancaire].
Et avec la concentration du secteur, c'est plus encore une nécessité. Les banques se doivent de générer du PNB si elles veulent éviter d'être absorbées.
Une très grande banque anglaise a mis en parallèle les différents canaux que sont l'agence, Internet, le téléphone et les automates. Selon ses calculs, si 10% des clients décidaient de ne plus utiliser Internet et de basculer sur un autre canal, il lui en couterait 9 millions de livres supplémentaires par an pour délivrer les services.
C'est aussi l'opportunité pour les banques de mieux connaître leurs clients et proposer à moindre coût des services plus adaptés, faire de la fidélisation, et au final accroître la souscription à des services. A condition cependant de tenir compte de la problématique de sécurité. Une question qui incombe à la banque, non au client. Pour ce dernier, la sécurité n'est pas son problème.
|
|
 Les banques doivent proposer une solution qui soit efficace, non-intrusive et simple pour le client" |
|
Quel choix s'offre aux établissements bancaires pour sécuriser les transactions ?
Les banques doivent proposer une solution qui soit efficace, non-intrusive, et autant que possible, simple pour le client. Il faut en outre que la solution retenue véhicule une perception de sécurité. On reste ici dans l'aspect marketing. Il y a en effet la sécurité réelle et la perception, c'est-à-dire le ressenti. On est dans l'intangible.
Comment les solutions de RSA répondent-elles à cette problématique ?
Sur la problématique de l'authentification non-intrusive, avec Adaptive Authentification, le vécu de la banque en ligne de l'utilisateur ne change pas. Il va continuer à saisir ses coordonnées comme il le faisait avant. La seule différence tangible ne sera perceptible que si à un moment donné, la banque a un doute sur la personne qui est en train de se connecter au service.
On va pour cela utiliser un moteur d'analyse de risque, un moteur Bayésien alimenté avec différentes informations, et basé sur plus de 100 paramètres. Il s'agira notamment de faire de la géolocalisation afin de déterminer depuis quel pays et ville est effectuée la connexion, de contrôler le type de machine utilisé, son OS et sa langue.
Ces données seront couplées au profiling du client, c'est-à-dire son comportement, ses habitudes. Certaines actions sont systématiquement réalisées de la même manière. Des internautes commenceront par exemple toujours par regarder le solde, leur compte titres, selon un même processus. Ce processus identifié, et réactualisé régulièrement, alimentera le moteur d'analyse de risque de la solution.
|
|
Plutôt que risquer de bloquer injustement un client légitime, on va le challenger" |
|
Quel mécanisme enclenchera un niveau de risque élevé ?
Prenons par exemple une personne se connectant habituellement depuis son domicile. Si un jour, on identifie qu'elle se connecte depuis Espagne, les Etats-Unis ou la Chine, le niveau de risque va monter car le comportement sera chez elle inhabituel.
La connexion ne lui sera cependant pas interdite. Plutôt que risquer de bloquer injustement un client légitime, on va le challenger selon ses souhaits. Ce peut être par exemple de lui poser des questions simples auxquelles il aura répondu préalablement, comme le nom de son chien. Des questions dont en principe un fraudeur doit ignorer les réponses.
Un autre challenge peut être un appel téléphonique automatique effectué par un robot. Un code s'affichera à l'écran et le client devra le saisir afin de valider son authentification. Les challenges peuvent également être un SMS, l'utilisation d'un token, ou un mail de validation.
Si la transaction est cependant réalisée, y a-t-il une autre étape de contrôle ?
Oui, assurée par le dernier module de notre offre. Il s'agit du contrôle temps réel de toutes les transactions. A chacune est attribué un niveau de risque de façon à faire ressortir sur des millions de transactions, celles qui sur une échelle de 0 à 1000 présentent un risque élevé.
Ces opérations identifiées, la banque va pouvoir vérifier leur légitimité.
Au sein des banques, les transactions ne sont pas exécutées instantanément une fois réalisées par l'internaute.
Elles sont en fait traitées durant la nuit. Ce qui signifie que si une opération est identifiée comme présentant un risque, la banque va pouvoir vous interroger. Elle sera ainsi en mesure de la supprimer dans le traitement du jour. Il n'y a donc ni impact pour le client, ni sur l'image de la banque. Au contraire, cela démontre qu'elle contrôle bien les transactions.
|
| |
Propos recueillis par Christophe AUFFRAY, JDN Solutions |
|
|
PARCOURS
|
|
|
| |
Gaël Barrez est responsable de la division Consumer pour l'Europe du Sud chez RSA. Titulaire d'un Mastère EPITA en Management Informatique, il a commencé sa carrière dans la banque, dans des fonctions back-office et front-office.
Il a travaillé successivement pour Internet Security Systems et Microdasys.
|
|
|
|
Dossier