Révision de la directive sur les services de paiement (DSP 2) : au-delà de l’authentification traditionnelle

Révision de la directive sur les services de paiement (DSP 2) : au-delà de l’authentification traditionnelle

Avis d’expert par Franck Trognée, Directeur des ventes Europe du Sud, HID Global

Eu égard à la complexité croissante des cybermenaces exercées ces dernières années, les professionnels de la sécurité ont été contraints de redoubler d’ingéniosité et de faire preuve d’innovation dans les techniques employées pour les combattre. Résultat : l’authentification à deux facteurs est aujourd’hui devenue monnaie courante pour accéder à un large éventail de services financiers et d’applications grand public. De fait, le cabinet Research and Markets prévoit que le marché mondial de l’authentification multifactorielle, méthode bifactorielle en tête, pèsera 9,6 milliards de dollars d’ici à 2020, contre 3,6 milliards en 2014. 

En conjuguant la possession (quelque chose que détient l’utilisateur, comme un téléphone mobile, une carte bancaire ou un jeton d’authentification) au savoir (quelque chose qu’il connaît, comme un mot de passe ou un code confidentiel) ou à la biométrie (une caractéristique biologique, comme l’empreinte digitale ou la reconnaissance faciale), cette technique vise à mieux sécuriser les transactions en ligne et à protéger les données des entreprises comme celles des utilisateurs.

Bien qu’efficace jusqu’à un certain point, l’authentification à deux facteurs n’est toutefois pas exempte de failles. D'après une étude -réalisée par l'éditeur de sécurité Kaspersky- consacrée aux mots de passe choisis par les internautes, une personne sur sept se contenterait d’un seul et unique mot de passe pour l’intégralité de ses comptes web. Cette réticence à varier les mots de passe tend à s’appliquer également à l’accès aux comptes bancaires sur Internet, ce qui permet à des pirates avertis de traverser nettement plus aisément cette couche d’authentification. 

Il est, en outre, nettement plus facile de compromettre une méthode d’authentification à deux facteurs qu’une technique d’authentification à plusieurs niveaux. Il serait donc salutaire, pour les grandes entreprises et établissements de services financiers, de mettre en œuvre une authentification multifactorielle en vue de protéger des données névralgiques au sein de l’environnement en ligne et mobile actuel. 

La révision de la directive sur les services de paiement (DSP 2) de la Commission européenne, annoncée en mai 2015, marque une première étape importante dans le renforcement de la sécurisation des paiements au niveau des établissements financiers. Elle œuvre en faveur d’une « authentification forte côté clients », consistant à adopter au moins deux facteurs d’authentification totalement indépendants l’un de l’autre.

L’authentification forte entérinée par la DSP 2 se distingue de l’authentification à deux facteurs au sens où elle est systématiquement assimilable à un particulier ou à une entreprise. Ce particulier ou cette entreprise doit, par ailleurs, « montrer patte blanche » au regard des législations en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme avant de pouvoir ouvrir un compte auprès d’un établissement de services financiers. D’où des contrôles plus minutieux exercés sur l’identification des utilisateurs accédant à ces comptes, approche rendue à présent obligatoire par la Banque centrale européenne. 

Parallèlement aux facteurs traditionnels liés à la possession et au savoir, la DSP 2 fait sien un autre facteur, l’inhérence, qui englobe des caractéristiques physiques propres à chaque individu, notamment la biométrie. Sachant que Markets and Markets prévoit que le marché mondial de la biométrie représentera 24,4 milliards de dollars d’ici à 2020, la PSD 2 arrive à point nommé pour des établissements de services financiers soucieux de mieux protéger leurs données clients. 

Avec la DSP 2, les établissements financiers n’auront d’autre choix que de mettre en place une stratégie de sécurité tout à la fois évolutive et rentable, mais suffisamment robuste pour assurer une conservation parfaitement sûre des données. L’élaboration de cette stratégie invincible pourra passer par l’implémentation de plusieurs niveaux de sécurité. Ceux-ci peuvent amalgamer des méthodes d’authentification traditionnelles, orientées utilisateurs et équipements, et englober d’autres aspects, notamment la protection des navigateurs et la sécurité applicative. En sus de données clients mieux sécurisées, les établissements financiers seraient également moins vulnérables aux attaques perpétrées par des escrocs, ce qui leur permettrait de réaliser des économies et de préserver leur réputation. 

La sécurisation des données revêt, à l’évidence, une importance primordiale dans tout type d’établissement. Pour les banques et autres établissements financiers, il s’agit là d’une priorité absolue. La révision de la directive sur les services de paiement démontre, à l’évidence, que la Commission européenne est sensible à l’importance d’une authentification irréprochable, et il est vital que les entreprises à travers l’Europe le soient aussi. L’authentification à deux facteurs, malgré son efficacité, n’est pas sans inconvénients : en adoptant l’inhérence comme troisième facteur et en mettant en œuvre une stratégie de sécurité à plusieurs niveaux, les établissements de services financiers vont encore plus loin dans la sauvegarde de leurs données. Cette démarche s’effectuera aux dépens d’un certain degré de commodité pour les utilisateurs mais, à long terme, l’adoption des nouvelles mesures de la DSP 2 est un maigre sacrifice en contrepartie des gains de sécurité obtenus.



PrécédentAccueilSuivantPartager