Lentement mais sûrement, les Français modifient leurs usages de la banque au quotidien, en les rendant plus numériques. Certains pourtant craignent toujours pour la sécurité de leurs comptes sur internet. Y a-t-il des enjeux de sécurité spécifiques aux banques en ligne ? Que font-elles pour sécuriser les comptes de leurs clients ? Les réponses de Franck Chemin, responsable de la sécurité des systèmes d’information chez BforBank.

Franck Chemin, quels sont les principaux risques auxquels les banques numériques comme BforBank sont confrontées ?

Franck Chemin : « L’événement le plus redouté par une banque en ligne est l’indisponibilité de service, qui entame sa réputation et la confiance de ses usagers. Nous mettons tout en œuvre pour prévenir ces situations et surtout pouvoir y répondre rapidement. L’autre grand risque est celui de la fraude. Nous évoluons en effet sur internet dans un écosystème assez malveillant, en perpétuelle évolution et suffisamment intelligent pour réussir à contourner d’anciennes mesures de sécurité. Notre travail, c’est aussi d’être une tour de contrôle, de détecter ces évolutions et de faire évoluer nos dispositifs de sécurité. »

« Dans les banques en ligne, le risque n'est pas plus important, il est simplement différent. »
Une banque 100% en ligne présente-t-elle plus de risques pour le client qu’une banque traditionnelle ?

F.C. : « Non. Les risques y sont simplement déplacés, du fait des nouveaux usages de nos clients. Nous leur faisons la promesse d’une expérience 100% à distance et 100% mobile. Pour tenir cette promesse, nous innovons. Un exemple : nous envoyons à nos clients le code secret de leur carte bancaire par SMS. En premier réflexe, on peut estimer que ce choix était dangereux. Après réflexion, est-ce vraiment moins dangereux de recevoir son code dans une boîte aux lettres accessible depuis l’espace public ? Non, le risque est simplement différent, il y a ce qu’on appelle un transfert de risque. Dans le cas du SMS, nous savons que le code a été remis sur le téléphone de notre client et nous sommes capables de le détruire à distance au bout d’un certain temps. On ne pourrait pas en faire autant avec un courrier papier. »

Mais l’envoi par SMS n’est pas parfait non plus : de plus en plus, des pirates parviennent à prendre possession des lignes mobiles de leurs victimes…

F.C. : « Effectivement, c’est ce qu’on appelle le SIM Swap. C’est un bon exemple des problématiques auxquelles nous sommes confrontées. Pour sécuriser les opérations bancaires en ligne les plus sensibles, nous avons promu l’authentification à double facteur, avec envoi par SMS d’un code à usage unique. Cela a très bien fonctionné, mais on sent désormais qu’on a besoin de nouvelles solutions, notamment à cause du SIM Swap. C’est pourquoi BforBank met en place une alternative, sur son application mobile et prochainement sur le web : au lieu de valider une opération sensible en ressaisissant un code reçu par SMS, le client valide l’opération depuis son l’application mobile. L’innovation consiste ici à vérifier que c’est bien le smartphone de notre client qui est utilisé, et pas un autre, avant de valider l’opération en ligne. Au final, avec cette reconnaissance mobile, c’est plus simple, en toute sécurité. »

« La banque en ligne doit se rapprocher de l’efficacité d’un Amazon. »
Sécuriser tout en améliorant l’expérience client : c’est tout l’enjeu pour les banques en ligne…

F.C. : « Oui, la banque en ligne doit se rapprocher de l’efficacité d’un Amazon. Pour y parvenir, nous différencions trois niveaux de sécurisation, en fonction du type d’opération et selon un critère principal : le risque d’appauvrissement du client. Exemple : nous avons considéré que l’activation du paiement sans contact était une opération sensible, car pouvant faciliter des paiements frauduleux. Cette opération est donc sécurisée par une authentification à double facteur. A l’inverse, la désactivation de cette fonction présente moins de risques pour le client, elle n’est donc protégée que par une ressaisie du code secret classique. En fonction de chaque opération, de chaque menace, il s’agit d’apporter une réponse proportionnée, au cas par cas. »

Une partie du travail de sécurisation met aussi en œuvre l’analyse de données…

F.C. : « Oui, ce sont des dispositifs moins voyants, mais très efficaces. Pour illustration, lorsqu’on constate 100 tentatives d’accès à un espace client ou 300 demandes de virements en quelques minutes, nous sommes désormais capable de détecter un comportement anormal très rapidement et de réagir efficacement, alors qu’il nous aurait fallu plus de temps il y a quelques années. »

La carte bancaire, notamment lorsqu’elle est utilisée sur le web, expose particulièrement à la fraude. Ne serait-il pas temps de promouvoir des alternatives plus sûres ?

F.C. : « C’est une question délicate. Il existe des moyens plus sûrs de payer en ligne, c’est un fait. Mais est-ce que nos clients ont vraiment envie de les utiliser ? Et les e-commerçants sont-ils prêts à les accepter ? Les gens veulent aller vite sur des usages connus. Aujourd’hui, le rapport entre sécurité et expérience client de la carte bancaire est satisfaisant, et les clients l’utilisent massivement. Toute innovation dans le domaine ne peut se faire que de manière très progressive. »

A quoi ça sert, un CISO ?

Chez BforBank, Franck Chemin occupe le poste de CISO, pour Chief Information Security officer ou responsable de la sécurité des systèmes d’information. « Pour prendre une image, je suis l’équivalent pour BforBank de l’indicateur de jauge de votre voiture, qui s’allume quand le réservoir est presque vide. Mon rôle est d’anticiper les risques pouvant affecter la sécurité des systèmes d’information de BforBank, et de conseiller la direction générale pour les traiter de façon adaptée. »