A partir du 14 septembre prochain, la traditionnelle combinaison d’un identifiant et d'un code secret ne sera plus suffisante pour se connecter à son compte bancaire. Les banques commencent à prévenir leurs clients de cette échéance.

« Dès le mois de septembre 2019, la 2e Directive européenne des Services de Paiement (DSP2), destinée à renforcer la sécurité de l’accès à vos comptes en ligne, entre en vigueur. L’accès à votre Espace Client ou à votre application mobile nécessitera une authentification renforcée tous les 90 jours. » Voici le message envoyé, hier mercredi 17 juillet, par la Banque Postale à ses 10,3 millions de clients actifs. Si ce n’est déjà fait, vous devriez recevoir le même de votre banque dans les prochaines semaines.

L’échéance évoquée par la filiale bancaire du groupe La Poste, c'est celle de l’entrée en vigueur, le 14 septembre prochain, des « normes techniques réglementaires » de la DSP2. Et elle concerne toutes les enseignes détenant des comptes de paiement. Elle correspond en effet à la date limite pour mettre en œuvre concrètement ce texte européen, entré en application dès janvier 2018 mais pour lequel le législateur avait prévu, à la demande des banques, un long délai de mise en œuvre.

Lire sur le sujet : DSP2 : Bruxelles veut un big bang des services de paiement

L’authentification forte généralisée

Parmi les sujets embrassés par cette DSP2, il y a celui de la sécurité de l’accès à distance - depuis un ordinateur, un mobile ou une tablette - des comptes bancaires. Le texte impose en effet le recours à une authentification forte, c’est-à-dire combinant plusieurs facteurs, tous les 90 jours au moins. Et la combinaison de l'identifiant et du mot de passe, généralement utilisée aujourd’hui, ne suffira plus. Les banques vont devoir sophistiquer leur procédure d’authentification.

La Banque Postale encourage ainsi ses clients à activer « Certicode Plus », un service d’authentification qui s’appuie sur une application mobile et permet déjà de sécuriser certaines opérations sensibles, comme les ajouts de bénéficiaires de virement. Plus généralement, le smartphone, avec son identifiant unique - le code IMEI - et ses capteurs biométriques, va prendre une place prépondérante dans les procédures d’authentification. Avec un risque : celui d’exclure les personnes mal équipées ou mal formées aux usages numériques.