Compliance DSP2 : authentification forte et parcours sans friction

La DSP2 relève le niveau des exigences de sécurité accompagnant la validation des transactions financières et régule l’accès aux données bancaires avec notamment la généralisation de l’authentification forte pour certaines opérations, dont le paiement en ligne. e-commerçants, prestataires de services de paiement, banques, n’ayez pas peur de perdre vos clients en vous mettant en conformité avec la DSP2.
DSP2 Compliance et authentification forte

La règlementation DSP2, qu’est-ce que c’est ?

L’objectif de la 2ème Directive européenne sur les services de paiement (DSP2) est le renforcement de la sécurité des paiements. Adoptée en novembre 2015, entrée en vigueur dans l’ensemble de l’Union européenne en janvier 2018 (même si certaines dispositions restent à mettre en oeuvre), elle relève le niveau des exigences de sécurité accompagnant la validation des transactions financières et régule l’accès aux données bancaires.

Dans le domaine des dispositifs de sécurité, l’élément le plus sensible de la DSP2 est la généralisation de l’authentification forte pour certaines opérations, dont le paiement en ligne.

La sécurité des paiements passe par l’authentification forte

Qu’est-ce que l’authentification forte ?

On dit d’une authentification qu’elle est forte lorsqu’un utilisateur doit, pour parvenir à se connecter ou à valider son opération, fournir deux éléments venant de catégories différentes parmi les 3 possibles. Les 3 catégories de facteur d’identification sont :

  • quelque chose que je connais : l’exemple le plus courant est le mot de passe pour les applications, ou le code PIN pour les cartes de paiement.
  • quelque chose que je possède : un téléphone, un ordinateur, une clé usb, un objet connecté. Les possibilités sont nombreuses. On désigne généralement l’équipement de possession sous le terme de token.
  • quelque chose que je suis : il s’agit ici essentiellement de la biométrie – empreinte digitale, rétinienne, vocale, reconnaissance faciale…

DSP2 : les opérations demandant une authentification forte du client (SCA)

La directive européenne impose l’authentification forte sur 3 types d’opérations.

accès et gestion de son compte de paiement

qui peut être soit un compte de dépôt ouvert dans un établissement bancaire, soit un compte chez un des prestataires de services de paiement.

paiement en ligne

réalisé soit par carte bancaire, soit par virement.

opération en ligne présentant un risque de fraude significatif

comme par exemple la validation d’un nouveau bénéficiaire de virement.

La DSP2 prévoit quelques exception à ces règles, en listant des opérations considérées comme présentant un faible niveau de risque. On relèvera parmi ces dérogations les paiements dont le montant ne dépasse pas 50€ en sans contact ou 30€ en ligne ou les virements à destination d’un bénéficiaire préalablement validé par authentification forte.

Non, la validation par SMS n’est pas de l’authentification forte

Principale conséquence de la DSP2, le fonctionnement habituel du système de sécurisation des paiements (3D Secure) qui procède à une validation par envoi via SMS d’un mot de passe à usage unique (OTP – One Time Password) à ressaisir par l’utilisateur n’est plus conforme. Il repose en effet sur un seul facteur, celui de la possession d’un mobile, et peut très facilement être contourné.

La directive vient ainsi bouleverser le parcours client du commerce en ligne en son point le plus crucial : celui de la validation du paiement. D’où les craintes des commerçants en ligne qui s’inquiètent d’une hausse des abandons de panier en raison de ce qu’ils perçoivent comme une complexification du parcours. Inquiétude aisément compréhensible si l’on ne tient compte que des solutions d’ authentification multi-facteurs les plus répandues. Généralement peu sécurisées, elles sont de plus compliquées à utiliser en demandant bien souvent la ressaisie d’un mot de passe à usage unique obtenu par des moyens plus ou moins pratiques.

Mais il ne s’agit nullement d’une fatalité comme l’illustre l’authentification forte inWebo dont la mise en place permet non seulement de se mettre en conformité avec la DSP2 tout en réduisant les frictions sur le parcours de paiement, y compris par rapport à l’expérience proposée à l’heure actuelle par 3D Secure.

Compliance DSP2 : inWebo MFA, la solution d’authentification forte qui coche toutes les cases

Se mettre en conformité avec toute la DSP2 est un projet complexe, faisant appel à de nombreuses compétences. La bonne nouvelle est que la solution MFA d’inWebo non seulement coche toutes les cases nécessaires à la sécurisation des transactions mais présente en plus des atouts exclusifs pour faciliter l’implémentation et améliorer le parcours utilisateur.

Avec inWebo MFA

l'accès aux comptes est protégé

inWebo se déploie et s’intègre facilement pour protéger les accès externes aux comptes de dépôts bancaires ou aux comptes ouverts chez des prestataires de paiement.

les opérations sensibles et les changements d'état sont scellés par un lien dynamique

Ce lien, conformément à la DSP2, assure la traçabilité et la sécurité de toutes les opérations jugées à risque comme l’ajout d’un bénéficiaire de virement.

l'authentification forte du client (SCA) est assurée

La SCA (Strong Customer Authentication) implique une authentification à au moins 2 facteurs, ce qui exclut les solutions à base de mot de passe unique par SMS. inWebo offre la gamme la plus complète de facteurs de connexion, avec ses tokens mobiles, desktop, navigateur (Deviceless et Smartphoneless).
Condition essentielle pour que ses clients bancaires puissent avoir la certification DSP2, inWebo est PSEE (Prestataire de services essentiels externalisés), garantissant la résilience du service MFA.

Un parcours client sans friction

Reste pourtant que le principal frein aujourd’hui à la compliance DSP2 n’est pas technique mais lié, on l’a vu, aux craintes que suscitent les modifications dans le parcours de paiement.

C’est là qu’intervient l’un des principaux différenciants de la solution inWebo : l’authentification forte sans smartphone, via un simple navigateur. Le token Deviceless (ou Smartphoneless) permet au client de s’authentifier en conformité DSP2 sans autre appareil de confiance que son navigateur, via un simple code PIN réutilisable. Et ceci tout en garantissant le plus haut niveau de sécurité des accès parmi toutes les solutions MFA grâce à la technologie exclusive de clés dynamiques aléatoires. Pour en savoir plus sur cette prouesse technologique, voir notre article Deviceless MFA.

Non seulement la mise en place de la solution de MFA inWebo ne dégrade pas l’expérience de connexion, mais elle la rend même plus simple en faisant disparaître la nécessité d’avoir un smartphone, d’avoir du réseau mobile pour recevoir le SMS et de ressaisir un code unique source d’erreur.

Le parcours est donc simplifié. Mais il est en plus unifié. Avec ses centaines d’intégrations disponibles, via des connecteurs, son mode API ou ses SDK, l’authentification forte inWebo peut être déployée sur l’ensemble des accès aux applications, pas seulement sur les accès aux comptes bancaires. Ainsi, l’utilisateur, qui veuille se connecter à sa messagerie, valider une transaction, ou accéder au VPN de son entreprise, bénéficiera d’une interface unifiée, d’une expérience de connexion uniforme et même d’un code PIN unique (ou tout autre facteur de connaissance) sans aucune dégradation de la sécurité.

N’ayez pas peur de la DSP2

e-commerçants, prestataires de services de paiement, banques, n’ayez donc pas peur de perdre vos clients en vous mettant en conformité avec la DSP2. Vous pouvez, grâce à inWebo, combiner authentification forte du client et parcours sans friction. Avec, ce qui ne gâche rien, une solution MFA Full SaaS donc déployable en quelques clics sur des milliers d’utilisateurs, sans aucune contrainte d’équipement.

Découvrez le replay de notre webinar 

DSP2 et authentification forte des clients : conjuguez sécurité et expérience utilisateur simplifiée

Contactez-nous pour une démo ou pour demander l’ouverture de votre compte de test

Nos dernières actualités

Contactez-nous