Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Authentification forte des clients : Sécuriser les transactions numériques

Mis à jour: 31 janvier 2025 Temps de lecture: ~

Sujette

Zero Trust, CIAM, Phishing Resistance, IAM, Compliance

Sommaire

 

Cet article a été traduit automatiquement.

 

L'authentification forte du client (SCA) est une exigence promulguée en Europe pour réduire la fraude en rendant les paiements en ligne plus sûrs.

Points à retenir

  • L'authentification forte du client est une exigence réglementaire européenne qui rend obligatoire l'authentification multifacteur pour les paiements en ligne.
  • Le SCA exige au moins deux facteurs d'authentification : quelque chose que le client connaît, possède ou est (par exemple, un mot de passe, un smartphone, une biométrie).
  • Les banques doivent refuser les transactions non conformes à l'ACS, mais certaines exemptions existent pour les transactions à faible risque, de faible valeur et récurrentes.
  • Bien qu'elles soient principalement appliquées en Europe, des mesures d'authentification similaires sont envisagées ou mises en œuvre dans d'autres pays afin de renforcer la sécurité des paiements en ligne.

Sécuriser les paiements en ligne avec SCA

Plus de la moitié des transactions frauduleuses par carte dans l'espace unique de paiement en euros (SEPO), qui englobe 35 pays européens, sont des transactions en ligne. En 2019, les exigences en matière d'authentification forte du client, ou ACS, ont été adoptées pour aider à protéger les clients et les institutions financières opérant au sein de l'Espace économique européen (EEE) contre la fraude et la criminalité financière. 

Conformément à la directive révisée de l'Union européenne sur les services de paiement (DSP2), l'ACS exige que les paiements électroniques effectués par l'intermédiaire d'un fournisseur de services de paiement dans l'EEE contiennent les éléments suivants authentification multifacteur afin d'ajouter une couche supplémentaire de sécurité.

Les principes fondamentaux d'une authentification forte des clients

Afin de sécuriser les paiements sans contact et de réduire la fraude, dans le cadre de la directive révisée sur les services de paiement (DSP2), l'ACS a été promulguée le 14 septembre 2019 pour les entreprises qui traitent des paiements en Europe. Exigence réglementaire européenne, le SCA requiert l'utilisation de l'authentification multifacteur pour rendre les paiements plus sûrs en ajoutant une authentification supplémentaire au flux de paiement. 

Pour se conformer aux exigences de l'ACS, les commerçants doivent demander au moins deux des éléments suivants lors du contrôle d'une transaction en ligne :

  • Quelque chose que le client connaît : il s'agit souvent d'un mot de passe ou d'un code PIN.
  • Quelque chose que possède un client : Il peut s'agir d'un smartphone, d'un logiciel ou d'un matériel token.
  • Ce qu'est un client : Il s'agit généralement d'un formulaire de biométrie, tel qu'une empreinte digitale, un scan de la rétine ou une reconnaissance faciale.

Les banques sont tenues de refuser les transactions qui ne répondent pas aux exigences de l'ACS. L'utilisation de points de données plus dynamiques permet de vérifier plus précisément l'identité d'un client. 

Avant les exigences de l'ACS, les banques ne pouvaient demander qu'un mot de passe statique. Le SCA utilise l'authentification multifacteur pour rendre les transactions en ligne plus sûres.

Gouvernance et conformité de l'ACS : Qui est responsable ?

L'Autorité bancaire européenne Autorité bancaire européenne (ABE) au sein de l'Union européenne (UE). Au Royaume-Uni, la Financial Conduct Authority (FCA) régit les technologies de l'information.

Les banques et les institutions financières, et non les commerçants, doivent se conformer et maintenir la conformité au SCA conformément aux réglementations PSD2. S'ils ne refusent pas les transactions non conformes, ils risquent d'enfreindre la loi de leur pays. 

La mise en œuvre des règles de l'ACS lors de ces transactions peut dépendre du type de transaction. Les transactions en ligne par carte de débit et de crédit reposent souvent sur 3D Secure 1 (3DS1) ou sur 3D Secure 2 (3DS2), plus sûr. Les méthodes de paiement locales et les portefeuilles électroniques utilisent souvent leurs propres méthodes d'authentification conformes à l'ACS.

Avec la 3DS2Avec le système 3DS2, pris en charge par la plupart des sociétés européennes de cartes de crédit et de débit, une étape d'authentification supplémentaire est ajoutée par la banque après le passage en caisse. Il s'agit généralement d'un code à usage unique envoyé sur le smartphone du client ou d'une authentification par empreinte digitale dans l'application de banque mobile. Portefeuilles numériques et portefeuilles électroniques internationaux tels que Apple Pay et Google Pay peuvent également support les exigences de l'ACS. 

Quand une authentification forte du client est-elle nécessaire ?

" Les entreprises doivent mettre en place une authentification forte du client pour les transactions "initiées par le client, y compris les virements bancaires et les achats en ligne. " Toutefois, ils ne sont pas tenus d'appliquer l'ACS aux transactions "initiées par le commerçant, telles que les débits récurrents.

Exigences du SCA

Le SCA s'applique aux paiements européens en ligne lorsque la banque du titulaire de la carte et l'entreprise sont toutes deux situées en Europe. Cela oblige les acheteurs en ligne à effectuer une étape d'authentification supplémentaire lors du paiement.

Régions imposant la conformité à l'ACS pour les paiements en ligne :

  • Espace économique européen (EEE)
  • Royaume-Uni (UK)
  • Maroc

L'UE a mis en œuvre le SCA en 2019, mais de nombreuses régions ont retardé l'application de la loi jusqu'à ce que les entreprises soient en mesure de s'y conformer. Par exemple, le Royaume-Uni a reporté l'implémentation du SCA jusqu'au 14 mars 2022. Les régulateurs ont retardé l'application de la loi afin de minimiser les perturbations pour les commerçants et de réduire les frictions pour les consommateurs.

Exceptions au SCA

Dans certains cas, une exemption au titre du SCA peut être utilisée. Le commerçant demande une exemption à la banque ou à la société de cartes de crédit lors du traitement de la transaction. 

Le commerçant peut évaluer le niveau de risque et déterminer si la transaction n'entre pas dans le périmètre des données requises du SCA. Si c'est le cas, l'informatique peut être exemptée de la couche supplémentaire d'authentification. Cela peut être souhaitable dans certains cas, car les règles d'authentification du SCA peuvent entraîner plus de frictions pour le client et plus de taux d'abandon potentiels pour le commerçant. 

Les exemptions les plus courantes à la réglementation du SCA sont les suivantes :

  • Transactions à faible risque : Si le seuil de fraude du fournisseur ou de la banque est inférieur au seuil suivant :  
    • 0,13% pour les transactions inférieures à 100 euros
    • 0,06% pour les transactions inférieures à 250 euros
    • 0,01% pour les transactions inférieures à 500 euros
  • Transactions de faible valeur : Les transactions de moins de 30 euros ou de 100 euros cumulés sur la même carte sont exonérées. Toutefois, la banque émettrice doit surveiller le nombre d'exemptions.  
  • Transactions récurrentes : Si l'opération est d'un montant fixe et qu'elle se répète après que l'opération initiale a satisfait aux exigences du SCA, les opérations supplémentaires sont exemptées. Comme il s'agit de transactions fixes et récurrentes, elles peuvent être considérées comme des transactions "initiées par le commerçant" et, par conséquent, ne relèvent plus du périmètre des données requises du SCA.  
  • Bénéficiaires de confiance : Le client peut inscrire certains commerçants sur une liste blanche détenue par sa banque, ce qui les dispense de respecter les règles du SCA.  
  • Transactions B2B : Les transactions entre deux sociétés peuvent être exemptées de l'ACS lorsqu'elles utilisent un instrument de paiement dédié aux transactions B2B.

Comme nous l'avons vu plus haut, les transactions "initiées par le commerçant" qui n'impliquent pas l'intervention directe du client ne font pas partie du périmètre des données requises par la réglementation de l'ACS. Les régulateurs excluent les transactions par téléphone et par correspondance du périmètre des données requises, car elles ne sont pas considérées comme électroniques.

Le SCA ne s'applique pas aux émetteurs ou aux titulaires de cartes basés en dehors de l'EEE, de Monaco ou du Royaume-Uni.

Perspectives mondiales sur l'authentification forte des clients

D'autres organismes de réglementation financière dans des pays extérieurs à l'Union européenne, au Maroc et au Royaume-Uni, cherchent également à mettre en place une authentification forte des clients. 

Par exemple, la Banque de réserve de l'Inde a rendu obligatoire un "facteur d'authentification supplémentaire" pour les transactions sans carte, qui sont généralement effectuées en ligne.

En Australie, la Australian Competition & Consumer Commission (ACCC) a bloqué les efforts visant à rendre 3D Secure obligatoire en raison de plaintes selon lesquelles l'informatique perturberait l'interface utilisateur et pourrait faire perdre des ventes aux commerçants.

À mesure que les technologies progressent et que la fraude financière augmente, d'autres pays sont susceptibles d'adopter des niveaux d'authentification plus élevés pour les achats en ligne, y compris des protocoles tels que le SCA.

L'évolution du SCA

À l'origine, les régulateurs européens ont imposé une authentification forte des clients pour les paiements numériques dans le secteur des services financiers. Depuis lors, d'autres marchés ont volontairement adopté les technologies de l'information pour les transactions financières et non financières. 

Les industries qui utilisent le SCA sont les suivantes :

  • Services financiers
  • Santé
  • Industrie
  • Commerce de détail
  • Transport et logistique

Consentement de l'utilisateur : Une composante essentielle de l'ACS

L'approbation éclairée est nécessaire pour autoriser les paiements et d'autres types de transactions sensibles. Le SCA prévoit qu'avant toute autorisation, l'utilisateur doit visualiser le bénéficiaire et le montant du paiement.

Comprendre avant d'autoriser

Lorsqu'il s'agit de transactions financières, l'ACS exige que l'utilisateur voie clairement les détails essentiels avant de donner son accord. Au nombre de leurs initiatives :

  • L'identité du destinataire
  • Le montant exact du transfert

En présentant d'emblée ces informations, SCA s'assure que les utilisateurs prennent des décisions conscientes et informées concernant leurs transactions.
 

Au-delà des transactions financières

Le principe de l'approbation en connaissance de cause s'étend au-delà du secteur financier. Toute transaction sensible impliquant des données à caractère personnel ou des paramètres de sécurité peut bénéficier de cette approche. Il s'agit notamment de
 

  • Modifier les paramètres de sécurité du compte
  • Mise à jour des informations du profil utilisateur (par exemple, l'adresse résidentielle)
  • Accès aux données à caractère personnel

La liaison dynamique dans l'ACS

La liaison dynamique, une sécurité à la une dans la PSD2, renforce la sécurité des transactions en garantissant que les détails approuvés correspondent à la transaction finale.

Comment faire ?

  • Relie les détails de la transaction à la demande d'approbation
  • Permet à l'utilisateur de vérifier l'exactitude de la transaction avant de l'approuver
  • Aide à prévenir la falsification des transactions

Processus :

  • Le payeur initie un paiement
  • La transaction est liée au montant et au bénéficiaire spécifiés par le payeur.
  • La liaison dynamique génère un lien unique "tbd" pour la transaction.

Importance de la tbd :

  • Spécifique au bénéficiaire et au montant de la transaction
  • Transferts par le biais de processus de paiement et d'autorisation
  • Toute modification des données relatives au paiement (montant ou bénéficiaire) invalide le code et la transaction.

Ressources supplémentaires de l'ACS

Pour des informations plus détaillées sur l'ACS et les règlements connexes, veuillez vous référer à la page suivante :

Foire aux questions (FAQ)

Q : Qu'est-ce que l'authentification forte ? 

R : l 'authentification forte est une méthode de gestion sécurisée des données clients qui confirme l'identité de l'utilisateur au-delà de tbd. L'informatique combine deux facteurs indépendants pour confirmer l'identité et l'accès d'une personne.

Q : Quel est le formulaire d'authentification le plus faible ? 

R : les tbd sont généralement considérés comme le formulaire d'authentification le plus faible en raison de problèmes tels que le manque de rigueur en matière de mots de passe, la réutilisation d'un compte à l'autre et la susceptibilité aux attaques de type phishing.

Q : Le système 3DS est-il obligatoire aux États-Unis ? 

R : 3D Secure n'est pas imposé par la loi fédérale aux États-Unis, mais certains commerçants peuvent l'adopter volontairement pour réduire la fraude et les débits compensatoires.

L'authentification forte des clients commence avec Okta

Découvrez comment l'authentification en ligne de Okta authentification basée sur le cloud donne à l'utilisateur un niveau d'assurance élevé avec des facteurs simples à utiliser comme la biométrie et la notification push.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter