Organisée par le groupe de travail « cartes et monétique européenne » de France Payments Forum, la deuxième table ronde de l’après-midi était consacrée à l’authentification forte (Strong customer authentication, SCA).  Animée par Anne Choquelle (SOPRA BANKING Software), cette table ronde a été ouverte par un Keynote d’Hélène Kalem (GALITT), suivie d’un débat réunissant quatre panélistes :

  • Sylvie VANDEVELDE, Directrice Business Development, Belgian Mobile ID
  • Julien LASALLE, Chef du service de la surveillance des moyens de paiement scripturaux Banque de France
  • Pierre CHASSIGNEUX, Directeur des projets et des évolutions, Groupement des Cartes Bancaires « CB »
  • Jean-Luc DUBOIS, Directeur Offre Moyens de Paiement Crédit Mutuel ARKEA

Keynote : Hélène Kalem

Présentation de l’observatoire des modes d’authentification (OMODA) – Vision consommateurs

Les français sont globalement satisfaits du niveau de sécurité offert par leur banque (note : 8/10) et plus de 50% connaissent les solutions d’authentification telles que : OTP par sms, CVV dynamique (et non statique), saisie d’un code choisi dans son application mobile bancaire, carte virtuelle dynamique, biométrie de type empreinte digitale. 3D Secure est la solution la plus utilisée avec 78% de sondés. 76% des sondés veulent aller plus loin dans la sécurisation et la solution d’authentification bancaire pourrait étendre son périmètre, par exemple à la messagerie Internet, à l’accès aux sites marchands, au Cloud.

Table ronde

Sylvie VANDEVELDE

La solution Itsme (application mobile) propose 4 services en Belgique :

  • Identification (ex : nouveaux clients)
  • Authentification (ex : remplace login/password pour services publics)
  • Authentification forte pour confirmation (ex : PSD2)
  • Signature électronique qualifiée

Itsme est utilisé par environ 20 % population de la population belge, soit 1,6 millions d’utilisateurs (+ 100 000 à 300 000 utilisateurs par an). Le client s’authentifie soit par code PIN, soit par biométrie. Cette solution suit  le standard eiDAS et AMLD5 et il existe une collaboration avec Luxtrust.

Julien LASALLE

1) Rappel du planning de mise en œuvre de l’authentification forte en France

a) au 30 décembre 2020, les transactions devront être authentifiées ou avec règles d’exemptions (sinon rejet). Le plan comporte deux volets :

  • 1er volet : enrôlement des consommateurs avec mise à disposition de moyens d’authentification forte en remplacement de l’OTP/sms ;
  • 2ème volet : montée en puissance des transactions avec authentification forte.

b) au 1er trimestre 2021, l’authentification forte devra être disponible à 100 % et le 3DS V2.1 totalement raccordé. A ce jour, le bilan 3DS V2.1 semble satisfaisant, mais les efforts sont à continuer.

 

2) Situation à début mars 2020

  • Equipements des porteurs: 15 % (soit un sur six)  ont une SCA forte.
  • Retour d’expérience positif : les solutions sont plus faciles à implémenter sur mobile, et l’authentification plus fluide que par code OTP.
  • Point d’attention : 70% des clients pourront être équipés sur mobile. Quid des 30 % restants? (Solution transitoire : Code SMS OTP + second code connu de l’utilisateur)
  • L’autorité bancaire européenne (ABE) exige qu’au 1er trimestre 2021, 100 % des transactions (ou la très large majorité) soient couvertes par l’authentification forte ou par des exemptions, sous peine de voir les transactions tout simplement refusées

Pierre CHASSIGNEUX

 Point d’avancement de la mise en œuvre de 3DS V2  (« Fast’R by CB)

  • Fast’R by CB permet un scoring temps réel, qui réalise une authentification passive, ainsi il n’y a pas d’action coté payeur (3DS V2), ce qui permet la fluidité du paiement.
  • 4000 petits commerçants sont déjà enrôlés sur la plateforme. La majorité des commerçants délègue la gestion de la page de paiement à un prestataire, ainsi la migration 3DS v1 – 3DS v2 en est donc simplifiée.
  • Les grands commerçant gèrent en interne leur page de paiement. La migration 3DSv1 vers 3DSv2 est plus complexe. Le top 10 des commerçants devrait être raccordé d’ici la fin du 2ème trimestre 2020.
  • Le e-commerce représente 70 % de la fraude pour 20 % du volume des paiements (0,16 % de fraude VAD sans authentification versus 0,008 % pour Chip /PIN ou 0,066% avec OTP SMS).
  • Le « Directory serveur GIE CB » est opérationnel  depuis oct. 2018 et depuis la montée en charge du dispositif Fast’R by CB à ce jour, 70 % des cartes CB sont déjà enrôlées.
  • L’objectif est que 85 % des transactions e-commerce utilise l’authentification passive par TRA (Analyse comportementale de la transaction) avec Fast’R by CB, pour déroger à l’authentification forte client.

Jean-Luc DUBOIS

  • Selon Crédit Mutuel Arkéa, pour amener plus de fluidité au client, le moyen d’authentification forte doit être identique pour tous les canaux, en proximité comme à distance. La fluidité pour le client est en effet essentielle, car elle amènera à l’adoption du plus grand nombre.
  • Arkéa insiste sur le fait que le client doit être remis au centre, et croit à la biométrie pour l’authentification la plus « frictionless » possible. Il faut une volonté en France que la solution ne soit pas purement une belle réussite technique mais s’impose dans l’usage du client ; ainsi les acteurs de marché attirent l’attention des commerçants pour tester de bout en bout (3D Secure V2) de manière à avoir un parcours unifié pour le client, c’est-à-dire avoir les mêmes étapes. Il existe une infrastructure d’authentification pour le check-out, alors pourquoi pas aussi pour le check-in du client chez le commerçant ?