Open banking : la sécurité, le casse-tête des banques ?

Actualités - La deuxième directive européenne des services de paiement (DSP2) aurait dû s'appliquer à partir de septembre 2019. En France, les banques et les sites d'e-commerce européennes ont obtenu un nouveau délai jusqu'en 2022. Quels sont les casse-tête techniques auxquels le secteur doit faire face ? Quelle place les Fintechs vont-elles occuper dans ce nouveau marché ? Stéphane Pailler, Senior Consultant chez VERTUO Conseil, filiale du Groupe Square, partage son analyse.

La principale force des banques traditionnelles réside dans la confiance qu’elles ont obtenue de leurs clients. Cette confiance s’établit notamment par la notion de proximité, avec un conseiller qui les accompagne dans leurs choix financiers à chaque étape de leur vie. En d’autres mots, un sentiment de sécurité. Avec l’Open Banking, les conseillers deviennent virtuels, les concurrents se multiplient et les données des banques sont accessibles de tous.

L’ascension des Fintechs

Suite à la Directive sur les services de paiement 2 (DSP2), les banques n’ont pas le choix quant à l’ouverture de leurs données à des tiers. Elles vivent leurs derniers instants dans ce monde où ils avaient le monopole exclusif avant de se donner une seconde jeunesse. Les banques ne possèdent que très peu de temps pour remettre à plat une grande partie de leurs infrastructures jonchées par un système de couches successives.

Elles vont devoir s’aider de nouveaux partenaires. C’est là où les Fintechs et les GAFA entrent en jeux. Ces nouveaux acteurs financiers ont déjà un système IT sécurisé, flexible et ouvert, ce qui leur permet d’animer le marché et par moment de rendre dépendantes les banques traditionnelles à leurs services.

Restructurer et mieux partager l’information

Avec l’ouverture des données à des tiers, le bon sens voudrait que l’on ré-agence l’information afin de pouvoir mieux la partager. Cette ouverture passe par des API que les banques se doivent de créer de toutes pièces, et de mettre à disposition en test depuis le 14 mars dernier. Ces API devront véhiculer les données de manière sécurisée.

Mais la difficulté réside plus dans la construction de l’API pour récupérer les données de façon efficiente. Et même si certaines API bancaires sont déjà utilisées, la majorité des échanges de données se font autrement. Jusqu’à présent les AISP (agrégateurs de comptes) tels que Linxo ou Budget Insight utilisent le web scraping afin de récupérer les données bancaires.

Sécuriser les données

Dans le cadre des RTS — Regulatory Technical Standard — relatifs à l’authentification forte, cette pratique est largement contestée par les établissements bancaires et financiers, qui prétextent une faille de sécurité de leur espace de banque en ligne. Mais certaines banques sont parfois demandeuses. A défaut de pouvoir fournir une API compétitive, elles se laissent « scraper » leurs données qu’elles ne peuvent pas donner d’une manière sécurisé. Ce sont des donnés auxquelles les AISP ne pouvaient pas accéder jusqu’à lors. Les coûts sont réduits pour la banque et le partenaire, mais la sécurité n’est plus au rendez-vous.

Leurs données sont généralement enregistrées par applicatif et non pas par domaine ou par client. Elles sont donc cloisonnées et cela rend l’accès plus difficile. Cette segmentation des données est fondamentale afin de respecter la DSP2, et nécessite une remise à plat de leur agencement. C’est là où le Cloud prend tout son sens. Cloud privé, public, multiCLoud pour créer des espaces segmentés et sécurisés. Les GAFA — avec des solutions comme Microsoft Azur, AWS d’Amazon et Google Cloud — sont les experts sur le marché. Et certaines banques traditionnelles françaises sont en grande réflexion pour signer des partenariats avec les GAFA.

Et le client dans tout ça ?

Selon un sondage réalisé par Gemalto mi 2018, 44 % des personnes interrogées ont déclaré qu’elles changeraient de banque en cas de violation de sécurité. Les sources de failles se multiplient, et les clients ne vont plus hésiter à changer de banque en cas de fraude.

Notons que la blockchain pourrait être une bonne solution anti-fraude. Néanmoins, elle ne va pas s’inscrire dans l’Open Banking à court terme de par sa lenteur et sa gourmandise en puissance de calcul. Le 14 septembre 2019, l’authentification forte est censée être mise en place pour tous les marchands afin d’améliorer la sécurité des paiements en ligne. La biométrie avec la reconnaissance digitale, vocale, d’iris et faciale seront les nouveaux vecteurs de sécurité de demain.

Au final, la notion de sécurité est omniprésente avec la nouvelle directive-DSP2 ainsi que les nouvelles offres clientes liées à l’ouverture des données. Elle est établie à tous les niveaux : niveau back office avec la restructuration des données clientes, middle office avec l’ouverture des données via API et front office sur les différents supports clients — page web, application mobile — avec l’authentification forte. La confiance et le sentiment de sécurité qui émanent des banques traditionnelles ont été devancés par la notion de liberté ; celle des offres, des prix, de la rapidité, de l’accessibilité et de l’innovation.

Mots-clés : - - - - - - - -

Stéphane Pailler - Groupe Square

Voir tous les articles de Stéphane