Augmenter la confiance dans les services bancaires ouverts grâce à une transformation en matière de sécurité

Autrice (Symcor) : Saba Shariff, v.‑p. et directrice, Développement de nouveaux produits et stratégie organisationnelle

Contributeurs : Jo Lim Fat, chef d’équipe senior, Consultation – Entreprises, EY Canada
                            Nathan Lautens, conseiller senior, Consultation – Technologie, Ernst & Young s.r.l./S.E.N.C.R.L.
                            Geetanjali, conseillère senior, Consultation – Technologie, Ernst & Young s.r.l./S.E.N.C.R.L.

Apprenez comment la transformation en matière de sécurité peut contribuer à augmenter la confiance dans les services bancaires ouverts.

De quelle façon la confiance et la sécurité sont‑elles interreliées dans le domaine des services bancaires ouverts?

À l’heure actuelle, les banques canadiennes affichent un des meilleurs taux de confiance des consommateurs, et les autres fournisseurs de services et les FinTech gagnent rapidement du terrain. L’étude que Symcor et EY Canada ont publiée en 2023^¹ en matière de services bancaires ouverts montre que les clients canadiens sont de plus en plus ouverts à l’idée de partager leurs données. Le sentiment de confiance grandissant parmi les Canadiens permet d’anticiper l’avènement d’un écosystème de services bancaires ouverts fondé sur la confiance, la sécurité et la transparence.

Comment les fournisseurs de services financiers canadiens peuvent‑ils préserver leur réputation de garants de la confiance du public dans un écosystème ouvert?

Les fournisseurs de services financiers canadiens ont tout intérêt à continuer à placer la sécurité au cœur de leur transformation opérationnelle et à s’en servir comme d’une source de valeur ajoutée supplémentaire auprès du client.

L’avènement des services bancaires ouverts apportera certainement son lot de nouveaux défis, qui nécessiteront l’adoption de nouveaux principes.

Qui est responsable du maintien de la confiance dans l’écosystème des services bancaires ouverts?

Les plateformes de données et les intermédiaires offrent non seulement différents services aux principaux participants de l’écosystème, mais ils facilitent aussi l’échange sécuritaire de données au sein de l’écosystème en conformité avec les normes et principes en vigueur. Ils peuvent créer de la valeur ajoutée en offrant des mécanismes de contrôle communs en matière de cybersécurité ainsi que des solutions de protection de la confidentialité des données et de gouvernance de la gestion des données, le tout dans le respect des normes sectorielles en constante évolution et en vue d’une amélioration de l’expérience du client et d’une augmentation des taux d’adoption au sein de l’écosystème.

Volatiliser les limites pour accroître la confiance : une stratégie gagnante

L’adoption des services bancaires ouverts devrait s’accélérer à mesure que la confiance dans le système s’établit grâce à la sécurité améliorée.

Grâce aux services bancaires ouverts, la gestion des risques liés aux tiers passe au niveau supérieur. Les tiers s’associant de plus en plus étroitement aux fournisseurs de services financiers, la limite conventionnelle entre les entités et les services qu’elles offrent est vouée à se réduire. Les capacités d’intégration et d’évaluation périodique des risques liés à la cybersécurité devraient connaître une transformation : un nouveau processus devrait être mis en place dans le but de faciliter rapidement l’obtention du consentement des clients, les demandes de connexion de tiers et la collecte de renseignements sur les cyberrisques avec, à la clé, la capacité à donner ou à refuser l’accès de façon automatique.

Le fait d’éduquer les clients en matière de lutte contre les nouvelles menaces peut aider les participants à l’écosystème à protéger leurs systèmes de l’extérieur. Il s’agit notamment de leur apprendre à reconnaître les applications suspectes et de leur réitérer l’importance de toujours vérifier ce qu’ils consentent à partager.

De plus, une telle éducation peut rendre les clients plus confiants dans leur capacité à reconnaître les menaces et donc mieux les disposer à avoir recours à une plateforme de services bancaires ouverts fiable.

Adoption d’une architecture à vérification systématique

Selon les modèles d’affaires traditionnels des banques, l’interaction entre les clients et leurs fournisseurs de services financiers est restreinte à un périmètre clairement défini. Or, dans un contexte d’interdépendance croissante des fournisseurs de services financiers, laquelle s’explique par le caractère ouvert des données et des partenariats, ce périmètre tend à devenir de plus en plus flou, ce qui nécessite un changement radical dans les façons de protéger les données du client.

L’intégration avancée et l’absence de périmètre clairement délimité qui caractérisent les services bancaires ouverts placent les participants à l’écosystème devant la nécessité de s’assurer que leur architecture existante en matière de sécurité respecte les normes de sécurité élevées attendues par leurs clients.

Une des meilleures façons d’y parvenir est d’adopter une architecture à vérification systématique, soit une architecture qui valide et vérifie les droits d’accès de la totalité des ressources, pour toutes les interactions relevant des services bancaires ouverts, et qui atténue les dommages que la violation des données d’une ressource peut entraîner. Pour garantir une couverture et une protection optimales, il convient de mettre en place ces protocoles et procédures de vérification systématique pour toute infrastructure qui accepte des demandes externes.

Il faut surveiller chaque transaction externe qui passe par la passerelle tout au long du cycle de vie de la transaction afin de s’assurer du caractère licite de celle‑ci. À cet effet, il est possible de procéder à une validation continue de la source et de la cible des demandes tout en mettant en place des contrôles applicables de la sécurité du transit des données.

Il est également avantageux de mettre en place des analyses des interfaces de programmation d’application (API) à partir de la passerelle, afin d’étudier le comportement des utilisateurs. Les résultats fournis par ces analyses peuvent permettre la génération de réponses automatiques, par exemple la restriction de l’accès, l’alimentation en données de modèles d’apprentissage automatique ou encore l’évaluation des risques que présente la collaboration avec des tiers.

En outre, les API devraient être conçues selon le principe du droit d’accès minimal, c’est‑à‑dire qu’elles ne pourront ni « voir » les ressources qui ne sont pas strictement concernées par la demande de l’utilisateur ni y accéder. Cette mesure permet d’atténuer le risque d’exploitation des vulnérabilités et de réduire le nombre d’incidents dommageables.

Pour rassurer leurs clients et conserver leur confiance, les participants à l’écosystème ont intérêt à faire la promotion de la vérification systématique et à l’expliquer en termes simples.

Gestion du cycle de vie des API de services bancaires ouverts

Tant les clients que les tiers intégrés souhaitent que le déploiement et la maintenance des API se fassent rapidement, afin de pouvoir procéder aux mises à l’échelle qu’impose la popularité croissante des services bancaires ouverts.

Pour limiter autant que possible les perturbations chronophages des processus, les participants à l’écosystème ont tout avantage à élaborer et à adopter des modèles prédéfinis pour le déploiement et l’application sécuritaires des API à partir de l’extérieur. Les modèles de sécurité adoptés par les fournisseurs de services financiers doivent être configurables en fonction de différents modèles, normes et processus de protection sur mesure.

En apprenant à leurs équipes commerciales et techniques à travailler dans le respect de ces processus de protection, on évite de devoir modifier ou suspendre en cours de route le développement des services bancaires ouverts et des API.

De nombreux modèles ou processus de protection sont déjà offerts sur le marché, par exemple les normes FAPI (pour Financial Grade API ou API de qualité financière), qui comprennent des processus de transfert de données sécuritaires tels que le protocole TLS 1.2 et des techniques d’authentification forte comme OAuth 2.0, qui peuvent être utilisées pour mettre en place une suite sécuritaire d’API externes.

L’adoption des normes FAPI permettra aux banques de s’aligner sur des techniques de sécurisation des API bien établies et éprouvées qui sont déjà adoptées par les fournisseurs de services financiers dans de nombreux pays où les services bancaires ouverts ont atteint un stade de développement plus avancé.

Actif de grande valeur

La confiance des consommateurs doit être considérée comme l’actif le plus précieux de l’écosystème.

Pour que les services bancaires ouverts puissent continuer à évoluer, les participants à l’écosystème doivent continuer à placer la cybersécurité au cœur de leurs processus de conception et de développement.

Les plateformes de données et les intermédiaires peuvent jouer un rôle important pour la mise en place des capacités qui garantiront le respect des normes de sécurité telles que FAPI et OAuth 2.0. En outre, ils peuvent mettre en place une architecture à vérification systématique et ainsi contribuer à l’amélioration continue des normes de sécurité existantes.

La prise en compte de ces considérations permettra aux fournisseurs de services financiers canadiens et aux FinTech de tirer parti des avantages des services bancaires ouverts, de conserver la confiance des clients et d’augmenter leur présence sur le marché.