Trois façons d’adopter l’autorisation dynamique pour les architectes des services financiers d’entreprise

La pandémie n’a été qu’un accélérateur d’une tendance déjà en marche. Le modèle des agences bancaires est en déclin au profit de canaux digitaux, et les entreprises comme les consommateurs gèrent toujours plus leurs finances via un choix accru de services en ligne. Pour trouver un équilibre entre commodité et risques, de plus en plus de consommateurs utilisent les canaux digitaux au quotidien, y compris ceux qui jusque-là ne faisaient rien ou peu en ligne. En 2021, deux milliards et demi d’utilisateurs ont accédé à des services bancaires depuis des smartphones, des tablettes, des PC et des montres connectées, comparé à deux milliards en 2018. Plus de 76 % des Britanniques ont utilisé des services de banque en ligne au cours de l’année dernière. Ces chiffres continuent d’augmenter, les consommateurs préférant utiliser des applications instantanées via des canaux digitaux.

Alors que les clients comme les collaborateurs basculent vers le digital, les attentes liées à la manière d’interagir avec les services en ligne évoluent rapidement. Les membres d’une équipe qui sont désormais répartis à distance doivent pouvoir accéder aux données financières pour lesquelles ils ont une autorisation, mais à rien d’autre. Il doit être possible de mettre en place une séparation des tâches pour les activités sensibles ou présentant un risque élevé. Les consommateurs peuvent souhaiter partager des données et un accès au compte avec les membres de leur famille ou avec des tiers, mais aussi établir des niveaux d’accès adaptés et répartir les préférences sur une base individuelle.

Ces tendances chez les utilisateurs stimulent la flexibilité quant à la manière dont les entreprises et les équipes consomment et partagent des informations financières et autorisent des opérations. Toutefois, entre une conformité stricte aux régulations et des cyber-menaces permanentes, il faut trouver un équilibre entre flexibilité et sécurité.  En novembre 2021, un piratage de Robinhood a exposé les données de plus de sept millions d’utilisateurs.  Les prestataires de services financiers doivent trouver des manières de procurer des expériences intuitives et exceptionnelles tout en renforçant la sécurité. 

Déterminer qui a accès à quoi est désormais une priorité de premier ordre pour les organisations de services financiers.  Confrontés à des besoins de plus en plus complexes en termes de sécurité des données, les fournisseurs de services financiers s’orientent vers l’autorisation dynamique pour renforcer la sécurité et améliorer l’expérience utilisateur.

L’autorisation a toujours été résolue en utilisant le contrôle des accès basé sur les rôles (RBAC), où un rôle était assigné à des groupes d’utilisateurs avec des permissions prédéfinies y étant associées.  Le nombre croissant d’exigences conduit à une explosion des rôles ou des portées. Pour augmenter la flexibilité et mettre en place de nouveaux cas d’usage, les développeurs d’applications ont fini par créer une logique d’autorisation pour chaque application spécifique, qui requiert du temps pour être modifiée, qui est invisible et qui est sujette aux erreurs.

Un nouveau modèle est en train d’émerger. L’autorisation dynamique est la mise en place en temps réel d’une logique commerciale stricte liée à ce que les utilisateurs peuvent voir et faire, dans quel contexte et dans quel but. Contrairement au contrôle des accès basé sur les rôles (RBAC), elle ne repose pas sur une logique de rôles statiques. Elle reconnaît qu’une décision d’autorisation utilisera souvent de nombreuses autres sources de données et des signaux de risques pour déterminer quel accès est correctement autorisé.  Le contexte d’une transaction est plus important. Les politiques d’autorisation n’évaluent pas qu’un seul attribut unique, comme des rôles, et examine de multiples attributs (l’heure, l’emplacement, le type, l’ampleur de la transaction, les données auxquelles on accède, etc.) Les solutions d’autorisation dynamique évaluent les toutes dernières données disponibles et prennent une décision d’accès au moment de la transaction. 

Fondamentalement, l’autorisation dynamique va donc au-delà de l’identité pour déterminer qui peut accéder à quoi. De nombreux produits élargissent le RBAC, qui se contente d’exprimer la relation entre les rôles, les ressources et les actions. L’autorisation dynamique ou externe va au-delà du RBAC (et donc de l’identité) en utilisant des attributs supplémentaires pour prendre des décisions d’autorisation et améliorer à la fois la flexibilité et la sécurité. Elle s’appuie sur le contrôle des accès basé sur les attributs (ABAC) pour utiliser un contrôle des accès strict et porter l’autorisation en dehors des applications. Le contexte est évalué pour chaque demande d’accès, ce qui procure la flexibilité qui fait défaut à l’autorisation traditionnelle.

L’autorisation dynamique nous permet de prendre des décisions d’autorisation mieux informées et plus intelligentes, mais aussi de rapprocher ces décisions des points d’accès. Nous pouvons alors façonner le comportement des applications en fonction du contexte de la demande : par exemple, si une transaction est associée à un degré plus élevé de risques, nous pouvons alors demander à l’utilisateur de suivre une procédure supplémentaire d’authentification multifacteur (MFA) avant qu’il poursuive. De cette manière, nous pouvons ajuster l’expérience utilisateur en fonction de l’utilisateur, des ressources et des informations que nous utilisons au point d’accès.

Une approche ABAC va au-delà des bases grâce à la flexibilité qui permet de résoudre la plupart des cas d’usage. Les services financiers ont plusieurs exigences en termes de décision ; aussi, la flexibilité d’expression et le modelling des données sont essentielles pour réussir.

Explorons trois cas d’usage que les clients des services financiers de Ping Identity ont adopté en 2021 pour renforcer la sécurité et améliorer l’expérience de leurs clients :

Prévention des fraudes

Les fraudes ciblant les activités bancaires en ligne constituent une menace croissante et une hausse des incidents engendre une hausse des coûts. Le nombre de délinquants accédant aux comptes en ligne d’un client et réalisant des virements non autorisés a augmenté de 43 % en 2020 et coûté 159,7 millions de livres au Royaume-Uni uniquement.

Les organisations de services financiers vérifient en permanence les mesures de sécurité et passent actuellement de la détection à la réduction en temps réel de l’impact. Toutefois, on reconnaît largement que cela ne peut pas affecter le caractère agréable des expériences des clients légitimes.  Pour trouver ce juste équilibre, les organisations qui réussissent, se focalisent sur la confiance et la sûreté sans ajouter de mesures de sécurité supplémentaires sur tous les utilisateurs. 

Comment y parviennent-ils ? Établir un lien de confiance implique de traiter divers signaux tout au long du parcours utilisateur.  Ces signaux peuvent venir des services de détection des fraudes et d’évaluation des risques, ou des informations sur l’utilisateur, le terminal et l’action réalisée.  L’utilisateur peut être orienté vers différentes expériences utilisateur en fonction du degré de confiance (en demandant par exemple le MFA pour certaines transactions si le niveau de confiance est faible).  L’intention est de fournir un degré de friction approprié pour l’action réalisée par l’utilisateur.

L’autorisation dynamique permet aux membres de l’équipe en charge des fraudes d’assimiler des signaux au sein de l’entreprise et des politiques en place qui déterminent les parcours utilisateurs pour des degrés de confiance différents. En retirant les politiques d’autorisation des applications et en les plaçant dans une interface utilisateur partagée et centralisée, les équipes en charge des fraudes peuvent rapidement introduire de nouveaux signaux dès qu’ils sont disponibles et tester la manière dont ces signaux sont appliqués dans les différents parcours utilisateurs. Elles ne sont plus liées à de longs délais de lancements informatiques, ce qui leur permet d’avoir un temps d’avance sur les fraudeurs lorsqu’ils identifient des menaces émergentes.  Cela permet aux organisations de services financiers d’adapter en permanence leurs expériences au degré de confiance associé à chaque utilisateur.

Gestion du consentement pour les réglementations Open Data

Alors que les consommateurs adoptent les services numériques, ils recherchent des mécanismes pour utiliser et déplacer leurs données entre les services et que cela leur soit bénéfique.  De plus en plus de consommateurs partagent leurs données financières sur des services de captures de données d’écran pour accéder aux produits de services financiers innovants. La capture de données d’écran ou screen scraping est l’utilisation automatisée et programmée d’un site web, sous la forme d’un navigateur web, pour extraire des données ou réaliser des actions que, normalement, les utilisateurs réaliseraient manuellement, comme Mint.com ou Plaid.Com qui collectent automatiquement les données bancaires pour vous et vous en donner un aperçu consolidé. Toutefois, le screen scraping expose les consommateurs à des risques puisqu’il leur demande de partager leurs identifiants de connexion bancaires avec des prestataires de service tiers. 

Stocker les identifiants des utilisateurs présente des risques. De nombreux utilisateurs réutilisent leurs mots de passe sur plusieurs comptes, et les failles peuvent compromettre les comptes bancaires ainsi que d’autres comptes en ligne. La seule manière de révoquer cet accès est de changer les mots de passe et la plupart des gens ne se souviennent pas des sites et des applis auxquels ils ont donné accès, ni le niveau d’accès qu’ils ont accordé.  De plus, l’expérience utilisateur et la fonctionnalité du screen scraping sont souvent interrompues lorsque les fournisseurs de services financiers opèrent des modifications mineures du système.

Il existe une alternative. L'Open banking permet aux données de circuler de manière contrôlée entre les organisations par le biais d’une API, ce qui permet aux consommateurs et aux petites entreprises de transférer efficacement et en toute sécurité leurs données financières entre les institutions financières et les fournisseurs de services tiers accrédités. Alors que l’Open Banking est bien plus avancé en Europe qu’aux États-Unis et au Canada, cela est en train de changer avec l’émergence de la spécification FDX et la récente obligation au Canada d’introduire l’Open Banking d’ici 2023.

Partager des données entraîne inéluctablement des risques, et à l’heure où les organisations de services financiers passent à des approches basées sur les API, il est essentiel de développer des procédures de gouvernance concernant la confidentialité et la sécurité des données personnelles. Un domaine sur lequel il faut particulièrement se concentrer est l’obligation de toujours soumettre le flux de données sur les API open banking à un consentement explicite.  Dit autrement, les consommateurs doivent pouvoir contrôler ce qu’ils partagent, quand ils le partagent et auprès de qui ces données sont disponibles.

Pour ce faire, les services financiers doivent mettre en place un fichier de consentement strict qui permet aux clients de contrôler qui peut accéder à quelles informations.  Une fois que ce fichier a été constitué, une autorisation dynamique peut être utilisée pour appliquer le consentement et réaliser une série de vérifications à chaque demande de l’API pour confirmer que le demandeur a le consentement approprié pour accéder aux données.

PingAuthorize centralise la fonction d’application du consentement pour qu’elle ne soit pas installée séparément dans chaque application. Cela permet à la banque de fournir un niveau cohérent d’autorisation stricte sur toutes les applications.  Enfin, cela procure aux consommateurs une méthode plus sécurisée pour partager leurs données, cela réduit les risques associés au screen scraping et leur fournit un mécanisme simple pour contrôler exactement la manière dont leurs données sont partagées. Du côté de l’organisation de services financiers, cela renforce la sécurité, la visibilité, la confiance à l’égard de la marque ainsi que l’agilité de l’entreprise. C’est gagnant-gagnant pour tous les acteurs concernés.

Permissions et droits

Les organisations de services financiers ont des règles permettant de savoir qui peut accéder à quelles informations et qui peut réaliser des opérations spécifiques.  Dans certains cas, ces règles sont définies par les lois et les réglementations en vigueur ou par des politiques internes de l’entreprise.  Dans d’autres cas, pour donner aux clients de la flexibilité et les expériences qu’ils souhaitent, les services financiers créent des règles pour des opérations spécifiques permettant aux client de déléguer les droits d’accès à d’autres utilisateurs finaux comme des employés ou des proches.

Par exemple, dans les banques pour les professionnels, au-delà d’une certaine somme, l’approbation d’un paiement peut être nécessaire avant qu’il soit traité. Un membre du personnel peut lancer le paiement mais les responsables doivent l’approuver. Dans les banques pour les particuliers, un membre du personnel pourra accéder aux comptes uniquement si le client est dans la même agence ou la même région que l’employé, ou bien un client pourra accéder au compte d’un mineur lorsqu’il est le représentant légal du titulaire du compte.

Ici, l’autorisation est déterminée en fonction des relations entre l’utilisateur, les ressources auxquelles il accès et l’action qu’il réalise. Autrefois, cela impliquait de créer des politiques distinctes de contrôle des accès basés sur les rôles (RBAC) pour déterminer les permissions de chaque catégorie de personnel et de client, mais cette approche a conduit à une charge administrative coûteuse pour les permissions obsolètes.

L’autorisation dynamique fournit une solution plus efficace. Les permissions pour réaliser des actions sur des ressources sont exprimées à travers des politiques explicites, en s’appuyant sur des informations contextuelles sur les droits émanant des data stores concernés. L’organisation définit explicitement les relations entre les clients, le personnel, les ressources et les actions, en s’adaptant rapidement sans retravailler des politiques de RBAC statiques.

Cela crée de meilleures informations de sécurité reposant sur les principes de moindre privilège. Cela améliore l’expérience utilisateur là où seuls les objets et les actions qu’un utilisateur peut réaliser s’affichent, et cela procure à l’entreprise un mécanisme cohérent et visible pour mettre en place des règles commerciales pour régir les accès.

L’autorisation dynamique est la mise en place en temps réel d’une logique commerciale stricte liée à ce que les utilisateurs peuvent voir et faire, dans quel contexte et dans quel but. Elle ne repose pas sur une logique de rôles statiques comme le RBAC. Elle reconnaît que le contexte d’une transaction utilisera souvent de nombreuses autres sources de données et des signaux de risques pour déterminer quel accès est correctement autorisé. Les solutions d’autorisation dynamique évaluent les toutes dernières données disponibles et prennent une décision d’accès au moment de la transaction. 

Le volume de données clients collectées et stockées par les organisations de services financiers a rapidement évolué en raison des événements mondiaux récents. Cela entraîne de nouvelles difficultés pour que les informations demeurent sécurisées mais accessibles.  Les fournisseurs de services financiers mettent en place l’autorisation dynamique pour renforcer la sécurité et améliorer l’expérience utilisateur. Les architectes de l’entreprise adoptent l’autorisation dynamique comme composant architectural clé dans le secteur, ce qui facilite de nouveaux cas d’usage.

Les clients des services financiers de Ping Identity utilisent l’autorisation dynamique pour prévenir les fraudes, gérer les consentements conformément aux réglementations sur l’open data et contrôler les permissions et les droits des collaborateurs. Notre plateforme donne aux utilisateurs de la flexibilité pour facilement mettre à jour les politiques d’autorisation et procure les bases pour mettre en place une autorisation dynamique avec chaque nouveau cas d’usage qu’une organisation de services financiers souhaite mettre en place.

L’autorisation dynamique continuera de se développer comme un élément fondamental de la manière dont les systèmes des entreprises sont conçus et élaborés. Cela améliorera tant les informations sur la sécurité que l’expérience utilisateur, et continuera à permettre de nouveaux cas d’usage là où les institutions peuvent profiter d’un contrôle centralisé et strict sur qui peut accéder aux données des clients et comment les consommateurs interagissent avec les API de votre entreprise.

Pour en savoir plus sur l’ABAC et l’autorisation dynamique, lisez notre livre blanc.