Know Your Customer : un processus qui s’étend sur les sites digitaux en contact avec des clients

Le processus «Know Your Customer», ou Connaissance du Client, a pour objectif de vérifier puis de valider avec un haut niveau de sécurité l’identité du demandeur ou de l’utilisateur d’un service numérique. Il a été conçu pour le secteur bancaire, om il fait l’objet depuis plusieurs années d’une réglementation très stricte, pour prévenir le blanchiment d’argent, la fraude fiscale et le financement du terrorisme. Mais son utilisation est aujourd’hui vouée à s’étendre à d’autres entreprises ou organisations en contact avec des clients pour renforcer leurs procédures d’authentification numérique. 

En effet, dans le monde numérique, la notion de confiance est devenue primordiale face à la montée des risques et la multiplication des fraudes et intrusions en tous genres. 

Confiance des entreprises vis-à-vis de leur client: est-t-il vraiment ce qu'il prétend être ou s’agit-il d’un robot ou d’une personne malveillante? Mais aussi confiance des clients vis-à-vis de leur fournisseur de produit ou de service: va-t-il protéger efficacement les données personnelles que je lui confie? 

Pour garantir cette confiance, les procédures d’authentification habituelles (nom, adresse email, mot de passe) ne sont plus suffisantes dans un nombre croissant de situations où le niveau de risque est élevé.

Concrètement, lorsqu’il ouvre un compte ou s’enregistre sur un site digital, le client doit d’abord fournir une pièce d’identité certifiée par une institution gouvernementale, de type carte d’identité ou passeport, comportant une photo. La validité de cette pièce est alors vérifiée par une société spécialisée pour vérifier qu’il ne s’agit pas d’un faux, en contrôlant les codes figurant sur la pièce en question (code MRZ sur les cartes d’identité par exemple). Puis le client est invité à se prendre lui-même en phot sur son terminal mobile, et à transmettre la photo, qui doit correspondre à celle figurant sur la pièce d’identité. Cette vérification faite, son identité est désormais authentifiée avec un niveau de confiance très élevé. Par la suite, lorsque le client se connecte à son compte, cette vérification entre les deux photos (pièce d’identité certifiée + selfie) est de nouveau effectuée.

On le voit, cette méthode d’authentification apporte un très haut niveau de sécurité, et élimine quasiment tout risque d’usurpation d’identité. Mais elle a également son revers, en imposant à l’utilisateur des contraintes supplémentaires, qu’il n’est pas forcément prêt à accepter.

Exigeant un engagement fort côté client, elle n’est pour l’heure adaptée que pour accéder à des services jugés stratégiques, où la sécurité des accès et la protection des données sont d’une importance majeure : services bancaires, application de santé, sites institutionnels, sites marchands à forte notoriété, etc.

Côté entreprise, en raison de son impact immédiat sur l’expérience utilisateur, son utilisation ne s’impose que pour des demandes d’accès ou des opérations comportant un niveau de risque élevé (transactions d’un montant supérieur à un certain seuil par exemple).Pour cette raison, le meilleur choix est de l’intégrer au sein d’un processus d’authentification adaptatif, mis en œuvre par un système centralisé associant gestion des identités et des accès et gestion des risques.

Tenant compte en temps réel du profil du demandeur et du niveau de risque associé à sa demande, ce système détermine alors la méthode d’authentification la mieux adapté, allant du simple mot de passe à la vérification d’une pièce d’identité.