La finance adore la fluidité numérique; les cybercriminels aussi. Quand le phishing s’industrialise avec l’IA et que les identifiants deviennent la faille favorite, la passkey s’impose comme la pièce maîtresse d’une authentification enfin conçue pour résister.
Le baromètre de la Fédération bancaire française a révélé que neuf Français sur dix considèrent leurs données bancaires comme sensibles. Cette perception de la sensibilité augmente manifestement avec l’âge et le niveau de revenu, indiquant une prise de conscience ou une préoccupation accrue parmi les segments les plus âgés et les plus aisés de la population. Ce constat souligne aussi la compréhension par le public des risques inhérents aux informations financières à l’ère numérique.
La transformation numérique a optimisé l’expérience client et l’efficacité opérationnelle des services financiers grâce à des canaux innovants. Cependant, cette numérisation a parallèlement favorisé la cybercriminalité. L’an dernier, les tactiques des cybercriminels ont gagné en sophistication, telles que le phishing basé sur l’IA, leur offrant des méthodes puissantes pour cibler le personnel et les clients. Il en résulte une augmentation alarmante des usurpations d’identité, des prises de contrôle de comptes, de la prolifération des identités synthétiques (devenant la fraude financière à la croissance la plus rapide), des deepfakes et d’autres formes de cyberattaques.
Évolution des stratégies d’authentification dans les services financiers
Conséquence directe de cette empreinte numérique élargie, les banques et leurs clients sont devenus des cibles de plus en plus attractives pour les cyberattaques, la fraude et autres crimes financiers. En 2025, 91 % des Français considèrent leurs données bancaires comme sensibles.
Les systèmes mêmes conçus pour offrir commodité et efficacité sont désormais également des points d’entrée vulnérables. En effet, la compromission des identifiants est un point commun omniprésent et alarmant dans la grande majorité de ces incidents, y compris les cyberattaques et les fraudes au sein des organisations de services financiers. Cela met en évidence une vulnérabilité critique : la méthode fondamentale par laquelle les utilisateurs accèdent à leurs comptes, puisqu’elle repose encore largement sur des identifiants susceptibles d’être volés, réutilisés ou contournés.
Bien que l’authentification multi-facteurs (MFA) soit plus sûre qu’un simple mot de passe, les stratégies d’authentification des entreprises et des consommateurs, ainsi que les processus de vérification d’identité, ont des implications majeures en termes de risque et d’expérience utilisateur. Un processus mal conçu, même sécurisé, génère des frictions, poussant les utilisateurs vers des contournements moins sûrs ou un changement de fournisseur. Une stratégie réussie concilie sécurité renforcée et facilité d’utilisation, renforçant la confiance. Les institutions financières doivent ainsi comprendre l’équilibre délicat entre sécurité, commodité et besoins des différents segments de clientèle.
Les cybermenaces ciblent les institutions financières et leurs clients
En 2025, 28 % ont été victimes de cyberattaques après avoir reçu des e-mails leur demandant leurs coordonnées bancaires pour effectuer un paiement. Ces attaques insidieuses ont souvent des conséquences graves, notamment la perte de données, l’indisponibilité des systèmes et des frais juridiques et de conformité imprévus importants. Au-delà des implications financières immédiates, ces compromissions érodent gravement la confiance des clients, ce qui constitue une menace importante pour les relations commerciales existantes et les opportunités de croissance futures.
Les failles de sécurité, des grandes entreprises aux particuliers, résultent souvent de processus de vérification d’identité faibles et d’identifiants piratables, un défi amplifié par les cybermenaces basées sur l’IA qui rendent difficile la détection des e-mails de phishing. Ces vulnérabilités sont les principales portes d’entrée pour les cybercriminels, d’où la nécessité cruciale d’une authentification robuste et de formations de sensibilisation pour atténuer la menace cybercriminelle constante.
Exigences réglementaires en matière de MFA et de passkeys
Le secteur financier, infrastructure critique, fait face à une surveillance accrue et à des exigences réglementaires croissantes. Ces obligations imposent une MFA robuste pour atténuer les risques. La norme mondiale PCI-DSS évolue, exigeant notamment une MFA résistante au phishing pour tous les accès aux données des titulaires de cartes. Une tendance plus générale dans les réglementations nouvelles et révisées consiste à mettre en œuvre des exigences relatives à une MFA forte ou, plus précisément, résistante au phishing. En outre, l’évolution des normes d’authentification telles que CTAP 2.2 permet désormais d’étendre l’authentification sans mot de passe et résistante au phishing aux environnements de paiement réglementés en prenant en charge des fonctionnalités telles que la confirmation de paiement sécurisée entre domaines. Cela reflète une meilleure compréhension des menaces sophistiquées qui ciblent les institutions financières.
Dans ce contexte, les passkeys apparaissent comme un élément clé de l’authentification moderne résistante au phishing. Basées sur les normes FIDO, elles remplacent les mots de passe par des identifiants cryptographiques qui ne peuvent être piratés, interceptés ou réutilisés. Elles prennent en charge à la fois les implémentations synchronisées, offrant une commodité d’utilisation sur tous les appareils, et les options liées à un appareil, telles que les clés de sécurité matérielles, qui fournissent une couche de sécurité supplémentaire pour les cas d’utilisation à haut risque. En réduisant la dépendance aux mots de passe et en atténuant les vecteurs d’attaque courants, les passkeys renforcent encore davantage la posture d’authentification que les institutions financières peuvent offrir.
Parallèlement, le secteur financier s’efforce activement d’améliorer la protection des consommateurs. Cela implique non seulement de protéger les données et les transactions financières à l’aide de protocoles de sécurité avancés, mais aussi de sensibiliser les consommateurs aux meilleures pratiques en matière de sécurité numérique. L’accent mis sur une MFA forte et résistante au phishing est un élément essentiel de ces efforts, car elle offre un environnement plus sûr tant pour les institutions financières que pour leurs clients.
Ainsi, la convergence entre l’évolution des exigences réglementaires et les mesures proactives prises par le secteur souligne l’engagement du secteur financier en faveur d’une cybersécurité résiliente. En donnant la priorité à une MFA forte et résistante au phishing, les institutions se conforment non seulement aux normes mondiales, mais renforcent également la confiance de leurs clients et parties prenantes. Cette harmonisation continue entre la réglementation, la technologie et la protection des consommateurs permet au secteur de mieux anticiper et répondre aux menaces émergentes, renforçant ainsi son rôle de pilier sûr et fiable de l’économie mondiale.
____________________________
Par Fabrice de Vésian, Sales Director South EMEA et France chez Yubico
____________________________
puis