Il fut un temps où l'accès et la gestion des données financières étaient une tâche ardue pour les consommateurs. Cependant, grâce aux récentes innovations dans le domaine financier, l'expérience bancaire numérique a été simplifiée et rendue plus conviviale, notamment grâce à l'Open Banking.
En bref, l'Open Banking permet le partage sécurisé des données bancaires des consommateurs, offrant ainsi aux banques une meilleure compréhension de la situation financière et du niveau de risque de chaque client. Cela leur permet de proposer des produits et services plus adaptés à leurs besoins spécifiques. Les clients quant à eux, bénéficient d'une meilleure compréhension de leur situation financière et d'un plus grand contrôle sur leurs finances et leurs données.
Mais que signifie exactement l'Open Banking ? Quels avantages et défis cela apporte-t-il aux banques et aux clients à l'échelle mondiale ? Les réponses se trouvent dans la suite de cet article.
Qu'est-ce que l'Open Banking?
Open Banking facilite le partage sécurisé des données financières des consommateurs entre les banques et les fournisseurs tiers via des APIs. Avant son avènement, ces données étaient exclusivement gérées par les grandes banques, limitant ainsi l'accès des consommateurs. Ce concept vise à encourager la concurrence et l'innovation tout en améliorant l'expérience client. Le marché mondial de l'Open Banking connaît une croissance rapide grâce à des technologies émergentes telles que le Cloud Computing, l'IA, le ML, la Blockchain et les APIs. Alors qu’avant que l'Open Banking ne devienne une réalité, les grandes banques géraient exclusivement ces données financières, ce qui limitait la capacité des consommateurs à les gérer ou à y accéder sur différentes plateformes, comme c'est possible aujourd'hui.
Le concept de l'Open Banking vise deux objectifs principaux :
- Promouvoir une saine concurrence et l'innovation au sein de l'écosystème
bancaire. - Améliorer l'expérience globale du client.
Le marché mondial de l'Open Banking connaı̂t une croissance exponentielle : il était évalué à 7 milliards de dollars en 2018, est passé à 20,07 milliards de dollars en 2022, et devrait atteindre 135,17 milliards de dollars d'ici 2030, avec un taux de croissance annuel composé de 27,2 %.
Cette croissance impressionnante est essentiellement stimulée par l'émergence et le perfectionnement de technologies et de services tels que le Cloud Computing, l'Intelligence Artificielle (IA), l'Apprentissage Automatique (ML), la Blockchain et, bien sûr, les API.
Les TPP, ou prestataires de services tiers, sont des organismes qui interagissent
avec les banques pour faciliter la communication et offrir des services aux clients. Ils se
déclinent en deux types :
- Les fournisseurs de services d'information sur les comptes (AISP) : ils agissent au nom des banques pour accéder aux informations des consommateurs.
- Les fournisseurs de services d'initiation de paiement (PISP) : ils agissent au nom des consommateurs pour initier des paiements.
Les TPP peuvent être des fournisseurs de technologie financière, des détaillants en ligne, des compagnies d'assurance, et bien d'autres encore.
L'histoire brève et les jalons
Bien que l'Open Banking soit une pratique relativement récente, ses origines remontent aux années 1980, après une expérimentation menée par l'Office fédéral des postes allemand.
Cependant, le premier événement marquant qui a contribué à concrétiser l'Open Banking a eu lieu en 2007, lorsque la Commission européenne a publié la première directive sur les services de paiement (DSP1). Cette réglementation était d'une importance capitale pour favoriser la concurrence, accroître la transparence et améliorer la qualité générale des services dans le secteur financier. Elle a également été à l'origine de l'émergence des prestataires de services de paiement (PSP) et de la montée en puissance des fintech.
Plus récemment, en 2018, la DSP2 a été adoptée pour remplacer la DSP1, ayant un impact significatif sur les institutions bancaires en exigeant que toutes les banques accordent un accès API Open Banking aux TPP autorisés.
La technologie derrière l'Open Banking
La technologie derrière l'Open Banking repose sur quatre piliers fondamentaux :
- Interface de programmation d'applications (API)
Cette technologie permet aux banques de rendre leurs services accessibles aux fournisseurs tiers de services (TPP) de manière sécurisée et en temps réel. - Informatique en nuage (Cloud Computing)
Le Cloud Computing permet le traitement rapide de grandes quantités de données, essentiel pour authentifier les transactions financières et réduire les coûts en éliminant le besoin d'infrastructures matérielles sur site. - Intelligence artificielle / Apprentissage automatique (IA / ML)
Ces algorithmes analysent efficacement les données, améliorent la vitesse des transactions, fournissent des informations précieuses pour optimiser les processus, et détectent les activités frauduleuses. - Blockchain
Cette technologie offre un contrôle total sur les informations financières des clients, renforçant ainsi la confidentialité et la sécurité des données partagées avec des tiers.
Les défis futurs pour les développeurs de logiciels dans le secteur de l'Open Banking incluent la nécessité de maintenir un rythme de production rapide tout en suivant les tendances du marché, ainsi que l'intégration de la sécurité dans le processus de développement pour répondre aux menaces en ligne.
Avantages et risques de l'Open Banking
L'Open Banking offre plusieurs avantages significatifs, notamment une transparence accrue des transactions financières, une stimulation de la littératie financière chez les consommateurs et une simplification des paiements grâce à la centralisation des services. De plus, il permet aux clients de contrôler leurs données financières et de les catégoriser pour une meilleure compréhension de leurs dépenses.
Cependant, cette innovation comporte également des risques techniques, tels qu'une expérience client fragmentée, des problèmes techniques liés à la nouveauté de la technologie et un risque accru de fraude en raison de l'interconnexion des services. Les principaux défis liés à l'Open Banking concernent la cybersécurité et la confidentialité des données, étant donné le partage des données client avec les tiers prestataires de services.
Inquiétudes en matière de cybersécurité
Il est inévitable que, pour améliorer l'expérience client ainsi que l'efficacité et la transparence des systèmes de paiement, nous devons utiliser les données financières des clients. Cependant, cela ouvre la voie à des cyberattaques.
Vianney Dive-Levent, expert en cybersécurité chez Alter Solutions, identifie deux risques majeurs liés à l'Open Banking, pouvant entraîner d'autres menaces importantes :
- Mauvaise conDiguration des API
Actuellement, seuls quelques TPP sont autorisés, mais une API mal développée peut facilement divulguer des informations personnelles. Les fintechs, souvent des startups, ne mettent pas toujours l'accent sur la sécurité. - Violations de données
En augmentant le nombre de partenaires de confiance, le risque de fuites de données augmente. Les petites fintechs ne garantissent pas toujours une sécurité parfaite, donc une fuite de données pourrait exposer des informations financières sensibles.
Comment réduire les risques de cybersécurité ?
Dans la pratique, comment pouvons-nous limiter les risques d'actions malveillantes en ligne, nous protéger contre les vulnérabilités des API et l'exposition des données ? Trois aspects essentiels doivent être pris en compte :
Entreprises développant la technologie Open Banking
La première mesure fondamentale consiste pour ces organisations à adopter le principe de la Sécurité par Conception. "Il est primordial de penser à la sécurité et de l'intégrer au coeur de l'entreprise", souligne Vianney. Voici comment y parvenir :
- Mettre en oeuvre les mesures de sécurité requises par les agences de protection des
données, telles que le RGPD ou la PSD2, qui exigent des authentifications solides
pour toutes les transactions numériques. - Tester régulièrement la sécurité tout au long du projet en auditant l'API et le système
d'information de l'entreprise. Des mesures préventives comme le test du code, des
vulnérabilités du système et du fonctionnement des journaux d'activité aident à se
préparer à une attaque.
TPPs cherchant à déployer une API Open Banking
D'un point de vue technique, plusieurs stratégies peuvent être adoptées par les TPPs pour réduire les risques de sécurité. L'expert en cybersécurité d'Alter Solutions identifie ce qui suit :
- Mettre en place une authentification forte grâce à l'utilisation de l'authentification
multi-facteurs (MFA) par les utilisateurs, ainsi que l'utilisation du Transport Layer
Security mutuel (mTLS), où les deux parties s'authentifient mutuellement à l'aide du
certificat TLS. - Valider également la méthode d'autorisation, telle que OAuth 2.0, ou OpenID Connect (OIDC).
- Utiliser des méthodes de chiffrement robustes, notamment pour les transferts de fonds, avec au moins TLS 1.2.
- PSD2 recommande certaines normes pour l'Open Banking, comme l'ISO 20022 (pour toutes les initiatives de normes financières) et l'ISO 27001 (en ce qui concerne la sécurité, la cybersécurité et la protection de la vie privée).
- Nettoyer chaque donnée d'entrée sur l'API ou l'application utilisateur pour éviter les vulnérabilités courantes, telles que le Cross-Site Scripting (XSS) ou d'autres attaques par injection.
- Mettre en place un système de journalisation pour détecter les activités inhabituelles ou d'autres modèles indiquant des menaces de sécurité. Cette tâche peut être complexe : avec de nombreux journaux et appels d'API, un système d'analyse puissant, avec de l'apprentissage automatique et de l'intelligence artificielle, est nécessaire pour identifier un problème spécifique à votre API.
- Configurer un pare-feu d'application Web (WAF) pour filtrer le trafic HTTP entre
l'application web et Internet, offrant une couche de sécurité supplémentaire contre
les attaques courantes contre les applications Web.
Clients bénéficiant de l'écosystème Open Banking
La chose la plus importante est d'être conscient des meilleures pratiques en matière de sécurité, comme "ce qu'un e-mail de phishing pourrait signifier, l'importance d'utiliser des mots de passe forts et de protéger les données personnelles", explique notre expert en cybersécurité. "De plus", ajoute-t-il, "il est crucial de se renseigner sur les TPP potentiels avec lesquels vous souhaitez vous inscrire : ce fournisseur est-il nouveau ? Quelle certification possèdent-ils ? Qu'est-ce que l'API permet si je la valide ? Quelles données collecte-t-il ? En effet, ces APIs permettent l'accès aux informations bancaires, il incombe donc aux utilisateurs de savoir à qui ils vont faire confiance."
Que faire en cas de violation de données ?
Si malgré toutes les mesures préventives mises en place, une violation de données survient, il est essentiel d'adopter une approche méthodique pour y faire face. Voici les étapes recommandées par Vianney :
- Gestion de crise : Eltablir une unité de crise impliquant les différentes parties
prenantes (IT, Cybersécurité, Communication, Business Unit, etc.). En cas de menace
interne, isoler la source et identifier son origine à l'aide des journaux d'activité.
- Communication : Informer les partenaires (banques, TPPs, utilisateurs) de
l'incident et prendre les mesures nécessaires pour limiter l'accès aux données
sensibles. Assurer un soutien aux utilisateurs affectés et révoquer les jetons d'accès
actifs.
- Sécurisation des comptes : Demander aux utilisateurs de modifier leurs mots de
passe et autres informations d'identification liées à leurs comptes bancaires. Il est
également recommandé de désactiver l'autorisation de l'API concernée.
- Remédiation : Après une analyse approfondie de l'incident, mettre en oeuvre les
mesures correctives nécessaires pour renforcer la sécurité du système. Effectuer une nouvelle évaluation pour garantir la conformité aux normes de sécurité et aux
certifications requises.
Menaces émergentes
Dans un futur proche, quelles menaces émergentes les institutions financières doivent-elles anticiper dans le cadre de l'Open Banking ? Notre expert en cybersécurité identifie trois tendances potentielles :
- Combinaison de l'IA et de l'Ingénierie Sociale : Les technologies d'IA pourraient
permettre des campagnes de phishing de plus en plus ciblées, avec des techniques
comme le deepfake ou la voix générée par IA d'un proche pour accéder à des comptes sensibles. - Attaques sur la chaîne d'approvisionnement : Ces attaques ciblent les
fournisseurs tiers pour atteindre l'objectif principal. Dans le contexte de l'Open
Banking, un TPP malveillant pourrait exploiter une faille chez un partenaire pour
accéder à des données confidentielles. - Menace Persistante Avancée (APT) : Cette menace vise à rester discrète dans les
systèmes d'information pour extraire un maximum d'informations. Un attaquant
pourrait utiliser cette technique pour collecter des données sensibles en toute
discrétion à partir des systèmes d'un TPP.
Les préoccupations relatives à la confidentialité des données
Inès Chenouf, responsable de la protection des données chez Alter Solutions, apartage l'avis de Vianney Dive-Levent sur les risques majeurs associés à l'Open Banking, mais son attention se concentre principalement sur les conséquences néfastes qu'une violation des données peut entraîner pour toutes les parties impliquées : "Elle a des effets négatifs sur les personnes concernées (dommages physiques, matériels ou moraux) mais aussi sur les entreprises (dommages économiques, atteinte à la réputation, perte de savoir-faire, etc.)."
Selon elle, en plus de se former aux meilleures pratiques en matière de sécurité, comme l'a souligné Vianney, les clients doivent également être conscients de leurs droits et des réglementations en place pour pouvoir prévenir les conséquences néfastes des violations de données.
Comment les utilisateurs peuvent-ils garder le contrôle sur leurs données financières ?
Selon notre DPO, plusieurs moyens peuvent y contribuer. Tout d'abord, il existe des procédures et des cadres réglementaires qui encadrent l'utilisation des données personnelles et confidentielles des clients. Le RGPD de l'UE, par exemple, exige que le consentement du client soit obtenu de manière explicite, libre, informée et non équivoque, et ce consentement peut être retiré à tout moment.
Ensuite, pour avoir une maîtrise sur leurs données, les utilisateurs doivent comprendre comment elles sont utilisées. Aucun consentement ne doit être donné en échange d'avantages commerciaux ou autres, comme des remises ou des remboursements en espèces. Les clients doivent pouvoir suivre le parcours de leurs données, ce qui est généralement possible grâce à la documentation fournie par les banques.
De plus, afin de renforcer la confiance des utilisateurs dans le secteur bancaire et de faire face à l'augmentation des cyberattaques, le Digital Operational Resilience Act (DORA) de l'UE impose aux entités de gérer les risques informatiques. Cela signifie qu'elles auront des obligations supplémentaires pour assurer un niveau élevé de résilience informatique et de sécurité des données. Cette démarche vise à accroître la confiance et la sécurité pour tous les acteurs de l'Open Banking.
Remarques finales
Apprendre à surmonter les défis complexes mentionnés par notre expert en cybersécurité et notre DPO est une priorité majeure pour tous les acteurs de l'Open Banking, tant aujourd'hui que dans un avenir proche.
Faire face - de manière préventive et réactive - à des défis comme ceux-ci est quelque chose qu'Alter Solutions peut aider les entreprises, notamment grâce à des services tels que la gestion de la cybersécurité, l'intégration d'architectures et de solutions, les audits et les tests de pénétration, et la cyberdéfense.
Données sur l'Open Banking
- Transactions mondiales en 2023 : 57 milliards de dollars.
- Nombre attendu d’appels d’API en 2027 : 580 milliards (contre 102 milliards en
2023). - Utilisateurs de l'Open Banking en Europe en 2024 : 63,8 millions.
- Cadres Dinanciers considérant l'Open Banking comme une priorité élevée : 83%.
- Nombre de Dintechs en Europe par million d'habitants : 2.