Contrôle, Complexité et sécurité de l’e-banking

By 7 January 2013

2.2.2.3 Complexité et sécurité

La complexité concerne la facilité de réaliser une transaction (Gup, 2003). L’un des challenges inhérents à toute solution informatique est sa capacité à s’adapter à l’évolution rapide de ce domaine. L’un des points les plus critiques concerne particulièrement la sécurité des applications. Celle-ci doit perpétuellement être à la pointe afin d’éviter tout piratage ou interception des données. Le cryptage des données, la sécurisation des pages web, l’emploi de certificats, etc. sont des nécessités. Sans être exhaustif, Mathieu (2005) dresse un aperçu de ce que cette sécurité implique. Il faut :
− assurer la disponibilité des services et des données ;
− éviter l’interception non autorisée des communications ;
− confirmer que les données envoyées, reçues ou stockées sont complètes et non modifiées ;
− garantir leur confidentialité ;
− protéger les systèmes informatiques contre les attaques des logiciels malveillants ;
− garantir une authentification fiable capable de confirmer l’identité supposée des émetteurs, des acheteurs, des entreprises, c’est-à-dire l’ensemble des utilisateurs.

Mais outre cette problématique purement « informatique », il faut aussi se pencher sur les appréhensions des clients envers ces nouvelles technologies, et notamment en matière de paiement. Un certain nombre de personnes reste encore frileuse face aux avancées. A cet égard, dans un rapport publié en France dans la cadre de la « Mission pour l’économie numérique »29, le « label » est préconisé comme solution plus simple d’accès et plus accessible pour l’internaute. Celui-ci offrirait une information claire et compréhensible sur le niveau de sécurité que garantit le site en fonction du moyen de paiement utilisé.

29 Agence Wallonne des Télécommunication (AWT) (2002).

Vers une surenchère de la complexité ?

* Deux niveaux d’authentification :

L’accroissement de la sécurité mène vite à une surenchère de la complexité d’utilisation des applications. Outre les noms d’utilisateur et des mots de passe, l’utilisation de « digipass » est devenue incontournable. Nous sommes dans une authentification à deux niveaux. Elle est basée d’une part sur quelque chose que l’on a (une carte, un ordinateur) et d’autres part quelque chose que l’on connait (un code PIN, un mot de passe). La combinaison de ceux-ci génère des codes d’identification qui permettent d’accéder aux applications, ou encore des codes de confirmation pour valider une opération bancaire, etc. Toutefois, la marche à suivre est loin d’être uniforme et varie donc d’une banque à l’autre. Parfois, une connexion à un site se fait à l’aide d’un login et d’un code généré par un digipass, parfois un mot de passe « fixe » supplémentaire vient s’intercaler. Pour la confirmation des opérations, nous avons droit soit à l’utilisation d’un code de confirmation « fixe », soit celui-ci est généré lui aussi par le digipass. L’utilisation de ceux-ci varie aussi d’un modèle à l’autre. Dans certains cas, ils sont prévus pour accueillir une carte de banque, parfois il y a un code à entrer dans l’appareil, et dans d’autres cas encore, ils génèrent eux-mêmes un code qui est automatiquement renouvelé au-delà d’un période prédéterminée dans l’appareil.

* Trois niveaux d’authentification :

Mais la tendance prochaine est non seulement « something you have » et « something you know », mais aussi « something you are » (Skinner, 2006 b). Ou autrement dit, la prise en compte des données biométriques : emprunte digitale, iris, signature, emprunte vocale, etc. Déjà en 2004, ce même auteur soulignait qu’avec le niveau de risque croissant, les banques ne peuvent plus se permettre d’ignorer le potentiel des données biométriques. De plus, cela ne semble pas poser de problèmes aux consommateurs. Ceux-ci trouvent acceptables qu’une firme privée puisse demander des données biométriques à des fins d’authentification, par exemple lors de transactions avec une carte de crédits (Kennedy, 2004).

2.2.2.4 Contrôle

Un autre facteur important qui affecte l’e-banking est le contrôle du client sur les paiements. Ce contrôle inclut la possibilité de vérifier les factures, d’initier des paiements, d’entrer en communication avec une personne, etc. Cet aspect est classé comme l’une des considérations les plus importantes par les clients lors de leur utilisation de services de paiement électronique (McAndrews and Roberds, 2000).

Mais sous-jacent à cette notion de contrôle est celle de la compréhension. Les clients peuvent ne pas toujours saisir l’implication de certaines transactions financières. Par exemple, une personne qui recherche en ligne les emprunts hypothécaires aux coûts les plus bas, peut ignorer la différence entre un emprunt hypothécaire à taux-fixe et à taux variable. De même, quelqu’un qui recherche en ligne une carte de crédit, peut ne pas être conscient des différentes méthodes utilisées pour calculer les charges d’intérêts mensuelles. En somme, l’existence à elle seule d’un nouveau canal de distribution « high-tech » peut ne pas être suffisante pour changer les habitudes d’un grand nombre de consommateurs (Gup, 2003). Ceux-ci requerront toujours les recommandations du conseillé de leur banque.

* MiFID et établissement du profil d’investissement

Profil d’investissement
Illustration 5. Profil d’investissement

Depuis le 1er Novembre 2007, une nouvelle directive européenne est entrée en vigueur pour toutes les institutions financières européennes. Cette directive, connue sous le nom « Markets in Financial Instruments Directive » (MiFID)30, veut créer un marché unique pour les services d’investissements.

Son champ d’application concerne l’UE 27 (l’Union Européenne) ainsi que l’Islande, la Norvège et le Liechtenstein, et s’applique à tous les instruments financiers31. Elle a pour objectifs de :
− Protéger et informer les investisseurs ;
− Améliorer l’efficience et l’exécution des transactions sur les différents marchés ;
− Améliorer la transparence de la structure du coût.

Quelles sont les implications ?

Les institutions financières ont le devoir de s’informer sur la situation d’un client afin de s’assurer que le service ou les produits offerts sont en adéquation avec sa situation spécifique. Afin de dresser le profil investisseur du client, la banque va recueillir toute une série d’informations sur les connaissances et l’expérience de celui-ci en matière d’investissements, ainsi que le niveau de risque qu’il est prêt à prendre. Cela se concrétise en ligne par un simple formulaire que le client est tenu de compléter. Ce formulaire se présente généralement sous la forme d’une série de questions à choix multiples reprenant les informations requises par la directive.

Les informations récoltées doivent couvrir trois champs32:
− Les moyens financiers ;
− Les objectifs du client ;
− Les connaissances financières du client.

Un formulaire MiFID
Illustration 6. Un formulaire MiFID

Cette évaluation est effectuée dans l’intérêt du client afin qu’il puisse bénéficier d’un service « sur mesure » et d’une protection adéquate. A défaut de fournir ces informations, les banque (ou autres sociétés d’investissements) pourraient interdire de fournir tel ou tel service.

Le problème qui se pose est que les informations encodées par le client derrière son écran, peuvent sensiblement diverger de celles qu’il aurait fournies s’il avait été face à son banquier. Le questionnaire peut être rempli à la va vite et finalement ne pas refléter fidèlement le profil du client en matière d’investissements. Lors d’un entretien, le banquier peut davantage cerner son client et ainsi mieux dresser un profil adéquat.

* Gestion de patrimoine

Toujours en matière d’investissements, et en relation avec le point précédent, lors d’une relation face à face, le banquier peut mieux exposer ses différents produits et convaincre son client de leur intérêt. Au contraire, des informations relatives à des placements transmises via le canal Internet, peuvent tout simplement se retrouver noyées dans le flux des informations transmises. Le client peut très bien les supprimer en un clique de souris sans même les consulter.

Le fait de déplacer les investissements sur Internet n’est-il pas en contradiction avec le métier de banquier. Nous sommes en droit de nous imaginer que son rôle passe notamment par le conseil en investissements. Or, les banques proposent de plus en plus de fonctions de ce type sur leur plateforme e-banking respective. Jusqu’il y a peu encore – mis à part quelques banques plus spécialisées – seules les opérations les plus banales étaient réalisables en ligne (consultation des soldes, virements, impression des extraits de comptes, etc.). Mais nous assistons maintenant progressivement à une généralisation, d’outils permettant de réaliser non seulement les opérations courantes, mais aussi des opérations plus complexes (telles que les investissements).

2.2.2.5 Relation entre les facteurs

Les trois premiers facteurs sont intimement liés les uns aux autres. Plus de commodité, de fonctions, de possibilités peuvent accroître le risque de sécurité. Le sentiment de sécurité est un des facteurs jouant sur la confiance du client. Un renforcement de la sécurité peut aller de pair avec une complexité plus importante. Cette plus grande complexité peut à son tour occulter les aspects pratiques. La gestion de l’équilibre entre ces trois facteurs est délicate.

Lire le mémoire complet ==> (L’e-Banking remplace-t-il la banque traditionnelle ou la complète-t-il ?)
Travail de Fin d’études En vue de l’obtention du Master en Sciences de Gestion
HEC Ecole de Gestion de l’Université de Liège