Dossier : Etat de l’art de la biométrie comportementale pour la banque et l’assurance (2/2)
Dans le premier article de ce dossier sur la biométrie comportementale, nous avons expliqué et illustré ce concept. Les définitions ont déjà mis en évidence l’intérêt de cette méthode. Nous allons aujourd’hui vous présenter plus en détail ses avantages, notamment pour la banque et l’assurance.
Quels sont les avantages de la biométrie comportementale ?
Les nombreuses start-ups (dont des fintechs et regtechs) qui se sont spécialisées sur le sujet reconnaissent de nombreux avantages comparatifs à cette nouvelle méthode :
Il nous faut ajouter que la biométrie comportementale représente une opportunité vis-à-vis de l’obligation de conformité avec la directive DPS2 pour tous les prestataires de paiement, qui rend l’authentification forte nécessaire à tous les paiements de plus de 30€.
Une authentification forte est constituée d’au moins deux facteurs (parmi « ce que je sais », « ce que j’ai » et « ce que je suis ») avec au moins un facteur qui est non réutilisable (à l’image de l’OTP « One-Time-Paiement », code à usage unique très souvent transmis par SMS sur le mobile de l’acheteur.) La double authentification via une analyse de la dynamique de frappe pendant l’écriture du mot de passe serait alors en accord avec la DSP2 et l’opération serait totalement transparente pour le client.
Les premières utilisations de la biométrie comportementale par le secteur de la banque
Toujours en quête d’innovation en matière de cyber sécurité, les institutions financières ont été les premières à s’intéresser au sujet.
L’un des premiers acteurs à avoir utilisé cette méthode est la Danske Bank qui a déployé le système à ses 2,5 millions d’utilisateurs au cours de l’année 2014. Pour ce faire, la banque danoise s’est associée à un spécialiste du domaine : BehavioSec.
Depuis, d’autres banques se sont investies dans le projet de la biométrie comportementale, à l’image de la Bank Leumi. Cette banque israélienne a développé, via sa filiale Leumi Card en partenariat avec la startup SecuredTouch, un système de sécurisation de son application mobile. A l’aide d’une technologie dernier cri, les utilisateurs de l’application n’ont plus besoin de mot de passe. Le système utilise le profil unique de l’utilisateur basé, entre autres, sur :
• La taille de ses doigts (biométrie physique)
• Les pressions et le déplacement des doigts exercés sur l’écran du mobile (biométrie physique)
Ainsi, le client bénéficie d’une meilleure expérience lors de ses connexions à l’application dans des conditions de sécurité améliorées.
Les institutions françaises s’intéressent également au sujet, à l’image du Crédit Mutuel Arkea qui a fait de la biométrie, dont la biométrie comportementale, un champ de recherches privilégié.
Google élargit le champ des possibles de la biométrie comportementale
Le projet repose sur la mise en place d’un Trust Score, le taux d’exactitude de la comparaison. Celui-ci serait obtenu à l’aide, ici encore, de la biométrie physique et comportementale.
Dans ce sens, un accès à des applications peu engageantes (comme les jeux sur smartphone) demanderait un Trust Score faible. Alors que pour obtenir l’accès à des données plus sensibles, typiquement les services bancaires et assurantiels, l’utilisateur devrait obtenir un score plus élevé, garantie d’une meilleure sécurité.
Avec plus de deux milliards d’utilisateurs mensuels d’Android, c’est un potentiel coup de projecteur massif sur l’innovation qui pourrait accélérer son développement et sa renommée.
Une innovation toujours en chantier
Si les perceptives sont prometteuses et nombreuses, la biométrie comportementale devra faire face à des challenges d’égale importance :
• Gagner la confiance des utilisateurs qui devront, demain, se fier à une technologie toute nouvelle pour des données très sensibles. Une intégration par étapes est très certainement à prévoir. Le concept de biométrie, relativement nouveau dans notre société, est susceptible de générer une peur d’effet Big Brother, amplifié par l’aspect comportemental du process.
• La fiabilité des systèmes récolte de très bons résultats pour le moment mais pour une plus large utilisation il va falloir attendre la certification d’acteurs qui font autorité dans le domaine de la cyber sécurité. De plus, les autorités de régulation devront reconnaître ces outils pour qu’ils soient mis en place.
• La protection des données est aussi une garantie sine qua non puisque la biométrie comportementale nécessite la collecte et l’utilisation de données très sensibles concernant les utilisateurs.
On rappelle ici que des experts de sécurité ont découvert que les smartphones HTC One Max et Samsung Galaxy S5 stockaient les empreintes digitales des utilisateurs dans des fichiers non cryptés, donc à la merci des hackers les moins chevronnés. Et, contrairement à un mot de passe, les utilisateurs ne peuvent pas changer d’empreinte digitale en quelques clics. La protection des données personnelles est de plus un sujet phare depuis l’entrée en application le 25 mai 2018 de la directive GDPR.
Des solutions existent pour protéger l’identité biométrique d’un individu. Ainsi, le gabarit peut être stocké de façon décentralisée (sur une puce ou un appareil comme c’est le cas avec nos passeports biométriques). Lors de l’authentification, le logiciel vérifie alors les mesures biométriques au gabarit stocké sur un objet en possession de l’utilisateur. Pour centraliser le stockage de l’information biométrique, on peut aussi procéder à une anonymisation des données stockées.
Alors en quoi la biométrie comportementale représente une opportunité pour le secteur de l’assurance ?
La biométrie comportementale semble être un outil adapté pour accompagner la transformation digitale de l’assurance. Pour améliorer l’expérience utilisateur, et par la même occasion maximiser le nombre d’opérations, cette innovation peut s’avérer très utile et un véritable facteur différentiant sur le marché.
D’une façon plus prospective, la biométrie comportementale pourrait permettre de renforcer la lutte contre la fraude à l’assurance auto :
Chaque conducteur a une manière bien à lui de conduire (tour/moteur lors des changements de rapport, utilisation de l’embrayage, de l’accélérateur ou du frein). Or, utiliser ces données pour identifier un conducteur, ce n’est ni plus ni moins que de la biométrie comportementale !
On peut imaginer que, lors d’une déclaration d’accident, l’assurance fasse une vérification via les capteurs, présents en masse sur les modèles d’automobiles les plus récents, afin de vérifier que le conducteur déclaré soit bien celui qui était au volant au moment de l’accident. On aurait ici une lutte efficace contre la fraude à la déclaration.
Plus largement, on pourrait élargir l’utilisation de la biométrie comportementale à la lutte contre la fraude aux déclarations de sinistres relatives à tous types d’objets connectés.
La biométrie comportementale pourrait également être un outil très adapté pour le profiling dans une vue marketing voire de lutte contre la criminalité, comme l’ont identifié les chercheurs du GREYC. Sans démarche d’authentification préalable, l’utilisateur d’une application ou d’un site pourrait être classé et identifié au travers de son comportement (exemple : selon son rythme de frappe, son âge, son sexe, son origine, etc.).