Skip to content

Selon le rapport, les identifiants volés restent l'un des deux principaux vecteurs d'accès initiaux dans tous les secteurs d'activité, Rapport 2026 de Verizon sur les enquêtes relatives aux fuites de données— et en ce qui concerne les banques, où les comptes numériques offrent un accès direct aux services financiers, celles-ci continuent d'être la cible de fraudes par prise de contrôle de compte, d'attaques par « credential stuffing » et de campagnes de hameçonnage en temps réel menées à grande échelle.

La réponse réglementaire a été sans équivoque : la PSD3 et la PSR1 sont en cours de mise en œuvre dans tous les États membres de l'UE, la DORA est en vigueur, et les autorités de régulation de l'UE, des États-Unis et de la région Asie-Pacifique s'accordent sur une exigence commune : une authentification résistante au phishing.

Les clés d’accès FIDO2 constituent désormais la voie la plus évidente pour atteindre cet objectif. Mais le débat ne s’arrête pas aux clés d’accès. L’émergence de l’informatique quantique signifie que les fondements cryptographiques de l’architecture d’authentification actuelle sont confrontés à une menace à long terme à laquelle les institutions visionnaires doivent se préparer dès aujourd’hui. Cet article explique comment fonctionne l’authentification sans mot de passe FIDO2 dans le secteur bancaire, ce qu’exigent les normes PSD3 et PSR1, et pourquoi la cryptographie post-quantique doit figurer dans votre feuille de route — et propose huit questions pour évaluer la situation de votre institution.

Pourquoi les mots de passe ne suffisent-ils plus dans le secteur bancaire ?

La fraude bancaire moderne cible rarement les mots de passe de manière isolée. Les attaquants exploitent les systèmes qui les entourent : des proxys de phishing en temps réel interceptent les codes à usage unique envoyés par SMS avant même que les utilisateurs n’aient fini de les saisir ; les attaques par échange de carte SIM redirigent les messages de vérification vers des appareils contrôlés par les attaquants ; l’ingénierie sociale mise en œuvre aux points d’entrée des services d’assistance contourne complètement l’authentification principale. L’authentification reposant sur des secrets partagés crée des surfaces d’attaque que les contrôles de politique ne peuvent à eux seuls colmater.

Pourquoi le secteur bancaire est-il une cible de choix pour les attaques visant à dérober des identifiants ?

La fraude par prise de contrôle de compte reste le principal vecteur d’attaque dans le secteur bancaire numérique. Les outils de « credential stuffing » testent, dans le cadre de campagnes automatisées, des milliards de combinaisons nom d’utilisateur/mot de passe déjà compromises sur les portails bancaires. L'authentification multifactorielle (MFA) a relevé le niveau de sécurité, mais toutes les solutions MFA ne se valent pas. Les codes OTP par SMS et les notifications push restent vulnérables au phishing : un attaquant qui parvient à piéger un utilisateur pour qu'il valide une notification push en temps réel obtient l'accès au compte, quel que soit le deuxième facteur utilisé dans le processus d'authentification.

Les clés d'accès FIDO2 résolvent ce problème au niveau de l'architecture, et non au niveau des politiques. En supprimant les secrets partagés et en liant les identifiants à des domaines spécifiques de parties de confiance (RP), elles éliminent le mécanisme qui rend le phishing économiquement viable : il n'y a plus rien à intercepter, à relayer ou à réutiliser.

Comment fonctionne l'authentification sans mot de passe FIDO2 dans le secteur bancaire ?

FIDO2 est une norme d'authentification ouverte développée par le Alliance FIDO en collaboration avec le W3C. Sa spécification WebAuthn permet aux navigateurs et aux applications d'authentifier les utilisateurs à l'aide d'identifiants cryptographiques — des « passkeys » — à la place des mots de passe.

Lorsqu'un utilisateur enregistre une clé d'accès, l'appareil génère une paire de clés publique-privée. La clé privée ne quitte jamais l'appareil ; la banque ne stocke que la clé publique. Lors de l'authentification, la banque envoie une requête ; l'appareil la signe avec la clé privée ; la banque vérifie la signature. Aucun secret n’est transmis. Chaque identifiant est également lié de manière cryptographique à un domaine spécifique ; il ne peut donc pas être utilisé sur un site de hameçonnage, même s’il s’agit d’une réplique visuelle parfaite, au pixel près, du portail bancaire légitime.

Mots de passe ou clés de sécurité matérielles : quelle est la solution la mieux adaptée à votre banque ?

Il existe deux types principaux de clés d'accès. Les clés d’accès synchronisées se répliquent sur tous les appareils d’un utilisateur via des écosystèmes de plateformes tels que le trousseau iCloud d’Apple ou le gestionnaire de mots de passe de Google. Elles simplifient la récupération et conviennent particulièrement aux clients particuliers. Les clés d’accès liées à un appareil sont associées à un seul appareil et ne sont jamais exportées, offrant ainsi une sécurité accrue pour les accès privilégiés, les utilisateurs de services bancaires d’entreprise ou les flux de transactions à forte valeur ajoutée.

Pour les institutions exigeant le plus haut niveau de sécurité — services bancaires aux entreprises, administrateurs privilégiés ou contextes imposant une séparation par rapport à l'appareil principal de l'utilisateur —, les clés de sécurité matérielles offrent un moyen d'authentification dédié, sans exposition à Internet, et nécessitant une vérification obligatoire de la présence de l'utilisateur à chaque utilisation. La RSA Série iShield Key 2 offre une authentification matérielle certifiée FIDO2 qui s'intègre à RSA ID Plus dans les environnements cloud, hybrides et sur site, ce qui permet aux banques de déployer le système d'authentification le mieux adapté à chaque catégorie d'utilisateurs à partir d'une plateforme unique.

RSA a déployé le système d'authentification sans mot de passe FIDO2 auprès de l'ensemble de ses collaborateurs à l'échelle mondiale, parvenant à une adoption quasi totale sur les terminaux gérés en l'espace de douze mois. Le récit complet — y compris la manière dont ont été gérées les dépendances héritées et la gestion du changement à l'échelle de l'entreprise — est consigné dans le Au sein de RSA : Déploiement à grande échelle de solutions FIDO et sans mot de passe étude de cas, élaborée en collaboration avec l'Alliance FIDO.

Le système FIDO2 est-il conforme à la directive PSD3 et au règlement PSR1 ?

Lorsqu’il est correctement mis en œuvre, le modèle FIDO2 permet de satisfaire aux exigences de la directive PSD2 en matière d’authentification forte du client (SCA). Le dispositif d’authentification fournit le facteur de ’ possession » ; un élément biométrique ou un code PIN assure les facteurs de « caractéristique intrinsèque » ou de « connaissance ». La liaison dynamique — qui lie l’authentification à un montant de transaction et à un bénéficiaire spécifiques — peut être intégrée aux flux FIDO2, ce qui en fait une solution SCA complète tant pour l’authentification de l’identité que pour la validation du paiement.

Quels changements les directives PSD3 et PSR1 apportent-elles en matière d'authentification bancaire ?

La directive PSD3 et son règlement d’application PSR1 ont fait l’objet d’un accord politique en 2025 et sont actuellement en cours de mise en œuvre, les délais de transition s’étendant jusqu’en 2027 et 2028. Trois changements revêtent une importance particulière pour les équipes chargées de l’authentification. Premièrement, la PSD3 et le PSR1 imposent des exigences renforcées en matière d’authentification forte (SCA) résistante au phishing, allant au-delà du modèle de base à deux facteurs de la PSD2 pour s’orienter vers des méthodes qui ne peuvent être ni interceptées ni relayées. Deuxièmement, les banques voient leur responsabilité accrue dans les cas de fraude où une authentification résistante au phishing était disponible mais n’avait pas été mise en œuvre. Troisièmement, les établissements doivent proposer des méthodes d’authentification alternatives obligatoires aux utilisateurs qui ne peuvent pas utiliser la méthode principale, ce qui nécessite une architecture à authentificateurs multiples plutôt qu’un déploiement reposant sur une seule méthode.

Le modèle FIDO2, qui utilise des mots de passe liés à un appareil ou des clés de sécurité matérielles, s’inscrit pleinement dans les orientations de la PSD3/PSR1. Les établissements ayant déjà mis en œuvre le modèle FIDO2 seront mieux à même de démontrer leur conformité et de fournir les registres de contrôle d’accès ainsi que la documentation d’audit que les autorités de régulation leur demanderont. Gouvernance et cycle de vie de l'ASR automatise le traitement des registres de contrôle d'accès et des rapports de conformité, réduisant ainsi le temps de préparation des audits de plusieurs semaines à quelques heures.

Pourquoi la cryptographie post-quantique revêt-elle aujourd'hui une telle importance pour l'authentification bancaire ?

L’informatique quantique capable de contourner les systèmes de chiffrement asymétrique actuels n’est pas encore disponible sur le marché. Le problème de planification, cependant, se pose déjà. La stratégie d’attaque dite “ récolter maintenant, déchiffrer plus tard ” — qui consiste à collecter dès aujourd’hui le trafic réseau chiffré dans l’intention de le déchiffrer une fois que les capacités quantiques auront atteint leur maturité — est déjà mise en œuvre par des acteurs malveillants sophistiqués ciblant des institutions de grande valeur. Pour les banques, où le trafic d’authentification et les données clients à long terme constituent des cibles d’intérêt constant, cela représente un véritable horizon de risque qui nécessite de prendre des mesures avant que la menace quantique ne se concrétise.

En quoi consiste la menace dite “ récolter maintenant, décrypter plus tard ” ?

La cryptographie à clé publique standard d’aujourd’hui — qui constitue le fondement du protocole TLS, des signatures numériques et des opérations d’authentification FIDO2 — repose sur des problèmes mathématiques que les ordinateurs classiques ne peuvent pas résoudre à grande échelle. Un ordinateur quantique suffisamment puissant, exécutant l’algorithme de Shor, pourrait résoudre ces problèmes efficacement, exposant ainsi rétroactivement toutes les données chiffrées selon les normes actuelles. Les institutions qui stockent ou transmettent des données liées à l’authentification doivent partir du principe que des adversaires sophistiqués pourraient déjà les archiver en vue d’un déchiffrement futur.

Les normes post-quantiques du NIST et la voie à suivre pour les banques

En août 2024, Le NIST a finalisé ses trois premières normes en matière de cryptographie post-quantique: ML-KEM (encapsulation de clés basée sur les treillis), ML-DSA (signatures numériques basées sur les treillis) et SLH-DSA (signatures basées sur les fonctions de hachage) — toutes conçues pour résister aux attaques classiques et quantiques. L’Alliance FIDO travaille activement à l’intégration d’algorithmes PQC dans la norme FIDO2, ce qui permettra aux clés d’accès et aux clés de sécurité matérielles de conserver leurs propriétés de résistance au phishing à mesure que l’informatique quantique progresse.

La prise en charge de la norme RSA ID Plus pour les déploiements hybrides et sur site offre aux établissements financiers une flexibilité architecturale à mesure que les normes PQC sont intégrées à leur infrastructure d’identité. Plutôt que de devoir procéder à une migration unique à grande échelle, les banques peuvent dès aujourd’hui renforcer leurs méthodes d’authentification et intégrer progressivement des algorithmes résistants à l’informatique quantique à mesure que les spécifications PQC de l’Alliance FIDO gagnent en maturité. En savoir plus L'ensemble des fonctionnalités d'authentification sans mot de passe de RSA.

8 questions pour évaluer votre stratégie bancaire sans mot de passe

Ces questions s'inspirent de l'expérience de RSA en matière de déploiement en entreprise et des directives réglementaires actuellement en vigueur pour les établissements financiers. Utilisez-les pour identifier les lacunes avant qu'elles ne fassent l'objet de constatations d'audit.

  1. Avez-vous recensé toutes les dépendances liées aux mots de passe dans vos processus d'inscription, de récupération et de mise en œuvre des politiques, et pas seulement dans le parcours de connexion principal ?

Les processus d'inscription et de récupération de compte sont les dépendances liées aux mots de passe les plus souvent négligées. Il est essentiel de les supprimer avant de déployer des clés d'accès pour mettre en place une architecture véritablement sans mot de passe.

  1. Vos méthodes d'authentification actuelles répondent-elles aux exigences de la directive PSD3/PSR1 en matière d'authentification renforcée (SCA), notamment en termes de résistance au phishing, y compris la liaison dynamique pour l'autorisation de paiement ?

La norme FIDO2 permet de satisfaire aux exigences de la SCA, mais ce sont les détails de mise en œuvre qui déterminent la conformité. Vérifiez que votre configuration couvre à la fois l'authentification de l'identité lors de la connexion et la signature de la transaction lors de la validation du paiement.

  1. Votre architecture d'authentification est-elle capable de prendre en charge plusieurs types d'authentificateurs pour différentes catégories d'utilisateurs : clients particuliers, entreprises, personnel en agence et administrateurs privilégiés ?

Un seul type d'authentificateur répond rarement aux besoins de tous les groupes d'utilisateurs. Une architecture à authentificateurs multiples est une exigence de conception, et non une mise à niveau future.

  1. Vos procédures de récupération de compte sont-elles aussi sûres que votre méthode d'authentification principale ?

Les processus de récupération constituent souvent le maillon faible d'architectures par ailleurs résistantes au phishing. L'ingénierie sociale au niveau du service d'assistance est un vecteur d'attaque bien documenté.

  1. Vos contrats avec des prestataires tiers dans le domaine des TIC relatifs aux services d'authentification sont-ils conformes aux exigences de l'article 30 du règlement DORA, notamment en ce qui concerne les garanties de disponibilité, les délais de notification des incidents et les droits d'audit ?

Les services d'authentification sont considérés comme des services TIC tiers essentiels au sens de la loi DORA. Les contrats conclus avant janvier 2025 pourraient devoir être modifiés avant votre prochain contrôle de surveillance.

  1. Avez-vous évalué la vulnérabilité post-quantique de votre pile d'authentification actuelle — plus précisément, quels algorithmes cryptographiques sont utilisés et lesquels devront être remplacés ?

Il s'agit d'un exercice de planification qui devrait débuter dès maintenant, tant que les délais sont suffisamment longs pour agir de manière méthodique plutôt que réactive.

  1. Votre plateforme d'identité prend-elle en charge le déploiement hybride ou sur site afin de garantir la résilience opérationnelle et la conformité en matière de localisation des données ?

Une authentification exclusivement dans le cloud, sans basculement hybride, pourrait ne pas répondre aux exigences de continuité opérationnelle de la loi DORA. Le déploiement hybride est de plus en plus une exigence réglementaire.

  1. Votre plateforme est-elle capable de générer automatiquement les registres de contrôle d'accès, les journaux d'incidents et les rapports de conformité requis dans le cadre des audits DORA, PSD3/PSR1 et des audits réglementaires nationaux ?

La production manuelle de rapports de conformité à grande échelle n'est pas viable. L'automatisation devrait constituer un critère de sélection explicite lors de l'évaluation des plateformes d'authentification.

RSA ID Plus est conçu pour répondre « oui » à ces huit questions. Découvrez les solutions d'authentification sans mot de passe de RSA ou demander un rendez-vous de consultation au sein de l'équipe chargée de la sécurité des identités chez RSA.

Vers des services bancaires sans mot de passe

La banque sans mot de passe ne se résume pas à un simple choix de produit : il s’agit d’une évolution architecturale qui touche aux méthodes d’authentification, aux processus de récupération de compte, à la documentation réglementaire, aux contrats avec des tiers et à la planification cryptographique à long terme. Les clés d’accès FIDO2 en constituent le fondement : résistance au phishing, cryptographie robuste liée au domaine et conformité réglementaire directe avec les normes PSD3/PSR1 et DORA. Un déploiement réussi nécessite une planification coordonnée sur l’ensemble de ces dimensions.

RSA a déployé le système d'authentification sans mot de passe FIDO2 auprès de l'ensemble de ses collaborateurs à l'échelle mondiale, en consignant au fur et à mesure chaque difficulté d'intégration, chaque dépendance vis-à-vis des systèmes existants et chaque obstacle lié à la gestion du changement. Découvrez les fonctionnalités sans mot de passe de RSA, lire le Étude de cas sur le déploiement de RSA en entreprise, ou demander un rendez-vous de consultation pour évaluer le niveau de préparation de votre établissement.

Foire aux questions sur les services bancaires sans mot de passe
Qu'est-ce que l'authentification sans mot de passe dans le secteur bancaire ?

L'authentification sans mot de passe dans le secteur bancaire remplace les mots de passe et les secrets partagés par des identifiants cryptographiques qui authentifient les utilisateurs sans transmettre de données sensibles. Les clés d'accès FIDO2 utilisent la cryptographie à clé publique-privée : la clé privée ne quitte jamais l'appareil de l'utilisateur ; la banque vérifie une signature cryptographique. Les identifiants sont liés à un domaine, ce qui élimine le phishing et la réutilisation d’identifiants en tant que vecteurs d’attaque.

Comment fonctionnent les codes d'accès FIDO2 dans le secteur bancaire ?

Lorsqu'un utilisateur enregistre une clé d'accès, l'appareil génère une paire de clés publique-privée. La clé privée est stockée en toute sécurité sur l'appareil et n'est jamais exportée. Lors de l’authentification, la banque envoie une requête ; l’appareil la signe à l’aide de la clé privée ; la banque vérifie la signature à l’aide de la clé publique stockée. Chaque identifiant est lié de manière cryptographique au domaine de la banque, ce qui empêche son utilisation sur des sites de hameçonnage.

Le système FIDO2 est-il conforme à la directive PSD3 et au règlement PSR1 ?

Lorsqu’il est correctement mis en œuvre, le modèle FIDO2 permet de satisfaire aux exigences de la directive PSD3/PSR1 en matière d’authentification forte du client. Les clés d’accès liées à un appareil ou les clés de sécurité matérielles répondent au critère de « possession » ; une authentification biométrique ou un code PIN répond au critère d’« inhérence » ou de « connaissance ». Une liaison dynamique pour l’autorisation de paiement peut être intégrée aux flux FIDO2. Les banques doivent s’assurer que leur mise en œuvre spécifique couvre à la fois l’authentification de l’identité et la signature de la transaction.

Quelle est la différence entre les clés d'accès synchronisées et les clés d'accès liées à un appareil dans le domaine bancaire ?

Les clés d'accès synchronisées sont répliquées sur tous les appareils via des écosystèmes de plateformes tels que iCloud Keychain ou Google Password Manager, ce qui améliore la facilité d'utilisation et facilite la récupération en libre-service. Les clés d'accès liées à un appareil sont associées à un seul authentificateur et ne sont jamais exportées, offrant ainsi une sécurité accrue pour les accès privilégiés, les services bancaires d'entreprise ou les transactions de grande valeur.

Qu'est-ce que l'authentification post-quantique et en quoi est-elle importante pour les banques ?

L’authentification post-quantique utilise des algorithmes cryptographiques résistants aux attaques par ordinateur quantique. Le protocole FIDO2 actuel repose sur la cryptographie à courbe elliptique, qu’un ordinateur quantique suffisamment puissant pourrait pirater. La menace dite ” collecter maintenant, décrypter plus tard » signifie que des attaquants pourraient déjà archiver le trafic d’authentification chiffré en vue d’un décryptage futur. Le NIST a finalisé trois normes de cryptographie post-quantique en août 2024. Les banques devraient dès à présent intégrer la planification de la migration vers la cryptographie post-quantique dans leurs feuilles de route en matière d’authentification.

En quoi la directive DORA influe-t-elle sur les exigences en matière d'authentification bancaire ?

La directive DORA impose aux établissements financiers de l'UE d'assurer la continuité opérationnelle de leurs systèmes TIC — y compris les services d'authentification — en cas de cyberincidents. Les plateformes d'authentification doivent satisfaire aux exigences de l'article 30 de la directive DORA applicables aux prestataires tiers de services TIC, qui portent notamment sur les garanties de disponibilité, les délais de notification des incidents et les droits d'audit. La directive DORA exige également la mise en place de journaux d'audit exhaustifs et de plans de continuité des activités testés, couvrant la disponibilité des systèmes d'authentification.

Quels sont les changements apportés par les directives PSD3 et PSR1 en matière d'authentification forte des clients ?

Les directives PSD3 et PSR1 renforcent les exigences de la directive PSD2 en matière de sécurité des paiements en ligne (SCA) en fixant des attentes explicites concernant l'authentification résistante au phishing, en augmentant la responsabilité des banques dans les cas de fraude où des méthodes résistantes au phishing étaient disponibles mais n'avaient pas été mises en œuvre, et en rendant obligatoires des méthodes d'authentification alternatives. Les délais de mise en œuvre s'étendent jusqu'en 2027 et 2028.

Les solutions d'authentification basées sur le cloud peuvent-elles répondre aux exigences de continuité opérationnelle de la DORA ?

L’authentification dans le cloud peut répondre aux exigences du règlement DORA si la plateforme et les contrats sont conformes à l’article 30. Les institutions qui s’appuient exclusivement sur l’authentification dans le cloud sans basculement hybride pourraient avoir des difficultés à démontrer la continuité opérationnelle exigée par le règlement DORA. RSA ID Plus prend en charge l’authentification dans le cloud, hybride et sur site à partir d’une seule et même plateforme, avec un basculement hybride garantissant la disponibilité des services d’authentification en cas d’interruption de la connectivité au cloud.

Demander une démonstration

Obtenir une démonstration