Dans le monde numérique d'aujourd'hui, l'authentification sécurisée des clients (SCA) est essentielle pour protéger les données et répondre aux exigences réglementaires, telles que la directive PSD2. Bien que l'ACS soit conçue pour renforcer la sécurité, des processus mal mis en œuvre peuvent créer des obstacles frustrants pour les utilisateurs, entraînant des retards, des inefficacités et une mauvaise expérience client.
Dans ce billet, nous verrons comment ne pas mettre en œuvre l'ACS, en nous appuyant sur l'exemple d'un professionnel qui a été confronté à un processus d'inscription à l'ACS profondément défectueux. Nous fournirons également des recommandations pratiques sur la façon dont les organisations peuvent équilibrer la sécurité avec une expérience utilisateur transparente, garantissant ainsi le succès de leurs programmes SCA.
L'importance de l'authentification sécurisée des clients (SCA)
Le SCA joue un rôle essentiel dans la prévention de la fraude et la protection des utilisateurs en veillant à ce que seules les personnes autorisées puissent accéder aux systèmes sensibles et effectuer des transactions. Cependant, le processus doit être aussi convivial que sécurisé. Lorsqu'une mise en œuvre de l'ACS se concentre uniquement sur une conformité rigide au détriment de l'expérience de l'utilisateur, elle peut entraîner des frustrations, des interruptions de service et, en fin de compte, des pertes pour l'entreprise.
L'objectif de l'ACS devrait toujours être d'authentifier l'utilisateur d'une manière qui soit à la fois forte et sans friction. Malheureusement, de nombreuses organisations négligent cet équilibre et créent des processus rigides qui nuisent au parcours du client.
Un exemple concret d'inscription à l'ACS qui a mal tourné
Pour illustrer comment ne pas mettre en œuvre l'ACS, examinons un cas réel dans lequel un professionnel a eu du mal à s'inscrire à l'application d'authentification de sa banque à des fins d'ACS. Cette personne a dû remplacer son téléphone, et ce qui aurait dû être un processus simple s'est transformé en plusieurs mois de frustration.
- Vérification du numéro de téléphone: La procédure d'inscription exigeait que l'utilisateur vérifie son numéro de téléphone, afin que la banque puisse envoyer un message texte contenant un code de vérification. Cependant, le système de la banque n'a pas pu envoyer le texte car il ne prenait pas en charge les numéros de téléphone non irlandais. Malgré le caractère international de l'utilisateur, la banque a exigé un numéro local, ce qui a entraîné des semaines de retard. La raison pour laquelle la banque a demandé la vérification d'un numéro non pris en charge n'est pas claire.
- Autres méthodes de vérification: La banque a alors proposé une autre solution : l'envoi d'une lettre contenant un code PIN à l'adresse professionnelle enregistrée. Le professionnel a attendu des semaines, mais n'a reçu aucune lettre. Après de nombreux appels au service clientèle, celui-ci a découvert que la banque avait envoyé des lettres à une adresse obsolète. Le système n'a pas réussi à mettre à jour correctement l'adresse de l'entreprise, ce qui a entraîné des retards supplémentaires.
- Essayer une autre solution temporaire: Frustré, le professionnel décide d'utiliser temporairement le numéro de téléphone irlandais d'un ami de confiance. Après s'être assuré auprès du service clientèle que cette méthode fonctionnerait, il a tenté une nouvelle fois de s'inscrire. Cependant, l'application s'est bloquée en cours de route, ce qui a obligé à appeler une nouvelle fois le service clientèle, qui a fini par escalader le problème sans le résoudre.
Bien qu'il ait été authentifié plusieurs fois par téléphone auprès du service clientèle, l'utilisateur est resté bloqué dans la boucle d'inscription de l'application pendant des mois. Il est important de noter que la méthode d'authentificationhabituelle de la banque , à savoir l'utilisation de notifications dans l'application une fois l'utilisateur inscrit, fonctionnait parfaitement. Le problème était purement lié à la procédure d'inscription initiale, qui présentait de nombreuses lacunes.
Ce qui n'a pas marché : Principales leçons tirées de l'exemple
1. Les processus rigides sont source de frustration
Dans ce cas, la banque a appliqué des règles rigides et uniformes sans tenir compte des besoins individuels des utilisateurs, tels que les numéros de téléphone internationaux. Ce manque de flexibilité a entraîné des retards importants et des frustrations pour le client. Les organisations doivent concevoir leurs processus d'inscription de manière à tenir compte des différents cas d'utilisation et éviter d'aliéner les clients par des exigences rigides.
2. Méthodes de vérification peu sûres et incohérentes
Le recours à des méthodes non sécurisées, telles que les lettres postales non recommandées, pour transmettre des codes d'authentification sensibles, introduit des risques inutiles. En outre, le fait que la banque se soit appuyée sur une méthode (message texte) incompatible avec certains utilisateurs n'a fait qu'ajouter à la frustration. Les organisations doivent utiliser des canaux de vérification cohérents et sécurisés qui fonctionnent pour tous les clients, quel que soit l'endroit où ils se trouvent.
3. Absence d'alignement de l'expérience utilisateur sur les objectifs de sécurité
Le processus SCA a échoué sur les deux tableaux, n'offrant ni une expérience conviviale ni une sécurité efficace. Malgré l'accès à une authentification correcte grâce à des conversations téléphoniques avec le service clientèle, l'application n'a pas réussi à offrir le même niveau de commodité. L'objectif de l'ACS est de garantir une authentification forte sans introduire d'obstacles qui perturbent le parcours de l'utilisateur.
4. Les retards prolongés ont un impact sur les activités de l'entreprise
Dans un contexte professionnel, les retards dans l'inscription au SCA peuvent avoir de graves conséquences. Dans ce cas, le professionnel n'a pas pu utiliser sa carte de visite pendant des mois, ce qui a eu un impact sur ses activités quotidiennes. Pour les entreprises, le temps, c'est de l'argent, et des processus défaillants peuvent nuire à la fois à la réputation et à la rentabilité.
Meilleures pratiques pour la mise en œuvre de l'ACS : éviter les écueils courants
Pour éviter les problèmes décrits ci-dessus, voici les meilleures pratiques pour mettre en œuvre l'ACS d'une manière qui garantisse à la fois la sécurité et la satisfaction de l'utilisateur :
1. Donner la priorité à l'expérience utilisateur sans compromettre la sécurité
Le SCA doit être conçu pour protéger les utilisateurs sans ajouter de friction. Envisagez d'utiliser la biométrie ou des solutions basées sur des applications pour l'enrôlement, qui offrent une expérience sécurisée mais transparente à l'utilisateur. L'objectif est d'authentifier l'utilisateur le plus facilement possible, en évitant les étapes inutiles qui créent de la frustration.
2. Proposer des options d'adhésion souples et sûres
Les organisations doivent proposer plusieurs options sécurisées pour s'inscrire à l'ACS. Qu'il s'agisse de biométrie, de mots de passe à usage unique basés sur le temps (TOTP) ou de notifications push, les utilisateurs doivent disposer d'options adaptées à leurs besoins et à leur situation géographique. Ne limitez pas les utilisateurs aux SMS, surtout s'il existe des restrictions géographiques.
3. Garantir des canaux de communication sécurisés
Les données sensibles, telles que les codes d'inscription, ne doivent pas être envoyées par des méthodes non sécurisées comme le courrier non recommandé. Utilisez plutôt des canaux de communication sécurisés tels que les courriels cryptés, les notifications push ou la messagerie in-app pour garantir l'intégrité du processus.
4. Tenir à jour les données sur les clients
L'un des principaux retards de l'exemple a été causé par des informations obsolètes sur l'adresse de l'entreprise. Les organisations doivent veiller à ce que les données relatives aux clients soient régulièrement mises à jour et validées. Si elles ne le font pas, elles risquent de provoquer des ruptures de communication et des retards prolongés dans les inscriptions.
5. Tirer parti de l'authentification en temps réel
Si un utilisateur peut s'authentifier par téléphone auprès du service clientèle, il ne devrait pas y avoir de raison qu'il ne puisse pas le faire dans l'application. L'authentification en temps réel permet de combler le fossé entre le service client traditionnel et les processus numériques modernes, en réduisant les frictions et en garantissant une expérience utilisateur plus fluide.
6. Collaborer avec les QSA pour une amélioration continue
En travaillant en étroite collaboration avec un évaluateur de sécurité qualifié (QSA), vous vous assurez que vos processus SCA sont sécurisés, conformes et conviviaux. Les QSA peuvent aider à identifier et à résoudre les problèmes potentiels dès le début, en veillant à ce que vos processus d'inscription répondent aux normes réglementaires tout en offrant une excellente expérience à l'utilisateur.
Recommandations pour les organisations qui passent à l'ACS
1. Effectuer des tests auprès des utilisateurs
Avant de déployer une nouvelle solution SCA, il convient de procéder à des tests approfondis auprès des utilisateurs afin d'identifier les problèmes potentiels et de s'assurer que le processus est à la fois sûr et convivial.
2. Optimiser pour les utilisateurs internationaux
Dans un environnement commercial international, veillez à ce que vos méthodes d'authentification fonctionnent pour les utilisateurs internationaux. Il peut s'agir de proposer des alternatives aux SMS, telles que des notifications d'applications ou des vérifications par courriel.
3. Assurer une intégration transparente du service à la clientèle
Votre équipe de service à la clientèle doit être habilitée à aider les utilisateurs qui rencontrent des problèmes au cours de la procédure d'inscription à l'ACS. Si un client est authentifié par téléphone, il doit pouvoir poursuivre la procédure d'inscription sans obstacles supplémentaires.
4. Priorité à la rapidité et à la sécurité
Le processus d'authentification doit être rapide et sûr. La mise en œuvre de la biométrie ou d'autres méthodes en temps réel peut réduire considérablement les délais tout en maintenant une authentification forte.
Conclusion
L'objectif de l'authentification sécurisée du client (SCA) est de vérifier l'identité de l'utilisateur d'une manière à la fois sûre et transparente. L'exemple ci-dessus montre comment des processus rigides et mal conçus peuvent conduire à la frustration des clients et à l'interruption des services. En donnant la priorité à l'expérience utilisateur, en offrant des options flexibles et sécurisées et en collaborant avec des évaluateurs de sécurité qualifiés (QSA), les organisations peuvent créer des systèmes SCA qui répondent aux exigences réglementaires tout en offrant une expérience utilisateur fluide et efficace.
Le moment est venu de revoir vos processus SCA et de vous assurer qu'ils sont conçus pour répondre à la fois aux besoins de sécurité et aux attentes des clients.
