Les participants à l'écosystème se préparent à la mise en place du système bancaire ouvert au Canada. Mais ce faisant, ils devront placer la confiance des clients au centre de toute transformation interne et externe.

En outre, les participants peuvent en profiter pour développer la confiance qu'ils inspirent à leurs clients, qu'il s'agisse de protéger leur patrimoine et de leur fournir des conseils financiers, de veiller sur les données de leurs clients ou de leur fournir des conseils en matière de cyber-risques. 

Quelle est la place de la confiance et de la sécurité dans le système bancaire ouvert? 

En ce qui concerne la confiance des clients, les banques canadiennes ont déjà une bonne longueur d'avance. Toutefois, d'autres prestataires de services financiers et des entreprises de technologie financière gagnent rapidement du terrain. L'enquête de 2023  sur le système bancaire ouvert réalisée par Symcor et EY Canada montre que la volonté des clients canadiens de partager leurs données prend de l'ampleur d'une année à l'autre. Ce constat démontre un sentiment croissant chez les Canadiens qui constitue la base d'un système bancaire ouvert fondé sur la confiance, la sécurité et la transparence. 

Comment les fournisseurs de services financiers canadiens peuvent-ils continuer à maintenir leur réputation de garants de la confiance du public dans un écosystème plus ouvert? 

Les fournisseurs de services financiers canadiens doivent continuer à donner la priorité à la sécurité tout au long de la transformation de leur entreprise et en profiter pour ajouter de la valeur à leurs points de contact avec la clientèle. 

Il est clair que de nouveaux défis se présenteront au moment de jeter les bases du système bancaire ouvert, et ces nouveaux défis nécessiteront l'adoption de nouveaux principes.

À qui incombe la responsabilité d'aider à maintenir la confiance dans le système bancaire ouvert?

En plus de fournir d'autres services aux principaux participants de l'écosystème, les plateformes de données et les intermédiaires peuvent faciliter les échanges sécurisés de données dans l'écosystème régi par des normes et des principes. Ils peuvent apporter une valeur ajoutée en offrant des mesures communes en matière de cybersécurité, de protection des renseignements personnels et de gouvernance des données, en adhérant à des normes sectorielles en évolution pour améliorer l'expérience client et en rehaussant le taux d'adoption dans l'écosystème. 

Les raisons pour lesquelles supprimer les barrières pour établir la confiance fonctionne 

On s'attend à ce que l'adoption du système bancaire ouvert s'accélère à mesure que la confiance dans le système s'accroît grâce à une sécurité continue. 

Le système bancaire ouvert propulse la gestion des risques liés aux tiers vers un tout nouveau sommet à mesure que les parties tierces s'intègrent plus étroitement aux fournisseurs de services financiers; ainsi, les frontières traditionnelles entre les entités et les services qu'elles offrent s'estomperont. Les capacités actuelles d'intégration et d'évaluation périodique du risque cybernétique doivent évoluer vers un processus capable de faciliter rapidement le consentement du client, les demandes de connexion de tiers et les renseignements sur les cyber-risques afin d'accorder ou de refuser automatiquement l'accès.

La sensibilisation des clients à la lutte contre les nouvelles menaces peut également aider les participants de l'écosystème à protéger leurs systèmes de l'extérieur vers l'intérieur. Pour ce faire, il faut notamment leur indiquer comment identifier les applications suspectes et leur rappeler de toujours vérifier ce qu'ils consentent à partager. 

En outre, la sensibilisation permettra aux clients d'être plus confiants dans leur capacité à identifier les menaces. Ils seront ainsi plus à l'aise pour utiliser en confiance une plateforme bancaire ouverte.

Adopter un modèle à vérification systématique

Les modèles d'affaires bancaires traditionnels reposent sur un périmètre très précis en ce qui concerne les interactions des clients avec leurs fournisseurs de services financiers. Au fur et à mesure que les fournisseurs de services financiers deviennent plus étroitement liés entre eux par le biais des données et des partenariats ouverts, le périmètre des interactions des clients avec leurs fournisseurs actuels disparaîtra progressivement, ce qui impliquera un changement fondamental dans la manière dont les données des clients sont protégées.

Compte tenu de l'intégration renforcée et de l'environnement sans périmètre qui caractérisent le système bancaire ouvert, les participants à l'écosystème doivent s'assurer que leur modèle de sécurité existant respecte les normes de sécurité élevées que leurs clients attendent d'eux.

L'un des meilleurs moyens d'y parvenir est d'adopter un modèle à vérification systématique, qui validera et vérifiera en permanence l'accès à toutes les ressources tout au long des interactions dans le système bancaire ouvert et atténuera les dommages causés par une violation potentielle des ressources. Ces protocoles et procédures de vérification systématique doivent être mis en œuvre dans toutes les infrastructures qui acceptent des demandes externes pour assurer une couverture et une protection optimales.

Chaque transaction externe qui passe par la passerelle doit être contrôlée tout au long de son cycle de vie afin d'en garantir la légitimité. Pour ce faire, il convient de valider en permanence la source et la destination des demandes tout en mettant en œuvre les contrôles de sécurité applicables au transit des données.

L'analyse des interfaces API devrait également être extrapolée à partir de la passerelle pour fournir des informations sur le comportement des utilisateurs. Ces informations peuvent contribuer à déclencher des réponses automatisées, telles que la restriction de l'accès, ainsi qu'à alimenter en données des modèles d'apprentissage automatique et des évaluations des risques par des tiers.

Les interfaces API devraient également être conçues selon le principe du droit d'accès minimal, de sorte qu'elles n'aient pas de visibilité ou d'accès à des ressources qui sont sans rapport avec la demande spécifique de l'utilisateur. Cela peut contribuer à atténuer l'exploitation des vulnérabilités et à limiter les incidents susceptibles d'avoir un impact négatif.

Les acteurs de l'écosystème qui annoncent une philosophie de vérification systématique et qui l'expliquent en termes simples peuvent apporter une certaine tranquillité d'esprit et préserver la confiance des clients. 

Gérer le cycle de vie des interfaces API dans le système bancaire ouvert 

Les clients et les tierces parties intégrées s'attendent à un déploiement et à une maintenance rapides des interfaces API qui peuvent évoluer à mesure que la popularité du système bancaire ouvert augmente.

Pour éviter les perturbations des processus qui prennent du temps, les participants à l'écosystème devraient chercher à développer ou à adopter des modèles définis sur la façon dont les interfaces API peuvent être déployées et appliquées en toute sécurité à l'extérieur. Les modèles de sécurité adoptés par les fournisseurs de services financiers devraient être conçus de manière à ce qu'ils puissent être configurés sur mesure pour différents modèles, normes et dispositifs de protection.

Si les équipes commerciales et technologiques savent travailler dans le cadre de ces dispositifs de protection, il ne sera pas nécessaire de modifier ou d'interrompre les cas d'utilisation du système bancaire ouvert et la mise au point des interfaces API une fois qu'ils sont en cours de développement.

De nombreux modèles ou dispositifs de protection sont déjà disponibles sur le marché, tels que les interfaces FAPI standard (interfaces API pour services financiers), qui incluent des pratiques de transfert de données sécurisées telles que le protocole de chiffrement TLS 1.2 et des techniques d'authentification robustes, telles que le protocole d'authentification OAuth 2.0, qui peuvent être utilisées pour établir une suite d'interfaces API sécurisées faisant face à l'extérieur.

En adoptant les interfaces FAPI, les banques auront la possibilité de s'aligner sur les techniques de sécurité des interfaces API établies qui ont fait leurs preuves et qui sont utilisées par les fournisseurs de services financiers dans les pays où le système bancaire ouvert est déjà bien avancé.

Un atout précieux

La confiance des clients doit être considérée comme l'atout le plus précieux de l'écosystème. 

Pour que le système bancaire ouvert évolue, les participants à l'écosystème doivent veiller à ce que la cybersécurité reste au centre de leur démarche et du développement des processus.

Les plateformes de données et les intermédiaires peuvent jouer un rôle important en fournissant des moyens de garantir le respect des normes de sécurité telles que les interfaces FAPI et le protocole OAuth 2.0. En outre, ils peuvent également mettre en œuvre un modèle de vérification systématique pour améliorer en permanence les normes de sécurité existantes. 

Dans cette optique, les fournisseurs de services financiers et les entreprises de technologie financière canadiens pourront bénéficier des avantages du système bancaire ouvert, garder la confiance des clients et accroître leur portée sur le marché.

Appel à l'action : Si vous souhaitez en savoir plus sur les plateformes de données ou les intermédiaires du secteur et leur influence au sein de l'écosystème bancaire ouvert canadien, veuillez prendre contact avec Abhishek Sinha (Ernst & Young LLP) ou Saba Shariff (Symcor). 

Auteurs : 

• EY : Abhishek Sinha, partenaire, Conseils en technologie, Ernst & Young LLP
• Symcor : Saba Shariff, vice-présidente et responsable en chef, Développement des nouveaux produits et stratégie d'entreprise

Collaborateurs : 

• Jo Lim Fat, directrice principale, Conseils aux entreprises, Ernst & Young LLP
• Nathan Lautens, consultant principal, Conseils en technologie, Ernst & Young LLP
• Geetanjali, consultante principale, Conseils en technologie, Ernst & Young LLP