Mise à jour MFA de la Banque centrale de Malaisie (BNM RMiT)

1. Introduction#

La Banque centrale de Malaisie (Bank Negara Malaysia ou BNM) a publié une politique mise à jour de gestion des risques technologiques (RMiT) en novembre 2025, remplaçant la version de juin 2023. Bien que la mise à jour couvre un large éventail de domaines liés aux risques technologiques, les changements les plus importants concernent l'authentification, la liaison d'appareil, l'authentification multifacteur (MFA) et la prévention de la fraude. Cette réglementation des services bancaires de Malaisie pour les institutions financières n'est plus une simple recommandation ou bonne pratique, mais est désormais devenue une norme obligatoire.

La BNM éloigne progressivement les institutions des OTP par SMS depuis 2023. La raison était simple : les fraudeurs ont développé des outils pour intercepter les codes d'authentification par SMS avant que les clients ne puissent les voir, et les attaques par échange de carte SIM permettaient aux criminels de rediriger les codes vers des appareils qu'ils contrôlaient. En 2024, les banques malaisiennes ont collectivement bloqué plus de 383 millions de ringgits (plus de 100 millions de dollars US) de transactions frauduleuses (selon leur rapport annuel). La mise à jour de novembre 2025 s'appuie sur ces avancées et les codifie en une réglementation contraignante.

Cet article détaille les principaux changements en matière d'authentification et de MFA dans la mise à jour du RMiT, explique le contexte réglementaire et montre comment les clés d'accès et l'authentification résistante au phishing s'inscrivent dans le cadre de la conformité. Nous répondons aux questions suivantes :

1. Qu'est-ce que la politique RMiT et à qui s'applique-t-elle ?

2. À quoi ressemblait le paysage de l'authentification avant novembre 2025 ?

3. Quels sont les changements les plus importants apportés aux exigences en matière d'authentification et de MFA ?

4. Comment les clés d'accès aident-elles les institutions financières à se conformer au RMiT mis à jour ?

2. Qu'est-ce que la politique de gestion des risques technologiques (RMiT) de la Bank Negara Malaysia (BNM) ?#

La politique RMiT est le cadre réglementaire central de la BNM qui régit la manière dont les institutions financières réglementées gèrent les risques technologiques. La conformité à la BNM RMiT établit des exigences en matière de gouvernance informatique, de cybersécurité, de services numériques, d'utilisation du cloud et de contrôles d'authentification, dans le but de maintenir la disponibilité, la résilience et la fiabilité des services financiers face à l'évolution des canaux numériques et des niveaux de menace.

La politique considère également l'utilisation du cloud comme une forme d'externalisation, exigeant des institutions qu'elles conservent la propriété et le contrôle appropriés sur les données des clients et les clés cryptographiques. Dans la pratique, le RMiT constitue la base de conformité autour de laquelle chaque institution financière réglementée en Malaisie doit structurer sa posture de risque technologique.

3. Qui doit se conformer à la politique RMiT ?#

Les exigences du RMiT s'appliquent à toutes les institutions financières réglementées par la BNM. Le champ d'application est large et couvre non seulement les banques traditionnelles, mais aussi les assureurs, les émetteurs de monnaie électronique, les opérateurs de systèmes de paiement et les institutions de transfert de fonds. Le tableau suivant résume les principales catégories :

Concrètement : si votre organisation détient une licence, un enregistrement ou une approbation de la BNM pour opérer dans le secteur financier en Malaisie, le RMiT s'applique à vous.

4. À quoi ressemblaient les exigences d'authentification de la BNM avant novembre 2025 ?#

Avant la mise à jour de novembre 2025, le RMiT contenait déjà des exigences d'authentification significatives, mais beaucoup se situaient au niveau de simples recommandations plutôt que de normes obligatoires. Comprendre cette base de référence permet de clarifier l'ampleur des changements.

4.1 Contrôles MFA#

• La MFA était requise pour les transactions à haut risque, en particulier les transferts de fonds ouverts à des tiers et les transactions de paiement.

• Une attention particulière était accordée aux transactions supérieures à 10 000 RM, bien que la version de 2023 ait commencé à promouvoir la MFA pour l'ensemble des transactions numériques.

• La version de 2023 encourageait explicitement le passage à une authentification « résistante à l'interception ou à la manipulation », marquant le début de la fin pour les OTP par SMS.

• La MFA est passée du statut de « recommandation » (bonne pratique) à celui de « norme » (obligatoire) en 2023.

4.2 Contrôles d'authentification et gestion des accès#

• Les institutions devaient appliquer le principe du moindre privilège et revoir les matrices d'accès au moins une fois par an.

• Les comptes à privilèges nécessitaient des contrôles plus stricts, y compris une MFA obligatoire, que l'accès soit interne ou externe.

• L'accès à distance aux réseaux internes (par ex. via VPN) nécessitait la MFA comme norme non négociable.

4.3 Contrôles des services numériques#

L'annexe 11 du RMiT de 2023 était la référence clé pour la sécurité des services bancaires numériques. Elle exigeait la signature des transactions (liant la MFA aux détails de la transaction tels que le destinataire et le montant), la liaison d'appareil (liant l'identité numérique d'un utilisateur à un appareil de confiance) et des contre-mesures générales contre la fraude.

5. Quels sont les changements les plus importants apportés à la politique BNM RMiT ?#

La mise à jour de novembre 2025 consolide et renforce plusieurs circulaires et spécifications antérieures, y compris les spécifications relatives aux contre-mesures contre la fraude de 2022 et 2024. Le résultat est une politique unique et complète avec des exigences plus strictes et obligatoires quant à la manière dont les institutions authentifient les utilisateurs et protègent les services numériques. Cinq domaines sont particulièrement importants.

5.1 Un seul appareil par utilisateur, par défaut#

"garantir des processus sécurisés de liaison et de dissociation afin de restreindre l'authentification des transactions des services numériques par défaut à un seul appareil mobile ou appareil sécurisé par titulaire de compte"

— RMiT Annexe 3, paragraphe 3(a)

Il s'agit d'une réponse directe à la fraude par échange de carte SIM et aux attaques de prise de contrôle de compte, où les fraudeurs enregistrent un nouvel appareil sur un compte existant et le vident pendant que l'appareil légitime reste actif. La notion de « par défaut » est importante : les clients peuvent choisir d'utiliser plusieurs appareils, mais ils doivent en faire la demande explicite et accepter les risques associés. L'institution ne peut pas faire du multi-appareils la configuration par défaut.

Concrètement, cela signifie que les flux d'intégration et d'authentification doivent suivre l'enregistrement des appareils, appliquer une seule liaison par défaut et maintenir un processus clair et auditable pour les exceptions demandées par les clients.

5.2 Vérification robuste pour les changements de numéro de téléphone#

"l'enregistrement d'un nouveau numéro de téléphone mobile ou le remplacement d'un numéro de téléphone mobile existant n'est traité qu'après l'application de méthodes de vérification robustes pour confirmer l'authenticité du client"

— RMiT Annexe 3, paragraphe 3(c)

De nombreuses institutions traitent encore les changements de numéro de téléphone en se contentant d'envoyer un OTP au numéro actuel. Cette approche échoue si le numéro a déjà été compromis ou si la carte SIM a été échangée. Dans le cadre de la BNM, une « vérification robuste » désigne des méthodes allant au-delà du canal modifié : revérification de l'identité, authentification renforcée à l'aide de la biométrie ou confirmation en agence pour les modifications à haut risque.

5.3 Périodes de réflexion et limites de transaction pour les nouveaux appareils#

"appliquer une vérification et une période de réflexion appropriées pour la première inscription aux services numériques ou à un appareil sécurisé et pour de multiples transactions successives de volume élevé ou d'autres modèles de transactions anormaux"

— RMiT Annexe 3, paragraphe 3(e)

Un appareil nouvellement enregistré ne devrait pas immédiatement disposer de capacités de transaction complètes. Les institutions doivent mettre en œuvre des restrictions temporelles et des contrôles de vélocité qui se débloquent progressivement à mesure que l'appareil et le comportement de l'utilisateur établissent un historique de confiance. Si un pirate accède à un compte, il essaie généralement d'augmenter la limite de transfert quotidien et de déplacer l'argent immédiatement. Une période de réflexion offre au propriétaire légitime et à l'équipe de lutte contre la fraude de la banque une fenêtre pour détecter et stopper la session.

Combiné aux normes de détection des fraudes, qui exigent un profilage comportemental en temps réel et une notation des risques, cela crée une attente claire : la couche d'authentification doit être consciente du contexte, et pas seulement des identifiants.

5.4 Une MFA plus sécurisée que les SMS non chiffrés#

C'est l'exigence d'authentification la plus importante de la mise à jour. Elle s'appuie sur des années de recommandations de la BNM et les transforme en une norme contraignante :

"déploiement d'une technologie et de canaux MFA plus sécurisés que les SMS non chiffrés … la solution MFA résiste à l'interception ou à la manipulation par un tiers tout au long du processus d'authentification"

— RMiT Annexe 3, paragraphes 5 et 6

La politique va plus loin en introduisant la liaison de transaction (transaction binding) :

"le code d'authentification doit être initié et généré localement par le payeur/expéditeur à l'aide de la MFA … le code d'authentification généré par le payeur/expéditeur doit être spécifique au bénéficiaire et au montant identifiés et confirmés"

— RMiT Annexe 3, paragraphes 6(c) et 6(d)

La liaison de transaction signifie que le code d'authentification doit être lié aux détails spécifiques de la transaction (destinataire et montant), et pas seulement à une session ou à une connexion. Cela traite directement des attaques par « redirection OTP », où les fraudeurs manipulent la transaction après que l'utilisateur s'est déjà authentifié. Un OTP généré pour un paiement de 500 RM vers le compte A ne peut pas être réutilisé pour un paiement de 50 000 RM vers le compte B.

Pour les institutions s'appuyant encore sur l'OTP par SMS comme principal second facteur, c'est le signal le plus clair à ce jour : la voie de la migration n'est pas facultative. Le tableau ci-dessous résume quelles méthodes MFA s'alignent sur les nouvelles exigences :

5.5 Clés d'accès et authentification cryptographique pour BNM RMiT#

La BNM exige également explicitement que les institutions offrent des alternatives sans mot de passe :

"offrir à ses clients une authentification robuste basée sur une clé cryptographique, telle qu'un certificat numérique ou une authentification sans mot de passe, comme alternative à la méthode d'authentification par mot de passe existante"

— RMiT Annexe 3, paragraphe 9

C'est une directive claire pour s'orienter vers les clés d'accès, l'authentification matérielle ou les méthodes basées sur des certificats. Contrairement à la mise à niveau de la MFA, qui se concentre sur le remplacement de l'OTP par SMS, cette exigence cible le mot de passe lui-même. Les deux exigences fonctionnent de concert : les institutions doivent dépasser les SMS pour le deuxième facteur et offrir une alternative au mot de passe pour le premier facteur.

Les clés d'accès sont la solution la plus naturelle ici. Un seul identifiant de type clé d'accès satisfait simultanément aux deux exigences. Il s'agit d'une méthode d'authentification basée sur une clé cryptographique (paragraphe 9), elle est plus sécurisée que les SMS non chiffrés (paragraphes 5–6), et parce que les clés d'accès lient l'authentification à l'origine spécifique (site web ou application), elles soutiennent également l'intention derrière la liaison de transaction.

6. Résumé : Avant et après la mise à jour de novembre 2025#

7. Contexte régional : La Malaisie n'est pas une exception#

Le RMiT mis à jour de la Malaisie s'inscrit dans une tendance régionale plus large. Dans toute la région Asie-Pacifique, les régulateurs financiers convergent vers le même ensemble d'exigences : identifiants liés à l'appareil, MFA résistante au phishing et abandon des mots de passe et des OTP par SMS.

• Singapour (MAS) : L'Autorité monétaire de Singapour exige depuis longtemps la liaison d'appareil et la signature de transaction pour les services bancaires numériques et a progressivement durci ses directives sur la gestion des risques technologiques (TRM) dans une direction très proche de l'approche de la BNM.

• Inde (RBI) : La Reserve Bank of India a poussé à l'adoption de facteurs d'authentification supplémentaires et d'autorisations spécifiques aux transactions, en particulier pour les transactions sans présentation de carte et les transactions UPI.

• Hong Kong (HKMA) : Les directives de l'Autorité monétaire de Hong Kong sur les services bancaires électroniques exigent une authentification forte des clients et des contrôles d'enregistrement des appareils pour les opérations à haut risque.

• Vietnam (Banque d'État du Vietnam) : La circulaire 45/2025 exige des banques qu'elles vérifient la biométrie des clients par rapport à la carte d'identité citoyenne à puce ou à la base de données nationale pour certaines transactions de grande valeur, introduisant ainsi une étape de vérification centralisée.

L'architecture requise pour la conformité au RMiT, incluant la liaison d'appareil cryptographique, les clés d'accès et l'authentification au niveau de la transaction, correspond à la direction que prend l'ensemble de la région. Les institutions qui investissent dès maintenant dans cette architecture se préparent à une convergence réglementaire, et non pas seulement à une politique nationale unique.

8. Comment Corbado aide les institutions financières à respecter le RMiT mis à jour#

La plateforme de Corbado est conçue pour les défis d'authentification que le RMiT mis à jour cherche à relever. Voici comment les exigences clés correspondent aux capacités de Corbado :

• MFA résistante au phishing et authentification sans mot de passe : L'implémentation des clés d'accès de Corbado offre une voie directe vers la conformité aux exigences de la BNM concernant une MFA plus sécurisée que les SMS non chiffrés (paragraphes 5–6) et une authentification basée sur une clé cryptographique comme alternative aux mots de passe (paragraphe 9). Une seule clé d'accès répond simultanément aux deux exigences.

• Liaison d'appareil : Corbado prend en charge les clés d'accès liées à l'appareil et les identifiants cryptographiques qui sont rattachés à un appareil spécifique. Les flux d'inscription peuvent appliquer le principe d'un seul appareil par utilisateur par défaut avec des mécanismes clairs pour les exceptions demandées par les clients, le tout avec une piste d'audit complète.

• Préparation à l'audit et à la conformité : La télémétrie, la journalisation des événements et les capacités de reporting de Corbado permettent de démontrer facilement que les contrôles d'authentification sont non seulement bien conçus, mais qu'ils fonctionnent efficacement. Corbado opère sous un SMSI certifié ISO 27001 et détient l'attestation SOC 2 Type II, alignant sa propre posture de sécurité sur les attentes placées dans les institutions financières malaisiennes.

9. Conclusion#

La mise à jour du RMiT de novembre 2025 transforme des années de recommandations de la BNM sur la sécurité de l'authentification en une réglementation contraignante. L'OTP par SMS n'est plus conforme en tant que second facteur autonome. La liaison d'appareil est obligatoire par défaut. L'authentification des transactions doit être liée à des détails de paiement spécifiques. Et les institutions doivent proposer des alternatives cryptographiques aux mots de passe.

Pour les institutions qui ont déjà commencé à délaisser les SMS pour s'orienter vers des méthodes résistantes au phishing, la mise à jour codifie ce qu'elles faisaient déjà. Pour celles qui ne l'ont pas fait, l'écart entre les pratiques actuelles et la nouvelle norme est important, et le calendrier de conformité est désormais fixé.

Les clés d'accès constituent la voie la plus directe pour répondre aux exigences mises à jour. Un seul identifiant par clé d'accès satisfait la mise à niveau de la MFA, l'alternative sans mot de passe et les exigences de liaison d'appareil en une seule implémentation. Associé à une authentification renforcée pour les opérations sensibles et à une logique de période de réflexion pour les nouvelles inscriptions, cela offre aux institutions une architecture cohérente plutôt qu'un ensemble de solutions disparates.

Nous pourrions également répondre aux questions les plus importantes concernant ce sujet :

• Qu'est-ce que la politique RMiT et à qui s'applique-t-elle ? Le RMiT est le cadre central de risque technologique de la BNM, applicable à toutes les institutions financières réglementées en Malaisie, y compris les banques, les assureurs, les émetteurs de monnaie électronique, les opérateurs de systèmes de paiement et les prestataires de services de transfert de fonds.

• À quoi ressemblait le paysage de l'authentification avant novembre 2025 ? La MFA était déjà obligatoire pour les transactions à haut risque et les accès privilégiés, mais l'OTP par SMS était encore toléré, les configurations multi-appareils étaient peu encadrées et l'alternative sans mot de passe n'était pas encore requise.

• Quels sont les changements les plus importants apportés à l'authentification et à la MFA ? Cinq changements se démarquent : un appareil par utilisateur par défaut, une vérification robuste pour les changements de numéro de téléphone, des périodes de réflexion obligatoires pour les nouveaux appareils, une MFA plus sécurisée que les SMS avec liaison de transaction, et l'obligation d'offrir des clés d'accès ou une authentification basée sur une clé cryptographique.

• Comment les clés d'accès aident-elles les institutions financières à se conformer ? Les clés d'accès satisfont la mise à niveau de la MFA, l'alternative sans mot de passe et les exigences de liaison d'appareil en une seule implémentation, tout en résistant au phishing, à l'échange de carte SIM et aux attaques par interception d'OTP.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions#

Que signifie la « liaison de transaction » dans le contexte de la conformité BNM RMiT ?#

La liaison de transaction (transaction binding) exige que chaque code d'authentification soit généré localement par le payeur et lié mathématiquement au compte du bénéficiaire spécifique et au montant du paiement autorisé. Cela empêche les attaques par redirection de code OTP, où un fraudeur manipule les détails de la transaction après que l'utilisateur s'est déjà authentifié. Un code généré pour un paiement vers un compte ne peut pas être réutilisé pour autoriser un paiement ou un montant différent.

Pourquoi la mise à jour RMiT 2025 exige-t-elle une période de réflexion après l'enregistrement d'un nouvel appareil ?#

La période de réflexion empêche les fraudeurs qui accèdent à un compte de transférer immédiatement des fonds via un appareil nouvellement enregistré. La BNM exige des institutions qu'elles appliquent des limites de transaction et des restrictions temporelles pendant une phase initiale d'établissement de la confiance pour les appareils nouvellement enregistrés. Cela donne à la fois au titulaire légitime du compte et à l'équipe anti-fraude de l'institution une fenêtre de détection avant que toutes les capacités de transaction ne soient déverrouillées.

Comment la mise à jour RMiT de la Malaisie se compare-t-elle aux réglementations sur l'authentification dans d'autres pays asiatiques ?#

Le RMiT 2025 de la Malaisie s'inscrit dans une tendance régionale en Asie-Pacifique où la MAS de Singapour, la RBI de l'Inde, la HKMA de Hong Kong et la Banque d'État du Vietnam convergent toutes vers des identifiants liés à l'appareil, une MFA résistante au phishing et l'élimination des OTP par SMS. La circulaire 45/2025 du Vietnam exige spécifiquement une vérification biométrique à l'aide de documents d'identité nationaux à puce pour les transactions de grande valeur. Les institutions qui investissent dans une architecture conforme au RMiT se positionnent donc pour une convergence réglementaire régionale, et pas seulement pour une exigence nationale unique.

Quelles vérifications la BNM RMiT exige-t-elle désormais lorsqu'un client modifie son numéro de téléphone mobile enregistré ?#

Le RMiT mis à jour exige une vérification robuste avant de traiter tout changement de numéro de téléphone, allant au-delà du simple envoi d'un OTP au numéro actuel. Les approches acceptables incluent la revérification de l'identité, l'authentification biométrique renforcée (step-up) ou la confirmation en agence, garantissant que le canal de vérification est indépendant de celui qui est remplacé. Cela permet de lutter directement contre les attaques par échange de carte SIM (SIM swap), où un fraudeur contrôlant déjà un numéro de téléphone pourrait autrement auto-autoriser le changement.