---
url: 'https://www.corbado.com/fr/blog/passkeys-dsp2'
title: 'Passkeys et DSP2 : une MFA conforme à la DSP2 et résistante au phishing'
description: 'Les passkeys sont-ils la meilleure forme de MFA résistante au phishing et conforme aux exigences de la DSP2 et de l''Authentification Forte du Client (AFC) ? Cet article de blog répond à toutes ces questions.'
lang: 'fr'
author: 'Vincent Delitz'
date: '2025-07-15T13:18:05.957Z'
lastModified: '2026-03-25T10:46:36.544Z'
keywords: 'dsp2, conformité dsp2, afc, passkeys, authentification forte, néobanque, fintech'
category: 'Passkeys Strategy'
---
# Passkeys et DSP2 : une MFA conforme à la DSP2 et résistante au phishing
## 1. Introduction
Dans le secteur bancaire numérique, sécurité et expérience utilisateur ne sont plus
incompatibles. Les passkeys fusionnent ces deux aspects en introduisant une
[MFA](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) résistante au
[phishing](https://www.corbado.com/glossary/phishing) qui s'aligne sur les exigences de la
[DSP2](https://www.corbado.com/fr/blog/biometrie-sensibilisation-payeur-lien-dynamique) et de l'AFC. Les passkeys
représentent la forme
d'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) la plus sûre et
la plus conviviale qui puisse être mise en œuvre dans les
[services financiers](https://www.corbado.com/passkeys-for-banking). Cette avancée arrive à un moment crucial,
alors que le secteur bancaire s'efforce de mettre en œuvre la **Directive sur les Services
de Paiement révisée (DSP2)**, un cadre réglementaire conçu pour renforcer la sécurité et
la compétitivité du secteur [bancaire](https://www.corbado.com/passkeys-for-banking) européen.
Dans ce contexte, les **Passkeys** apparaissent non seulement comme une solution de
conformité, mais aussi comme une formidable innovation, promettant de **répondre aux
exigences strictes de la DSP2 sans compromettre l'UX**. Dans cet article de blog, nous
analysons les nuances de la
[DSP2](https://www.corbado.com/fr/blog/biometrie-sensibilisation-payeur-lien-dynamique) et son exigence
d'**Authentification Forte du Client (AFC)** : il devient évident que les passkeys
représentent l'avenir de la [MFA](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe)
résistante au [phishing](https://www.corbado.com/glossary/phishing) dans le secteur
[bancaire](https://www.corbado.com/passkeys-for-banking).
## 2. Qu'est-ce que la DSP2 ?
La [DSP2](https://www.corbado.com/fr/blog/biometrie-sensibilisation-payeur-lien-dynamique) est une législation
introduite par l'Union européenne pour révolutionner les services de
[paiement](https://www.corbado.com/passkeys-for-payment) et le paysage bancaire en Europe. Ses **objectifs
principaux sont d'accroître la concurrence, de renforcer la protection des consommateurs
et de favoriser l'innovation** dans le domaine des [paiements](https://www.corbado.com/passkeys-for-payment)
numériques. En imposant un **accès ouvert** aux informations financières des clients à des
**tiers agréés** (avec le consentement du client), la DSP2 ouvre la voie à un écosystème
financier plus intégré, efficace et convivial. Cependant, un grand pouvoir implique de
grandes responsabilités, et la DSP2 aborde ce point en mettant l'**accent sur la
sécurité**, notamment à travers le prisme des **protocoles d'authentification**.
> La DSP2 est une réglementation qui vise à transformer les
> [paiements](https://www.corbado.com/passkeys-for-payment) dans l'UE en stimulant la concurrence, la sécurité et
> l'innovation.
## 3. Qu'est-ce que l'AFC ?
Au cœur des mesures de sécurité de la DSP2 se trouve l'exigence
d'[Authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) Forte du Client
(AFC), un protocole conçu pour **réduire considérablement la fraude et renforcer la
sécurité des paiements électroniques**. L'AFC repose sur le principe que les
[paiements](https://www.corbado.com/passkeys-for-payment) électroniques doivent être non seulement **fluides,
mais aussi suffisamment sécurisés** pour résister à diverses menaces. Ce cadre
d'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) est
**obligatoire** pour les prestataires de services de [paiement](https://www.corbado.com/passkeys-for-payment),
les banques et les passerelles de [paiement](https://www.corbado.com/passkeys-for-payment) électronique opérant
dans le champ d'application de la DSP2.
> L'AFC est la norme d'authentification dans le secteur bancaire européen.
### 3.1 Les exigences de l'AFC
La mise en œuvre de l'AFC dans le cadre de la DSP2 est définie par plusieurs exigences
essentielles :
#### Authentification multifacteur (MFA)
L'authentification doit faire intervenir au moins deux éléments parmi les catégories
suivantes :
- **Connaissance :** Quelque chose que seul l'utilisateur connaît, comme un mot de passe
ou un code PIN.
- **Possession :** Quelque chose que seul l'utilisateur possède, comme un appareil mobile,
une [carte à puce](https://www.corbado.com/fr/glossary/carte-a-puce) ou un jeton matériel.
- **Inhérence :** Quelque chose d'inhérent à l'utilisateur, y compris des identifiants
biométriques comme les empreintes digitales, la reconnaissance faciale ou les modèles
vocaux.
#### Liaison dynamique
Pour chaque transaction, un code
d'[authentification unique](https://www.corbado.com/fr/glossary/authentification-unique-sso) doit être généré,
liant dynamiquement les détails spécifiques de la transaction, tels que le montant et le
numéro de compte du destinataire.
#### Réauthentification périodique
Les utilisateurs doivent se réauthentifier à intervalles réguliers, généralement tous les
90 jours, pour maintenir l'accès aux services bancaires en ligne. Cependant, cette
exigence a été révisée pour optimiser l'équilibre entre sécurité et commodité.
#### Authentification spécifique à la transaction
L'AFC doit être appliquée à toutes les transactions électroniques, garantissant que
l'authentification est spécifique au montant et au bénéficiaire, créant ainsi une
signature unique pour chaque transaction.
#### Analyse basée sur les risques
Les prestataires de services de paiement doivent utiliser une approche basée sur les
risques pour appliquer l'AFC, où les transactions à faible risque peuvent être exemptées
de l'AFC pour fluidifier le processus de paiement sans compromettre la sécurité
(remarquez-vous déjà le lien avec les passkeys ?).
#### Auditabilité
L'ensemble du processus d'authentification doit être traçable et auditable, avec des
enregistrements conservés pour prouver le respect des exigences de l'AFC.
En introduisant l'AFC, la DSP2 a considérablement relevé la norme de sécurité des
transactions dans le secteur bancaire. Dans ce qui suit, nous nous concentrerons sur les
différents facteurs impliqués dans l'Authentification Multifacteur (MFA). Ces facteurs ont
également un impact sur l'exigence d'authentification spécifique à la transaction (plus de
détails ci-dessous).
### 3.2 L'évolution de l'authentification bancaire
Ci-dessous, nous présentons les différentes étapes de l'évolution de l'authentification
dans le secteur bancaire.
#### 3.2.1 Codes PIN et TAN (depuis les années 1990)
L'aventure de l'authentification dans le secteur bancaire a commencé avec l'utilisation
des **Numéros d'Identification Personnels (PIN)** et des **Numéros d'Authentification de
Transaction (TAN)**. Les clients recevaient une liste de TAN, chacun devant être utilisé
une seule fois pour la vérification d'une transaction. Cette méthode, bien que
révolutionnaire à l'époque, avait ses inconvénients, notamment le risque de vol ou
d'utilisation abusive des listes de TAN.
#### 3.2.2 TAN électroniques et mobiles (depuis les années 2000)
Avec les progrès technologiques, les banques ont introduit les **TAN électroniques
(eTAN)** et les **TAN mobiles (mTAN)**, où les TAN étaient générés et envoyés sur
l'appareil mobile du client par SMS. Cette méthode a amélioré la sécurité en liant le TAN
à l'appareil, mais elle a également introduit de nouvelles vulnérabilités, comme le
**risque d'interception des SMS** et l'**inconvénient** de devoir attendre et gérer ces
messages. Jusqu'à l'introduction des passkeys, l'OTP par SMS était encore considéré comme
l'option [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security) la plus confortable disponible pour les
services bancaires du point de [vue](https://www.corbado.com/blog/vuejs-passkeys) de l'UX.
#### 3.2.3 Cartes à puce et dispositifs à jeton (depuis les années 2000)
Pour renforcer davantage la sécurité, les banques ont adopté les **cartes à puce** et les
**dispositifs à jeton** qui généraient des codes uniques pour l'authentification. Ces
solutions matérielles offraient un niveau de sécurité plus élevé, mais ajoutaient
également de la **complexité et des inconvénients** pour les clients, qui devaient
désormais transporter un appareil supplémentaire.
#### 3.2.4 Biométrie et applications bancaires mobiles (depuis les années 2010)
La dernière évolution de l'authentification bancaire inclut la
[**biométrie**](https://www.corbado.com/blog/passkeys-biometric-authentication) (empreinte digitale ou
reconnaissance faciale) et les **applications bancaires mobiles** avec des fonctionnalités
de sécurité intégrées. Ces méthodes visaient à équilibrer sécurité et commodité en tirant
parti des caractéristiques biologiques uniques de l'utilisateur et de l'omniprésence des
smartphones. Cependant, elles exigent également que les clients téléchargent et
configurent une application distincte pour chaque banque qu'ils utilisent.
| Méthode d'authentification | Type | Description |
| ----------------------------------------- | --------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Mots de passe/PIN | Quelque chose que l'utilisateur connaît | Connaissance secrète traditionnelle, facile à mettre en œuvre et largement comprise. |
| OTP par SMS (mot de passe à usage unique) | Quelque chose que l'utilisateur possède | Un code d'accès temporaire envoyé au téléphone de l'utilisateur, représentant un facteur de possession. |
| Jetons matériels | Quelque chose que l'utilisateur possède | Appareils physiques qui génèrent un code d'accès à usage unique pour l'utilisateur. Nécessite une application native iOS / Android de la banque. |
| OTP d'application mobile | Quelque chose que l'utilisateur possède | Un code d'accès généré dans une application bancaire ou d'authentification, souvent sécurisé par la liaison à l'appareil. Nécessite une application native iOS / Android de la banque. |
| Biométrie | Quelque chose que l'utilisateur est | Utilisation de l'empreinte digitale, de la reconnaissance faciale ou du scan de l'iris, généralement comme un "raccourci" dans l'application de la banque pour un déverrouillage biométrique local (par ex. Face ID). Nécessite une application native iOS / Android de la banque. |
| Notifications push | Quelque chose que l'utilisateur possède | Approbation de transactions ou de tentatives de connexion via une notification d'application mobile. Nécessite une application native iOS / Android de la banque. |
### 3.3 Défis actuels de l'authentification et difficultés pour les clients
Malgré ces progrès, les clients sont toujours confrontés à des inconvénients et à des
frustrations importants avec les méthodes d'authentification bancaire actuelles et
risquent d'être ciblés par des fraudeurs :
- **Complexité et inconvénients :** La superposition de plusieurs étapes
d'authentification, bien que bénéfique pour la sécurité, se traduit souvent par un
processus fastidieux pour les utilisateurs. Cette complexité n'est pas un simple
désagrément ; elle peut dissuader les clients d'utiliser les services bancaires
numériques, sapant ainsi l'objectif même de la transformation numérique.
- **Dépendance aux appareils et aux plateformes :** Le passage à l'authentification mobile
et biométrique lie étroitement les utilisateurs à leurs appareils. Cette dépendance crée
un maillon faible en cas de vol. De plus, les pannes techniques peuvent rendre les
services bancaires inaccessibles, laissant les clients démunis.
- **Vulnérabilités au phishing :** Malgré les progrès, la possibilité de hameçonner les
facteurs d'authentification reste une vulnérabilité qui n'est pas traitée par l'AFC. Les
facteurs traditionnels comme le code PIN, le mot de passe, les OTP par SMS ou par e-mail
peuvent être compromis par des stratagèmes de [phishing](https://www.corbado.com/glossary/phishing)
sophistiqués, mettant en danger les données et les finances des clients.
À ce jour, les banques, en particulier les banques traditionnelles, continuent d'avertir
leurs clients du risque important de phishing.
> Le vecteur d'attaque le plus probable n'est pas le vol d'identifiants ou d'appareils,
> mais plutôt le fait que les clients donnent volontairement l'un ou les deux facteurs
> d'authentification aux fraudeurs.
Dans la section suivante, nous expliquerons comment cela fonctionne à l'aide d'un exemple
réel.
## 4. Le phishing : le plus grand problème de sécurité du secteur bancaire
Les attaques de phishing constituent depuis longtemps une menace importante pour la
sécurité du secteur bancaire, exploitant la psychologie humaine (ingénierie sociale) et
les vulnérabilités technologiques pour obtenir un accès non autorisé à des informations
financières sensibles. À mesure que les banques ont fait évoluer leur authentification,
les fraudeurs se sont adaptés, concevant des stratagèmes sophistiqués pour contourner les
mesures de sécurité. Comprendre le fonctionnement du phishing, en particulier dans le
contexte de ces méthodes d'authentification couramment utilisées, est crucial pour
reconnaître l'**urgence de solutions d'authentification non hameçonnables comme les
passkeys**.
### 4.1 La théorie derrière les attaques de phishing
À la base, le phishing consiste à inciter des personnes à divulguer des informations
sensibles, telles que des identifiants de connexion ou des informations financières, sous
le couvert d'une communication légitime de leur banque. Cela se déroule généralement en
plusieurs étapes :
1. **L'initiation :** Les fraudeurs envoient des messages (souvent par e-mail ou SMS) qui
imitent les communications officielles de la banque, avec des logos et un langage qui
semblent dignes de confiance. Ces messages créent généralement un sentiment d'urgence,
affirmant qu'une action immédiate est requise pour résoudre un problème ou empêcher la
fermeture d'un compte.
2. **La tromperie :** Le message contient un lien vers un site web frauduleux qui
ressemble beaucoup au portail bancaire en ligne officiel de la banque. Ignorant la
supercherie, la victime est amenée à croire qu'elle accède au site web légitime de sa
banque.
3. **La capture :** Une fois sur le site de phishing, la victime est invitée à saisir ses
informations d'authentification, comme son code PIN, ou à confirmer une transaction
avec un OTP envoyé par SMS. Croyant interagir avec sa banque, la victime s'exécute,
livrant sans le savoir ses identifiants aux attaquants.
4. **L'exploitation :** Armés de ces informations, les fraudeurs peuvent alors accéder au
compte bancaire de la victime, effectuer des transactions non autorisées ou commettre
une usurpation d'identité.
### 4.2 Exemple concret : l'attaque de phishing contre la Deutsche Bank
Imaginons un scénario où un client de la Deutsche Bank reçoit un SMS l'alertant que son
compte va être désactivé. Le message contient un lien vers un site web pour vérifier
l'identité du client, avec "deutschebank" dans l'URL et un certificat SSL correspondant.
Ce site, une réplique exacte de la page de connexion de la Deutsche Bank (comme vous
pouvez le voir dans les captures d'écran ci-dessous), demande au client son code PIN de
banque en ligne, puis un OTP par SMS en temps réel (non visible sur les captures d'écran
pour des raisons de sécurité). Sans le savoir, en saisissant ces informations sur le site
de phishing, le client permet aux attaquants d'obtenir un accès complet à son compte
Deutsche Bank et de transférer potentiellement d'énormes sommes d'argent vers d'autres
comptes.
Voici le SMS de phishing avec l'invitation à retrouver l'accès au compte bancaire
(captures d'écran en allemand uniquement) :
Voici le site de phishing des attaquants
([https://deutschebank-hilfe.info](https://deutschebank-hilfe.info)) :
Voici le site web original pour référence
([https://meine.deutsche-bank.de](https://meine.deutsche-bank.de)) que les attaquants ont
copié presque parfaitement (ils ont seulement omis l'avertissement de phishing en bas) :
Les clients habitués à se connecter via cette interface identique et à utiliser l'OTP par
SMS comme facteur d'authentification peuvent facilement être victimes de telles attaques.
Il existe un écosystème important de suites open-source conçues pour se concentrer sur les
attaques de phishing ciblant les systèmes OAuth ou bancaires (par exemple,
[https://github.com/gophish/gophish](https://github.com/gophish/gophish)) à des fins de
recherche en sécurité. Cependant, ces systèmes peuvent facilement être adaptés à des fins
malveillantes.
**Le phishing dans le secteur bancaire devient de plus en plus précis** à chaque fuite de
données sur le dark web. En général, les informations de paiement telles que les IBAN font
également partie de ces fuites. Bien que ces informations ne puissent pas être utilisées
pour voler directement de l'argent, elles peuvent être utilisées dans des approches de
spear-phishing où l'attaquant sait que la cible est réellement un client de la banque.
### 4.3 L'importance des facteurs d'authentification non hameçonnables
La faille critique dans le scénario ci-dessus réside dans la possibilité de hameçonner les
facteurs d'authentification : **le code PIN et l'OTP par SMS peuvent tous deux être
facilement sollicités** auprès du client sous de faux prétextes. Cette vulnérabilité
souligne la nécessité de méthodes d'authentification qui ne peuvent pas être compromises
par l'ingénierie sociale ou les attaques de phishing.
**Les facteurs d'authentification non hameçonnables, comme ceux activés by les passkeys**,
offrent une défense robuste contre de tels stratagèmes. Étant donné que les passkeys ne
reposent pas sur des secrets partagés qui peuvent être divulgués, extorqués à un
utilisateur ou interceptés, ils changent fondamentalement le paysage de la sécurité. Avec
les passkeys, le processus d'authentification implique une preuve cryptographique
d'identité qui ne peut pas être reproduite par les fraudeurs, éliminant ainsi le vecteur
d'attaque le plus courant dans le phishing.
> L'utilisation des passkeys est limitée au domaine exact sur lequel ils ont été
> enregistrés (ID de la [partie de confiance](https://www.corbado.com/fr/glossary/relying-party)). Il est
> techniquement impossible de les utiliser sur un domaine de phishing ou d'envoyer des
> passkeys à un attaquant.
### 4.4 Comment lutter contre le phishing ?
Pour contrer efficacement les menaces de phishing, le secteur bancaire doit adopter une
approche à multiples facettes qui inclut :
1. **Éduquer les clients :** Les banques doivent informer en permanence leurs clients sur
les risques du phishing et sur la manière de reconnaître les communications
frauduleuses.
2. **Mettre en œuvre une authentification non hameçonnable :** Passer à des méthodes
d'authentification qui ne reposent pas sur des informations pouvant être sollicitées ou
interceptées, fermant ainsi la porte à de nombreuses tentatives de phishing.
3. **Améliorer les systèmes de détection de la fraude :** Utiliser des analyses avancées
et l'apprentissage automatique pour détecter et prévenir les transactions non
autorisées, même si les hameçonneurs obtiennent une forme de données
d'authentification.
Bien que le phishing reste une menace importante pour le secteur bancaire, l'adoption de
méthodes d'authentification non hameçonnables comme les passkeys représente une avancée
essentielle pour sécuriser les services bancaires en ligne contre les fraudeurs. **En
supprimant le maillon le plus faible, à savoir la possibilité de hameçonner les facteurs
d'authentification, les banques peuvent améliorer considérablement la sécurité des actifs
et des informations personnelles de leurs clients.**
À ce jour, la Banque centrale européenne et les autorités de surveillance bancaire locales
(par exemple, la BaFin) n'ont pas pris position sur la question de savoir si
[les passkeys, dans leur ensemble, seraient classés comme 2FA](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication)
ou sur la manière dont les banques devraient les utiliser.
Dans la section suivante, nous visons à expliquer pourquoi nous pensons que les passkeys
sont conformes à la DSP2.
## 5. Les passkeys sont-ils conformes à la DSP2 ?
Lors de discussions avec des parties prenantes des secteurs du paiement, de la fintech et
de la banque, une question revient sans cesse : **Les passkeys sont-ils conformes à la
DSP2 et peuvent-ils servir de seule forme d'authentification dans les scénarios bancaires
?** La relation entre les passkeys et la Directive sur les Services de Paiement révisée
(DSP2) dans l'Union européenne est nuancée et exige une exploration détaillée. Pour
clarifier, les passkeys sont généralement classés en deux types : les **Passkeys
synchronisés (multi-appareils)** et les **Passkeys non synchronisés (mono-appareil)**,
chacun ayant des caractéristiques distinctes en matière de conformité à la DSP2 :
| | Passkeys synchronisés | Passkeys non synchronisés |
| ------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------- |
| **Disponibilité sur les appareils** | Multi-appareils | Mono-appareil |
| **Géré par** | Système d'exploitation | Logiciel supplémentaire nécessaire |
| **Clé privée** | Téléversée sur le compte cloud du système d'exploitation
(par ex. Trousseau iCloud, Gestionnaire de mots de passe Google) ou un gestionnaire de mots de passe tiers
(par ex. 1Password, Dashlane) | Reste sur l'appareil de l'utilisateur |
| **Liaison à l'appareil** | Non | Oui |
| **Sauvegardé** | Oui | Non |
| **Opinion traditionnelle sur la conformité DSP2** | Non (?) | Oui |
Le respect de la conformité est très important pour les entités réglementées telles que
les banques et les [compagnies d'assurance](https://www.corbado.com/passkeys-for-insurance). Cependant, les
politiques de conformité peuvent mettre beaucoup de temps à évoluer. Dans le cas des
passkeys, **le principal avantage en matière de sécurité est qu'ils ne sont pas
hameçonnables,** car les clients ne peuvent pas divulguer ces informations aux attaquants
par inadvertance.
## 6. Pourquoi les passkeys synchronisés ne représentent pas un risque
Bien que les passkeys améliorent considérablement la sécurité en n'étant pas
hameçonnables, ils déplacent une partie du risque vers le compte cloud du client, comme le
Trousseau iCloud d'Apple. Cela rend le compte cloud une cible plus attrayante pour les
attaquants. Cependant, **des services comme iCloud d'Apple disposent de mesures de
sécurité robustes**, en particulier pour les fonctionnalités qui prennent en charge les
passkeys.
Premièrement, les passkeys iCloud dépendent de l'activation de
l'[authentification à deux facteurs (2FA)](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication)
sur le compte, ce qui ajoute une couche de sécurité supplémentaire. Cela signifie que même
si un attaquant connaît le mot de passe iCloud du client, il aurait toujours besoin d'un
accès à un appareil de confiance ou à un numéro de téléphone pour recevoir le code
[2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security).
Apple, et de même Google pour leurs comptes, investissent des ressources considérables
pour sécuriser ces services cloud. Les protocoles de sécurité pour les comptes qui
prennent en charge les passkeys dans le cloud sont rigoureux, rendant **presque impossible
pour des utilisateurs non autorisés de s'y introduire**. Ce haut niveau de sécurité est
maintenu grâce à des mises à jour constantes et des correctifs de sécurité (et ils ont
également introduit les passkeys pour leurs propres comptes, voir cet article de blog).
De plus, le vol d'appareils ou de comptes cloud, bien qu'étant un risque potentiel, n'est
pas le vecteur d'attaque le plus courant pour les applications bancaires. En cas de
besoins de sécurité accrus, comme pour des transactions suspectes, les banques pourraient
continuer à utiliser les OTP par SMS comme facteur supplémentaire. En **remplaçant le code
PIN / mot de passe par des passkeys**, le premier facteur d'authentification devient non
hameçonnable, ce qui réduit considérablement le risque d'attaques de phishing réussies. Un
**troisième facteur pourrait être introduit pour les transactions** signalées comme
suspectes, garantissant ainsi une posture de sécurité robuste.
> Bien que la surface d'attaque puisse se déplacer, la **posture de sécurité globale est
> renforcée**, faisant des passkeys un choix convaincant pour les entités réglementées
> telles que les banques et les [compagnies d'assurance](https://www.corbado.com/passkeys-for-insurance) qui
> cherchent à améliorer la sécurité de leurs clients sans sacrifier la convivialité.
## 7. Comment les néobanques forcent la main des régulateurs
Contrairement aux opinions traditionnelles (averses au risque) sur la conformité à la
DSP2, [Finom](https://www.corbado.com/blog/finom-passkeys) et [Revolut](https://www.corbado.com/blog/revolut-passkeys) ont décidé que
**la protection des données des clients est plus importante** et utilisent donc les
passkeys, malgré l'absence de décision publique européenne sur la manière dont la
supervision bancaire devrait traiter les passkeys au regard de la conformité à la DSP2.
Les néobanques et les fintechs comme [Finom](https://www.corbado.com/blog/finom-passkeys) et
[Revolut](https://www.corbado.com/blog/revolut-passkeys) remettent en question le statu quo et, ce faisant,
influencent le paysage réglementaire concernant les mesures d'authentification prescrites
par la DSP2.
En donnant la priorité à la sécurité et à l'intégrité des données des clients, ces
pionniers de la fintech adoptent les passkeys même en l'absence de directives
réglementaires explicites des autorités européennes. Cette position proactive place la
**responsabilité sur les régulateurs de réévaluer leurs cadres de conformité** à la
lumière des avancées technologiques qui offrent des solutions de sécurité supérieures.
La décision audacieuse de [Finom](https://www.corbado.com/blog/finom-passkeys) et
[Revolut](https://www.corbado.com/blog/revolut-passkeys) de mettre en œuvre les passkeys met en lumière un aspect
essentiel de la conformité réglementaire : il ne s'agit pas d'adhérer rigidement à des
normes, mais plutôt d'atteindre les objectifs sous-jacents de ces normes, qui, dans ce
cas, sont la **sécurité maximale des données et des transactions des clients**. En
choisissant de donner la priorité à la protection des données plutôt qu'à une adhésion
stricte aux modèles de conformité traditionnels, ces néobanques établissent de nouvelles
références pour le secteur.
> En forçant la main des régulateurs, ces néobanques plaident pour un changement de
> paradigme dans lequel la conformité doit évoluer en tandem avec les technologies
> émergentes qui protègent plus efficacement les intérêts des consommateurs.
## 8. Quels changements réglementaires sont nécessaires ?
D'un point de [vue](https://www.corbado.com/blog/vuejs-passkeys) réglementaire, il y a un besoin pressant de
clarté et d'adaptation pour intégrer des avancées comme les passkeys dans le cadre de la
conformité à la DSP2. **Nous exhortons l'UE à prendre une position définitive sur les
passkeys,** en les reconnaissant comme une forme supérieure d'authentification
multifacteur (MFA) qui s'aligne sur les objectifs fondamentaux de la DSP2 pour renforcer
la sécurité et réduire la fraude dans l'écosystème des paiements numériques.
**Les passkeys, par leur conception, offrent un facteur d'authentification robuste et
résistant au phishing qui surpasse les capacités de sécurité de la plupart des méthodes
MFA traditionnelles.** Cela non seulement améliore la sécurité, mais simplifie également
l'expérience utilisateur, répondant ainsi à deux aspects critiques de la conformité à la
DSP2.
La position de l'UE devrait évoluer pour refléter les avancées technologiques qui
redéfinissent ce qui constitue une authentification efficace et sécurisée. En adoptant des
innovations comme les passkeys et en les intégrant dans le tissu réglementaire, l'UE peut
démontrer son engagement à la fois à protéger les consommateurs et à favoriser un
environnement de finance numérique tourné vers l'avenir.
Alors que le secteur financier continue d'innover, il incombe aux régulateurs de fournir
des orientations claires et progressistes qui non seulement suivent le rythme des
changements technologiques, mais anticipent également les développements futurs. Les
néobanques mènent actuellement la charge, mais il est en fin de compte de la
responsabilité des organismes de réglementation de veiller à ce que le secteur financier
dans son ensemble puisse avancer en toute sécurité et avec confiance vers l'avenir de la
banque numérique.
## 9. Recommandations pour les banques et les fintechs
L'adoption des passkeys dans le secteur bancaire et de la fintech se distingue comme un
excellent exemple d'innovation qui améliore considérablement à la fois la sécurité et
l'expérience utilisateur. Tout au long de notre article, nous avons établi le potentiel
des passkeys en tant que solution d'authentification avant-gardiste qui s'aligne sur les
exigences de sécurité strictes de la DSP2 tout en atténuant les menaces répandues telles
que le phishing. Les néobanques / fintechs comme Finom et Revolut ont créé un _précédent
en intégrant les passkeys_ dans leurs cadres de sécurité, démontrant leur efficacité et
leur approche centrée sur le client.
Un plan d'action en trois étapes pour les banques traditionnelles pourrait se présenter
comme suit :
1. **Dialogue avec les régulateurs locaux :** Les banques traditionnelles devraient
engager un dialogue proactif avec leurs organismes de réglementation locaux et leurs
autorités de surveillance bancaire pour discuter de la mise en œuvre des passkeys. Ce
dialogue devrait viser à clarifier les positions réglementaires et à ouvrir la voie à
l'intégration des passkeys dans la structure de conformité existante. En prenant
l'initiative, les banques peuvent contribuer à façonner un environnement réglementaire
qui soutient les méthodes d'authentification innovantes.
2. **Apprendre des meilleures pratiques des néobanques :** Il est impératif pour les
banques traditionnelles d'observer et d'apprendre des néobanques qui ont mis en œuvre
les passkeys avec succès. L'étude de ces meilleures pratiques fournira des informations
précieuses sur les aspects opérationnels, techniques et de service client du
déploiement des passkeys. Ce transfert de connaissances peut aider les banques
traditionnelles à élaborer leurs propres stratégies d'adoption des passkeys.
3. **Transition stratégique vers les passkeys :** Avec une clarté réglementaire et une
compréhension des meilleures pratiques, les banques traditionnelles peuvent élaborer un
plan complet pour faire passer les clients à une authentification basée sur les
passkeys. Ce plan devrait inclure des campagnes d'éducation des clients pour expliquer
les avantages et l'utilisation des passkeys, des déploiements progressifs pour assurer
une transition en douceur, et une évaluation continue pour relever rapidement les
défis.
## 10. Conclusion
L'avenir de l'authentification bancaire réside dans les technologies qui privilégient à la
fois la sécurité et la convivialité. Les **Passkeys** représentent un pas dans cette
direction, offrant une méthode d'**authentification non hameçonnable et conviviale** qui
répond aux normes établies par la DSP2 et d'autres cadres réglementaires.
Pour les banques traditionnelles, le moment est venu d'adopter le changement et d'entamer
la transition vers les passkeys. Cette transition, cependant, ne doit pas être brutale
mais plutôt une démarche mûrement réfléchie, tenant compte des besoins uniques de leur
clientèle, de l'environnement réglementaire spécifique et de la maturité technologique de
l'institution.
L'objectif ultime est de garantir que chaque client bénéficie d'une sécurité renforcée
sans sacrifier la commodité. En adoptant les passkeys, les banques ne se contenteront pas
de protéger leurs clients avec une technologie de pointe, mais signaleront également un
engagement envers l'innovation et une approche centrée sur le client à l'ère de la finance
numérique.