Vérifier une identité à l’entrée ne protège plus un compte pendant toute sa durée de vie. Un compte ouvert en règle peut devenir risqué bien après son activation. C’est tout l’enjeu du passage du KYC (Know Your Customer) au TYC (Trust Your Customer), où l’identité, le contexte technique et le comportement sont corrélés en continu pour ajuster le niveau de confiance.

Par Christophe Chaput, Principal Product Manager chez IDnow

Il y a dix ans, la vérification d’identité numérique relevait d’une logique relativement simple. Au moment d’une inscription à un service, il suffisait d’établir clairement l’identité d’une personne pour la considérer digne de confiance. Le principe du « Know Your Customer » (KYC) reposait précisément sur cette idée : vérifier une identité une fois, puis initier et poursuivre une relation commerciale sur cette base. Pendant un temps, ce modèle a fonctionné. Mais face à l’évolution des usages et des menaces, il montre aujourd’hui ses limites.

Récemment condamné par la CNIL, France Travail a subi en 2024 une cyberattaque massive ayant exposé les données de près de 43 millions de Français. Une fuite colossale qui rappelle que même des comptes créés dans des conditions parfaitement légitimes peuvent être compromis, parfois longtemps après leur création. Une question se pose alors : un contrôle d’identité ponctuel suffit-il encore à maintenir la confiance dans la durée ?

Pour aller au plus simple, la réponse est non. Un compte peut avoir été ouvert en parfaite conformité réglementaire et être malgré tout compromis par la suite. Les attaquants ne concentrent plus leurs efforts sur le seul moment de l’inscription, mais sur l’ensemble du cycle de vie du compte. Ils savent construire des identités crédibles à partir de fragments d’informations réelles récupérées dans différentes bases de données piratées, comme un nom, une adresse réelle, ou encore une date de naissance. Ces identités synthétiques franchissent parfois les contrôles initiaux, gagnent progressivement en crédibilité et ne sont détectées qu’une fois les dommages causés. L’identité est légitime au départ, mais le risque évolue.

Le problème n’est donc pas le KYC lui-même, mais l’hypothèse selon laquelle un état vérifié à un instant donné resterait valable indéfiniment.

Le KYC : un cadre solide mais encore trop statique

Le KYC n’a jamais été conçu comme une simple « photographie » prise à un instant donné. Au-delà de la vérification d’identité, il inclut aussi l’évaluation du niveau de risque que peut représenter un client. Si ce niveau est élevé, des procédures de vigilance renforcée (enhanced due diligence) sont appliquées, impliquant des vérifications supplémentaires.

La clé d’un dispositif efficace réside dans la continuité. Les transactions, les comportements et les évolutions du profil doivent être surveillés tout au long de la relation commerciale, et c’est seulement en assurant ce contrôle suivi qu’il est possible de déterminer si les activités sont cohérentes avec le profil de risque initial.

Dans la pratique, ces fonctions de suivi sont rarement implémentées avec succès. Les processus peuvent être corrects et satisfaisants au regard des exigences de conformité, mais être trop rigide sur le plan opérationnel. Ils permettent d’évaluer l’identité d’une personne à un moment donné, mais pas de déterminer si le niveau de risque d’un profil a fluctué depuis le contrôle initial.

L’identité, un enjeu tout au long du cycle de vie

Le modèle traditionnel repose encore sur une logique simple : vérifier l’identité à l’ouverture du compte, puis considérer la relation comme acquise. Or, dans les services numériques, l’identité intervient bien au-delà du moment de l’inscription.

Les tactiques des attaquants ne sont pas statiques, les processus d’identification ne peuvent pas l’être non plus. Ils doivent s’adapter aux nouveaux comportements des utilisateurs, aux évolutions techniques et aux nouveaux modes d’attaque. C’est dans cette logique que s’inscrit le concept de « Trust Your Customer » (TYC). Au lieu de déterminer l’identité une seule fois, la confiance est évaluée en continu. Au moment de l’inscription, on cherche à confirmer l’identité de l’utilisateur. Au moment de la (re)connexion, on cherche à s’assurer qu’il s’agit bien de la même personne. Et au cours de la session, on compare le comportement observé à celui attendu.

L’identité est alors analysée dans un contexte prenant en compte le comportement, l’environnement et les signaux techniques. Avec le TYC, la confiance repose sur la cohérence globale d’un profil utilisateur.

Les évolutions réglementaires vont dans la même direction. Dans la lutte contre le blanchiment d’argent (AMLR) comme dans le nouveau cadre européen sur l’identité numérique (eIDAS 2.0), les autorités insistent de plus en plus sur l’importance de contrôles continus, fondés sur le risque.

Sécurité et expérience utilisateur ne sont pas opposées

On associe souvent le renforcement des règles de sécurité avec davantage de friction pour l’utilisateur, mais cette vision est simpliste. Les modèles actuels fondés sur l’analyse du risque sont adaptables : ils intensifient les contrôles lorsque des signaux suspects apparaissent, mais se font discrets lorsque le risque est faible. Un utilisateur qui se connecte habituellement depuis Paris sur son smartphone n’est pas évalué de la même manière si une tentative de connexion apparaît soudainement depuis un nouvel appareil à l’étranger. L’expérience utilisateur reste ainsi la plus fluide possible, et les anomalies sont traitées de manière ciblée.

Dans les marchés numériques, où conversion et sécurité déterminent conjointement le succès, cet équilibre est crucial. Ceux qui considèrent la sécurité uniquement comme un frein s’exposent à des risques croissants ; ceux qui l’intègrent intelligemment gagnent en confiance et en fidélité client.

La confiance, un processus continu

Le KYC reste indispensable. La vérification d’identité lors de l’inscription demeure la première porte d’entrée à tous les services numériques. Mais à elle seule, cette étape ne suffit plus à faire face à la sophistication croissante des fraudes.

Pour être en mesure d’y faire face, la confiance doit être considérée comme un processus continu. C’est précisément l’ambition du modèle « Trust Your Customer » : ne plus considérer l’identité comme un événement ponctuel, mais comme un signal qui doit être vérifié, évalué et validé tout au long de la relation.

Dans un environnement numérique où les identités peuvent être compromises, recomposées ou détournées, il ne suffit plus d’identifier son client une fois. La confiance doit désormais être réévaluée en permanence, contrôle après contrôle.

À LIRE AUSSI :

Gouvernance

Anne Le Hénanff :« La souveraineté numérique, c’est politique » 

Thierry Derouet

27 Mar

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !