Ouf ! Il subsiste des ilots d'innovation…

Alors que le secteur financier subit un gel quasi universel de l'innovation depuis de longs mois, je me réjouis de découvrir cette initiative sérieuse de BNP Paribas Personal Finance au Royaume-Uni… probablement encouragée par le besoin de différenciation que suscite le succès des nouveaux entrants du paiement fractionné.

L'occasion nous est fournie par l'arrivée à son terme d'un « lab d'innovation », co-organisé avec deux partenaires locaux. Lancé en janvier avec une invitation à développer des solutions originales à base de traitement de l'information adressée à huit jeunes pousses de la FinTech, il proposait à ces dernières de travailler – sur une durée totale de 17 semaines – en étroite collaboration avec les équipes des instigateurs du programme afin d'affiner leurs projets et les rendre pleinement opérationnels.

Les participants disposaient d'une plate-forme ouverte afin de déployer et tester leurs réalisations. Elle leur a également permis d'effectuer les inévitables démonstrations marquant la clôture de cette première phase de la démarche. Car, et le fait est suffisamment rare dans ce genre d'événements pour être souligné, l'aventure ne s'arrêtera pas là… au moins pour quatre des entreprises, dont les présentations ont convaincu la filiale de BNP Paribas de prolonger son accompagnement.

Les « lauréats » retenus auront donc le privilège de voir leurs solutions directement intégrées au sein de son application de pilotage du crédit, dans une section dédiée. Ses utilisateurs auront ainsi le loisir de tester un outil d'analyse de l'efficacité énergétique de leur domicile, une plate-forme de gestion automobile à 360° (avec crédit, assurance, supervision…), un agent virtuel pour le remplissage des formulaires de capacité d'emprunt et un assistant proactif pour la maîtrise des dépenses récurrentes.

L'objectif est maintenant de vérifier concrètement, en conditions réelles, l'intérêt des clients pour ces fonctions supplémentaires et de mesurer la valeur que peut en retirer BNP Paribas Personal Finance dans le contexte de son activité. En arrière-plan, et c'est le rôle assigné de manière générale à l'innovation, il s'agit d'identifier des opportunités de se démarquer de la concurrence à travers des options plus ou moins atypiques, entre amélioration de l'expérience et incusion dans des métiers adjacents.

L'initiative, hélas plutôt isolée, laisse tout de même entrevoir l'espoir d'un regain d'intérêt pour l'innovation de la part d'acteurs conscients de la menace – quelle que soit sa forme – qui pèse sur leurs métiers historiques. En même temps, on observe dans cet exemple la transformation des méthodes : plus question (ou presque) de cultiver la créativité dans l'organisation (approche ouverte ou par un petit groupe de spécialistes), la seule voie semble désormais être à la recherche de startups pertinentes.

Swift résout le dilemme de la confidentialité

L'annonce par Swift d'une nouvelle option de lutte contre la fraude – à base d'intelligence artificielle, inévitablement – sur sa plate-forme de contrôle des paiements transfrontaliers fournit l'occasion de s'attarder sur la méthode pionnière employée pour exploiter les informations nécessaires sans compromettre leur nature ultra-confidentielle.

Le projet a déjà franchi les étapes expérimentales, depuis le début de l'année, avec quelques banques du monde entier (dont BNP Paribas et l'africaine Standard Bank). Le déploiement officiel est prévu en janvier 2025 et se présentera comme un puissant complément à l'offre existante de vérification des messages sortants, fonctionnant aujourd'hui essentiellement par règles fixes. Avec cet ajout, elle sera aussi capable de détecter des anomalies par comparaison statistique avec les flux habituels.

Bien entendu, avec les milliards d'échanges orchestrés par ses soins composant un immense référentiel de connaissance, Swift est dans une position idéale pour proposer ce genre de services… apparemment. Car son rôle d'intermédiaire comprend aussi une exigence absolue de respect du secret des communications entre ses clients. Heureusement, des technologies émergentes permettent dorénavant de résoudre cette incompatibilité latente, tellement fréquente dans le monde « digital » actuel.

Sans plus de détails opérationnels, les concepteurs évoquent ainsi notamment le recours à l'« apprentissage fédéré » (« federated learning »), qui consiste à entraîner des modèles d'apprentissage automatique sur un assemblage homogène de différents jeux de données, chacun d'eux restant sous la responsabilité de son propriétaire légitime (y compris pendant son traitement). L'algorithme produit par ce processus ne conserve aucune information sensible pour son application ultérieure sur les flux à surveiller.

La mise en œuvre de ces mécanismes est pour l'instant marginale dans l'industrie financière, en raison de la perception d'immaturité qui les accompagne. Ils sont pourtant extrêmement prometteurs pour tous les cas où la mise en commun de données représenterait un avantage significatif mais n'est jusqu'à présent pas possible (ou acceptée) pour des considérations de confidentialité. La lutte contre la fraude en est évidemment l'archétype et l'évolution des menaces en souligne l'urgence chaque jour. Espérons que l'initiative de Swift aide à dépasser les préjugés et la défiance.

Mastercard s'aventure dans l'identité digitale

Alors que les besoins d'identité « digitale » se font plus pressants et que les solutions optimales peinent à émerger (par exemple celle de l'Europe), Mastercard proposera bientôt quelques fonctions essentielles – directement intégrées avec ses instruments de paiement – susceptibles de répondre aux cas d'utilisation les plus courants.

Qu'il s'agisse de s'assurer du pays de résidence d'un visiteur sur un site administratif ou de l'âge de la personne qui achète de l'alcool sur une boutique en ligne (ou, comme l'impose désormais la loi française, pour la consultation de contenus pornographiques), les occasions ne manquent pas dans le monde numérique de devoir prouver telle ou telle caractéristique d'identité. Et personne ne souhaite que ces contrôles induisent des frictions dans les expériences utilisateur qui en comportent déjà bien assez.

Bien que son périmètre fonctionnel soit limité (à ce stade ?), l'approche de Mastercard, qui s'appuie sur les nouvelles spécifications EMV (définissant les standards de paiement par carte), s'avère élégante. En effet, elle autorise, moyennant son intégration préalable par les émetteurs (seuls détenteurs des données correspondantes), la vérification instantanée et transparente, simultanément au paiement, de la date de naissance, de l'âge, de l'adresse…, en ne révélant que les informations strictement nécessaires.

Le service sera bientôt déployé dans quelques pays européens, avec un programme d'expansion sur d'autres marchés dans le courant de 2025. Naturellement, l'institution affirme son intention de collaborer avec des gouvernements et autres organisations pour son développement : le succès passe impérativement par une implication concrète de multiples parties prenantes, les consommateurs, bien sûr, mais également les entreprises qui requièrent ce type de capacité et les opérateurs qui les valident.

Le lancement initial de notre côté de l'Atlantique est particulièrement savoureux quand on considère que, outre le porte-monnaie d'identité numérique européen spécifiquement dédié à ce besoin (dans une perspective beaucoup plus large et générique), un groupe de banques du continent exprime l'ambition d'offrir un jour (probablement pas avant plusieurs années) sa propre réponse au sein de son outil de paiement Wero… positionné comme concurrent souverain des grands réseaux américains.

Voilà plus d'une décennie que quelques visionnaires répètent que l'identité « digitale » constitue une niche attractive, sur laquelle les banques ont longtemps bénéficié d'une fenêtre d'opportunité extraordinaire. En dehors de la poignée de pays où elle a été saisie, elle leur revient aujourd'hui en double boomerang, abordée comme un lointain sous-produit d'un futur instrument de paiement (qui confirme finalement leur intérêt, aussi tardif soit-il) pendant qu'un géant des paiements, justement, les invite à s'embarquer dès maintenant dans l'aventure, même sous une forme embryonnaire.

Urgence quantique pour le chiffrement

Jusqu'à présent théorique, la menace que fait peser l'informatique quantique sur les algorithmes de chiffrement qui sécurisent nos communications et nos précieuses données personnelles commence maintenant à se concrétiser. Une équipe de recherche chinoise vient ainsi d'en apporter une première démonstration opérationnelle.

Comme si les équipes de cybersécurité des entreprises – institutions financières en tête – n'étaient pas déjà quasiment submergées par la prolifération de dangers en tout genre, voilà donc une problématique qu'elles vont désormais devoir prendre en compte plus tôt qu'elles ne l'imaginaient. Car, bien que les protections en vigueur aujourd'hui ne semblent pas directement en péril en l'état, l'exercice auquel se sont livrés les auteurs du papier en question ne laisse aucun doute sur l'imminence de leur obsolescence.

En pratique, leur expérience a porté sur une clé de petite taille, loin des normes actuelles, employée dans un algorithme usuel (RSA). Mais son objet était de valider non un résultat ponctuel mais plutôt la faculté générique pour une machine quantique du marché – en l'occurrence, celle de D-Wave – d'en extraire le secret dans des délais raisonnables à l'aide d'une méthode optimisée. Et la même opération a été réalisée sur d'autres techniques fréquemment employées pour le chiffrement d'information.

Bien sûr, ce risque était identifié depuis longtemps, mais les spécialistes ont toujours estimé que, la maturité des ordinateurs quantiques n'étant pas envisagée avant de longues années, laissant le temps aux utilisateurs de faire évoluer leurs applications avant une éventuelle catastrophe, il n'existait aucune raison de paniquer. Selon cette logique, un premier algorithme susceptible de résister aux capacités de ces futures calculateurs (développé par IBM) n'a d'ailleurs été standardisé que très récemment.

Avec cette avancée spectaculaire, la donne pourrait changer rapidement puisqu'il paraît dorénavant possible de se contenter d'équipements déjà disponibles sur le marché pour attaquer les systèmes de sécurité en place (sans oublier que les organisations les plus déterminées peuvent engranger des données chiffrées en vue de les exploiter le moment venu). Le remplacement des anciens algorithmes ainsi fragilisés – qui représente un chantier colossal – va peut-être devoir devenir une priorité absolue.

La ré-authentification contre la fraude

Décidément, la nouvelle législation britannique qui impose désormais aux banques de rembourser les victimes de fraude semble susciter une vague de créativité sans précédent dans l'industrie. La dernière idée en date émane de la jeune pousse ANNA et consiste à demander régulièrement à ses clients de re-confirmer leur identité.

En premier lieu, dès qu'ils tenteront d'accéder à leurs comptes depuis un nouvel appareil, les clients de la startup – qui, rappelons-le, propose aux PME une solution complète de gestion d'entreprise – seront invités à exécuter le contrôle par selfie habituellement employé lors de l'entrée en relation. Attention, il ne s'agit (évidemment !) pas de l'authentification biométrique du téléphone mais bien d'une vérification au niveau de la banque, avec une comparaison avec les données enregistrées par celle-ci.

Outre ce cas de changement d'équipement, destiné à détecter les tentatives de connexion par une personne mal intentionnée, la même procédure sera également déclenchée de manière aléatoire dans le cadre de l'usage normal des services. L'objectif dans ce cas est d'intercepter d'autres formes d'activité criminelle, depuis le vol du smartphone déverrouillé jusqu'à la mise en œuvre de compte de mule (quand un individu « prête » son identité à un escroc) et autres techniques similaires.

Ses concepteurs se félicitent d'une protection qu'ils considèrent quasiment parfaite : imparable pour les malfaiteurs, qui seront instantanément démasqués et rejetés avant d'avoir pu (trop) agir, et presque transparent pour les utilisateurs légitimes, qui seront tout au plus interrompus occasionnellement dans leurs opérations courantes pour une prise de portrait impromptue. Je suis un peu moins optimiste : la fréquence des contrôles risque d'être soit trop faible pour bloquer les malversations à temps, soit trop élevée et donc lassante, au détriment de la qualité de l'expérience utilisateur, sans parler du danger des faux positifs interdisant aux client l'accès à leur compte.

En dépit de ces réserves, ne soyons pas mesquin : il n'existe aucune solution universelle capable d'éradiquer la fraude bancaire d'un coup de baguette magique. La seule réponse efficace au phénomène passe par la multiplication d'outils complémentaires, autant pour la détection que pour la remédiation des incidents. Dans cette perspective, celui qu'introduit ANNA est une option qui mérite sérieusement l'attention, surtout si elle parvient réellement à éviter de perturber les usages normaux (peut-être, par exemple, par l'intermédiaire de selfies validés en arrière-plan, sans rupture de parcours ?).

Un moyen de paiement pour l'internet des objets

Comme d'autres, la grande vogue de l'internet des objets est passée, mais le concept continue de vivre et se développer. Dans le domaine des paiements autonomes entre machines, par exemple, les initiatives ponctuelles ouvrent maintenant la voie à des approches extensives, telles que celle que lance Mastercard avec le spécialiste Pairpoint.

Ce dernier, filiale commune de l'opérateur de télécommunication Vodafone et du groupe industriel Sumitomo, conçoit une plate-forme destinée à servir d'intermédiaire générique dans l'écosystème des objets. Dans des usages individuels comme dans des contextes d'entreprises, sa mission consiste à faciliter les échanges d'information et autres interactions entre toutes sortes de matériels, sans intervention humaine.

Grâce à sa collaboration avec Mastercard, les paiements font désormais leur entrée dans la panoplie de services proposés. Pour ce faire, chaque équipement connecté se voit attribuer une identité numérique propre, inscrite dans la carte SIM gérant ses communications. Dès lors, son propriétaire, agissant comme une sorte de mandataire, a la possibilité de l'autoriser à exécuter des transactions dans un périmètre prédéfini.

Les scénarios de mise en œuvre sont multiples, parmi lesquels sont évoqués les flottes de véhicules professionnels, auxquels serait allouée la faculté de régler directement les frais de carburant ou de recharge, de stationnement, de péages autoroutiers… indépendamment du conducteur présent au volant, ou encore l'hypothèse d'un conteneur capable de payer « lui-même » son transporteur, ses taxes portuaires en fonction de sa cargaison et de son poids, transmis aux systèmes d'encaissement.

La solution, qui supporte tous les réseaux de paiement et est ouverte à tous les acteurs de téléphonie, sera déployée d'abord au Royaume-Uni, d'ici la fin de l'année, l'extension à l'Europe continentale étant prévue dans la foulée (vraisemblablement dans les zones d'influence de Vodafone, en capitalisant sur son offre IoT existante).

La prolifération des agents intelligents, dont on nous promet qu'ils pourront bientôt réaliser des opérations pour le compte d'un humain, rend de plus en plus pressant le besoin d'instruments de paiement adaptés. La réponse de Pairpoint, spécifique pour les incarnations matérielles, esquisse l'émergence de ce nouveau marché. Cependant, en particulier en l'absence de précisions sur son intégration dans l'univers des paiements actuels (faut-il renouveler tous les équipements en place aujourd'hui ?), il s'agit probablement d'une première étape sur un chemin encore très long…

La lourde charge de la sécurisation du logiciel

Bien qu'il faille la prendre avec un minimum de précautions puisqu'elle est commanditée par un éditeur spécialisé (JFrog), cette enquête d'IDC qui révèle que les développeurs de logiciels passent une partie (trop) importante de leur temps dans des tâches liées à la sécurité devrait probablement interpeller les responsables informatiques.

Par exemple, la moitié de l'échantillon – issu des différents métiers concernés, depuis les product owners jusqu'aux chefs de projet en passant par les professionnels (seniors) du code, dans des entreprises américaines, britanniques, françaises et allemandes – déclarent consacrer 19% de leurs efforts à des contrôles et autres corrections relatifs à la sécurité… souvent en dehors des heures de travail « normales », qui plus est. Cela représenterait un budget d'environ 28 000 dollars annuels par développeur.

Dans un sens, mais l'étude n'aborde pas ce point de vue, ces statistiques constituent une excellente nouvelle. Elles démontrent en effet que les démarches dites « DevSecOps », qui visent à intégrer les considérations de sécurité en continu, au cœur de la chaîne de création du logiciel (avec les exigences de déploiement en production), commencent à s'ancrer dans les habitudes, ce qui profite automatiquement à la qualité des solutions livrées et à la réduction des risques lors de leur utilisation.

En revanche, au vu des estimations avancées, se pose tout de même la question d'un possible excès. Après tout, on peut considérer que le talent des personnes qui sont recrutées, toujours plus difficilement et souvent à prix d'or, pour écrire des applications est quelque peu gaspillé quand il leur faut aussi se préoccuper de problématiques périphériques, certes critiques pour le résultat final mais qui ne requièrent pas, en principe, leur expertise, d'autant que leur prise en charge devrait être automatisée.

Tel est justement le point sur lequel JFrog insiste particulièrement, en imputant l'essentiel de la faute à l'outillage mis en œuvre, soit qu'il soit mal adapté et exige des vérifications manuelles complémentaires inutiles ou redondantes, soit que son hétérogénéité et l’absence d’expérience utilisateur sans coutures engendrent des ruptures régulières dans le flot d’activité normal, au détriment de la productivité. Cette réalité conduit à relativiser le constat de maturité des organisations… et de leurs fournisseurs.

Mais, comme toujours, l’équipement n’est peut-être pas le seul coupable direct. Je soupçonne que le manque de culture de sécurité chez les ingénieurs, quand il ne s’agit pas de leur spécialité officielle, joue également un rôle crucial. D’abord parce que, à l’opposé de la philosophie « DevSecOps », il tend à laisser s’introduire les failles, qui ne sont corrigées qu’a posteriori, lorsqu’elles sont détectées par une sonde. Ensuite parce que la présence même de solutions automatiques encourage la « paresse » : pourquoi faire attention puisque les erreurs seront toujours repérées, plus tard ?

Si mon hypothèse était confirmée, nous aurions ainsi affaire à un effet pervers classique de la technologie : déchargeant les individus de leur responsabilité alors qu'elle est encore incapable de les remplacer totalement – quand bien même elle se gausse d'intelligence artificielle –, elle s'avère finalement plus néfaste que bénéfique.

Capital One commercialise sa solution d'authentification

Alors que les enjeux de sécurité deviennent toujours plus critiques pour les institutions financières, l'américaine Capital One annonce opportunément la commercialisation, à l'intention de ses concurrentes, de la technologie d'authentification renforcée par carte de paiement qu'elle met en œuvre depuis quatre ans pour ses propres besoins.

Le principe fondamental d'AirKey est plutôt simple puisqu'il s'agit de procéder à une certification de l'identité d'un utilisateur – essentiellement sur des services mobiles – par présentation de sa carte de débit ou de crédit à l'interface sans contact (NFC) de son téléphone. Les cas d'usage envisagés sont multiples, depuis la validation multi-facteurs des transactions jusqu'à l'enrôlement dans les applications de la banque, en passant par l'activation de la carte elle-même et l'accès à une carte virtuelle, par exemple.

En dépit de ses similarités avec le dispositif mis en œuvre par RBC en collaboration avec la jeune pousse Mypinpad, l'implémentation technique est sensiblement différente, adossée ici à une collection de brevets spécifiques qui procure une position d'exclusivité à Capital One (même si l'originalité de l'invention supposée m'interpelle). En particulier, les fonctions invoquées n'interagissent pas avec les composantes habituelles de paiement de la carte mais avec une « appliquette » indépendante dédiée.

Une telle approche présente le double inconvénient d'imposer une installation logicielle additionnelle sur les cartes émises (sachant que les standards en vigueur l'autorisent) et de ne pouvoir introduire la vérification du code PIN comme le fait RBC, mais elle comporte d'autres avantages. Le premier d'entre eux est la compatibilité avec « tous » les smartphones du marché, Android et iOS, les capacités techniques requises étant ouvertes sur ce dernier système (contrairement aux données liées au paiement).

La vision pragmatique de Capital One vis-à-vis d'AirKey constitue un aspect intéressant de la démarche : il n'est pas question d'en faire une solution universelle mais au contraire de la considérer comme une option supplémentaire dans la panoplie offerte aux clients afin de satisfaire les exigences d'authentification forte, aux côtés de l'envoi de code à usage unique par SMS, de la confirmation via l'app bancaire… C'est aussi une posture raisonnable face au développement de la virtualisation des cartes, augurant même, à long terme, d'une possible disparition complète du support physique.

Autre point de réflexion à souligner, le lancement d'une activité de distribution de technologie par une institution financière à l'intention de l'industrie reste rare… vraisemblablement parce que les initiatives passées n'ont (presque ?) jamais rencontré le succès, les clients potentiels étant relativement peu enclins à acquérir des produits auprès de concurrents, même s'ils ne relèvent pas du cœur de métier. Le caractère peu transformant d'AirKey risque de ne pas aider à changer ce genre de réflexes.

Le désastre des portes dérobées par l'exemple

Dévoilée initialement par le Wall Street Journal, une information majeure de cybersécurité semble ne pas recevoir toute l'attention qu'elle mériterait dans les médias. Pourtant, outre ses conséquences potentiellement désastreuses pour tous les citoyens, elle devrait aussi servir de leçon aux législateurs ignares qui réclament régulièrement des portes dérobées dans les outils de communication protégés.

L'affaire, qui se déroule aux États-Unis, est suffisamment grave pour que le FBI ait fait jouer la clause exceptionnelle de confidentialité qui lève (temporairement) l'obligation de notification des victimes en cas de vol de données personnelles. Selon les premiers éléments de l'enquête, des pirates seraient parvenus à détourner les mécanismes réglementaires exigés pour les écoutes légales chez les fournisseurs d'accès internet et à les exploiter à leur profit en vue d'opérations de surveillance criminelles.

Attribuée officieusement à un groupe de hackers lié aux autorités chinoises, l'attaque relèverait donc d'une campagne d'espionnage dont la portée est ébouriffante, entre identification des individus placés sous surveillance et collecte massive du trafic réseau. Même si le contenu des échanges interceptés – généralement chiffré – reste secret (du moins dans l'état des technologies d'aujourd'hui), la seule connaissance acquise à travers les connexions établies est facilement utilisable à des fins malveillantes.

Soyons optimistes. Cette illustration concrète – et aux ramifications qu'on ne fait pour l'instant qu'entrevoir – de leurs dangers devrait faire réfléchir les politiques qui, un peu partout dans le monde, tentent en permanence d'imposer, en particulier aux grandes plates-formes de messagerie sociale, des accès privilégiés pour les forces de police (et sous strict contrôle judiciaire) leur permettant de court-circuiter les mesures mises en œuvre afin de préserver la confidentialité des interactions en ligne.

Le risque engendré par une telle démarche n'est certes pas une découverte pour les spécialistes. Il est au contraire souligné à chaque fois que des velléités de recourir à des portes dérobées émergent. Cependant, la dénonciation de la menace ne sera dorénavant plus seulement théorique : elle pourra s'accompagner d'une illustration édifiante. Espérons qu'elle mette un terme définitif à cette utopie d'un passe-partout inviolable qui ne pourrait être mis en œuvre que dans des conditions légitimes.

Les systèmes informatiques modernes, avec leurs inévitables défauts techniques et autres faiblesses humaines, sont déjà suffisamment exposés pour ne pas ajouter une faille volontaire dont, inexorablement, un gouvernement hostile ou une organisation criminelle finira par tirer parti, pour des impacts sans commune mesure avec les bénéfices espérés (et de surcroît surestimés) par des décideurs peu éclairés.

Google distribue aussi du crédit (en Inde)

La nouvelle solution de prêts gagés sur l'or de Google Pay en Inde, issue d'une collaboration avec le spécialiste local Muthoot Finance, révèle simultanément l'intérêt persistant du géant de l'internet pour les services financiers et, à travers la stratégie qu'il met en œuvre sur le long terme, un peu de ses véritables ambitions en la matière.

Bien que des progrès considérables aient été enregistrés depuis quelques années, entre autres grâce à l'initiative de paiement universelle (UPI) pour le droit à un compte basique, l'exclusion financière continue à affecter une immense majorité de la population indienne : le recours au crédit « classique », en particulier, reste réservé aux privilégiés qui ont réussi à qualifier leur profil auprès des agences de notation.

À tous les autres, Google propose donc une alternative. Connaissant la passion, d'ordre culturel, des habitants du sous-continent pour l'or, dont même les plus pauvres accumulent quelques fragments au cours de leur vie, l'entreprise offre, depuis son porte-monnaie mobile, des prêts garantis par le métal précieux, ceux-ci étant effectivement gérés, d'un point de vue des flux et de la logistique, par son partenaire.

Outre le soutien immédiat que ce crédit, en général d'un montant modeste, est susceptible d'apporter aux emprunteurs, la démarche se veut également vertueuse en leur procurant une première occasion d'être identifiés et reconnus par les acteurs du scoring. Ils peuvent de la sorte franchir le premier obstacle de l'inclusion et espérer devenir éligibles aux financements traditionnels (aussi disponibles via Google Pay).

La tactique est limpide. Il s'agit de prendre pied dans un marché où les besoins sont gigantesques (à l'échelle du pays le plus peuplé du monde), où les produits existants ne sont pas facilement accessibles ou manquent de notoriété (par exemple ceux de Muthoot Finance), en capitalisant sur la réputation acquise (et la prééminence de Google Pay, en l'occurrence) afin de s'imposer comme intermédiaire incontournable.

Voilà une nouvelle illustration de la vision globale que Google porte sur le secteur financier. Il n'est guère question de développer des solutions en propre mais plutôt de rechercher les opportunités les plus significatives, en appréhendant les spécificités de chaque région, et de cultiver les collaborations adéquates en vue de se positionner très vite comme un distributeur de premier plan, nettement démarqué de la concurrence.

Quand une banque innove dans l'assurance

Après avoir précédemment abandonné le marché, la britannique Virgin Money propose à nouveau une assurance habitation à ses clients, en capitalisant sur l'expérience utilisateur (100% « digitale ») exceptionnelle d'une jeune pousse, qui peut seule lui permettre d'espérer prendre une position sérieuse dans un secteur encombré.

Propulsée par la technologie de Uinsure, la solution se distingue dès le premier contact avec une procédure de création de devis réellement simplissime. Le visiteur est invité à fournir quelques informations personnelles (nom, prénom, date de naissance, téléphone, adresse de courriel) et l'adresse postale de la propriété à assurer. Il ne lui reste plus alors qu'à confirmer une poignée de précisions, souvent collectées automatiquement : typologie, nombre de pièces, année de construction, et le tour est joué.

À la proposition générique produite instantanément après ce parcours de moins d'une minute, le prospect a bien sûr la possibilité d'ajouter les options (classiques) qu'il jugera nécessaires (niveau de capital mobilier ou de franchise, dommages accidentels, dépannage…). Agissant comme courtier, Uinsure se charge de trouver parmi ses partenaires (Ageas, Covea, Allianz…) celui qui offre le meilleur tarif… pour une garantie normalisée, donc sur une base objectivement comparable et sans surprise.

Autre originalité, le contrat s'accompagne d'une promesse de remise en concurrence automatique à son échéance. Chaque année, l'assuré est de la sorte certain d'obtenir le prix le plus bas, pour des conditions qui restent évidemment toujours identiques. Ces éventuels changements n'auront pas d'impact sur ses usages, puisque la startup reste toujours son interlocuteur principal, notamment pour le traitement des sinistres (sur lequel elle se vante d'une appréciation exceptionnelle de la part de ses clients).

La démarche de Virgin Money est intéressante, dans le sens où elle illustre comment il peut être pertinent pour une banque d'aborder un domaine d'activité hors de son cœur de métier – quoique adjacent, en l'occurence – à partir du moment où elle identifie un avantage déterminant qui lui laisse entrevoir une opportunité de s'imposer. Naturellement, dans ce registre, la double focalisation sur la fluidité de la souscription et les prix (bas) que lui procure Uinsure représente un argument séduisant.

En revanche, on peut s'interroger sur la gestion des priorités de l'institution britannique. En effet, bien qu'elle ne soit pas la plus attardée parmi ses consœurs, en matière d'expérience client, elle est loin d'atteindre la même excellence dans les fonctions bancaires que dans sa nouvelle aventure autour de l'assurance. L'incohérence résultante risque de surprendre, et peut-être indisposer, celles et ceux qui auront l'occasion d'effectuer la comparaison au cours de leurs opérations quotidiennes.

MetLife personnalise les avantages salariés

Parce que leurs employés sont de plus en plus exigeants en matière d'avantages extra-salariaux, les entreprises répondent en leur proposant plus d'options… et MetLife les aide désormais à choisir les plus pertinents en fonction de leur situation individuelle et à les activer aux moments opportuns, grâce à sa nouvelle plate-forme Upwise.

La tendance s'affirme aux États-Unis et elle se retrouve probablement, d'une manière ou d'une autre, dans d'autres régions du monde : les travailleurs deviennent très friands de compléments à leur rémunération, notamment sous forme d'assurances – santé et autres – ou de programmes de bien-être divers et variés. Néanmoins, s'ils souhaitent disposer d'une vaste sélection afin d'y trouver celle qui leur correspond le mieux, ils reconnaissent qu'ils ont parfois des difficultés à comprendre les offres.

Face à cette frustration, la solution déployée par MetLife consiste à analyser les données médicales et financières des bénéficiaires – avec leur autorisation et sous leur plein contrôle, naturellement –, enrichies des préférences qu'ils expriment explicitement, de façon à leur suggérer, parmi ceux qui sont mis à leur disposition par leur employeur, les produits les mieux adaptés à leur état de santé, leur style de vie et leur budget, à commencer par une couverture santé… préconisée par une IA (évidemment !).

Après la mise en place initiale, réalisée en libre service, Upwise continue à veiller au grain. En fonction de la palette de services qu'ils ont retenue, outre un tableau de bord récapitulatif, le système leur envoie régulièrement (avec leur accord) des rappels sur les facilités auxquelles ils peuvent prétendre, comprenant toutes les explications nécessaires pour garantir qu'elles sont exploitées au maximum de leur potentiel.

L'objectif de MetLife n'est certes pas purement philanthropique, puisque les souscriptions et l'usage de ses produits, stimulés par Upwise, contribuent à sa performance. Mais sa démarche a tout de même le mérite de se placer à la convergence des intérêts de l'ensemble des parties prenantes. Le salarié profite dans les meilleures conditions, en particulier pour sa qualité de vie, des avantages distribués par son entreprise. De son côté, cette dernière peut raisonnablement espérer qu'elle couvre au mieux les attentes tellement hétérogènes de ses effectifs.

Seule la mise en œuvre opérationnelle et, surtout, le niveau réel de personnalisation qu'elle atteint détermineront, in fine, la valeur de l'initiative. Il n'en reste pas moins que l'approche elle-même est digne d'éloges. Après tout, il n'est pas si fréquent, dans le secteur financier, de rencontrer le cas d'une institution qui, dans un environnement 100% « digital », cherche véritablement à connaître et comprendre le contexte de son client dans le but de l'accompagner dans le choix ET l'utilisation de ses produits.

Les clients n'ont que faire de l'open banking

Voilà une tendance amusante, qui se répand partout autour du monde, dans le sillage de la mise en place d'interfaces de banque ouverte : les institutions financières, dont la plupart ont longuement bataillé avant de capituler sous la pression de la demande, s'inquiètent maintenant de l'absence de reconnaissance de leurs efforts par leurs clients.

Prenons le dernier exemple en date, émanant de BNZ. Engagé dans une démarche volontaire, bien que fortement stimulée par l'émergence d'acteurs usant d'artifices potentiellement risqués afin de contourner l'absence de mécanismes standardisés, l'établissement a, à partir de 2018, commencé à mettre à la disposition de partenaires triés sur le volet, généralement dans l'écosystème FinTech, des interfaces autorisant le partage des données de ses clients (sous leur contrôle, bien entendu).

Aujourd'hui, à l'occasion d'une enquête (informelle), elle découvre que, bien qu'une majorité de citoyens (60%) aient entendu parler d'« open banking », il ne sont qu'un sur quatre à appréhender ce dont il s'agit concrètement. Considérant en outre que, après explications,  trois quarts des sondés se déclarent intéressés par les opportunités ainsi créées, BNZ conclut que la priorité pour un usage en confiance est à l'éducation des clients sur le concept et sur les possibilités qui leur sont offertes grâce à celui-ci.

La préoccupation affichée est évidemment justifiée : après avoir investi pour l'ouverture des données depuis ses systèmes informatiques, la banque souhaiterait que ce ne soit pas en vain, d'autant plus que, désormais, l'industrie prend peu à peu conscience des avantages qu'elle peut elle-même tirer de ces initiatives, par exemple à travers le développement de nouvelles fonctions, autour du conseil personnalisé (y compris hors du domaine financier), de l'évaluation des risques sur les crédits…

En revanche, l'approche envisagée est résolument inadaptée. En effet, les consommateurs (et les entreprises, incidemment) n'ont que faire du principe de banque ouverte en tant que tel, vouant automatiquement les tentatives pédagogiques à la fois à être massivement ignorées et à ne produire de résultats que marginaux. En effet, ce qui leur est véritablement utile est de savoir que, quand ils rencontrent une proposition de connexion à leurs comptes bancaires dans un parcours quelconque, ils peuvent accepter en toute sécurité et en pleine connaissance de cause.

Ce n'est que dans sa mise en œuvre que le dispositif prend son sens, jamais par des descriptions théoriques et génériques. L'apprentissage se fait donc d'abord par la pratique, quand une démarche en ligne suggère le recours à une connexion bancaire. Sont alors indispensables, d'une part, une présentation précise et complète des motivations de la demande, afin d'asseoir sa légitimité, et, d'autre part, une validation contextuelle et authentifiée de la régularité de l'opération, de la part de la banque.

Pour l'exprimer autrement et de manière résumée : les clients se moquent, avec raison, de ce qu'est l'« open banking », qui n'est finalement qu'un outil technique. En revanche, ils sont preneurs des solutions qui leur simplifient l'existence. C'est donc dans cette perspective, et seulement elle, qu'une sensibilisation efficace doit être imaginée.

Pourquoi la carte Apple a du succès

Douze millions d'adeptes et un classement au sommet de la satisfaction client : un journaliste spécialisé s'interroge sur ce qui justifie le succès de la carte Apple. Il a la réponse sous les yeux et la mentionne explicitement… mais, comme tous les vétérans de l'industrie cramponnés à leurs habitudes, il peine à admettre sa réalité.

Clairement, quand il est évalué sur les critères traditionnels – ceux qui préoccupent aussi bien les émetteurs eux-mêmes, avec leurs départements de marketing, que les comparateurs en ligne et les analystes et autres observateurs externes –, le produit de la marque à la pomme ne présente aucun avantage majeur dans un marché où la concurrence est féroce : en dehors de sa gratuité (qui n'est pas unique), son programme de fidélité n'a rien d'exceptionnel, les autres privilèges offerts aux porteurs (par exemple à la souscription) sont limités, ses taux d'intérêt sont dans les normes…

Alors, pourquoi ses clients l'apprécient-ils tant ? Si on écarte un instant les inconditionnels d'Apple, qui lui sont toutefois fidèles depuis toujours pour les mêmes raisons, le principal facteur de différenciation de sa carte de crédit réside, comme le proclame sa présentation (cf. l'illustration ci-dessous), dans la qualité de son expérience utilisateur : entrée en relation rapide et sans frictions, mise en œuvre facile, information en temps réel, claire, intuitive et transparente, réactivité face aux réclamations…

Ce constat ne devrait pas être une surprise dans un univers où tout le monde se vante de placer son client au centre de ses attentions, en particulier dans la conception des parcours « digitaux ». Malheureusement, derrière ces déclarations, la plupart des acteurs persistent incurablement à placer la priorité sur les caractéristiques techniques de leurs solutions, c'est-à-dire, pour le domaine qui nous intéresse, cadeaux (plus ou moins accessibles) et taux d'intérêt alléchants (mais réservés à une petite élite).

En arrière-plan, ceux-là se rassurent à bon compte en estimant que leur processus de contractualisation n'est pas beaucoup plus lourd ou que leur application mobile expose les mêmes données, bien que sous une forme un peu moins tape-à-l'œil. Sans se rendre compte que, en la matière, c'est l'excellence de bout en bout qui emporte la décision, notamment pour les personnes – jeunes ou moins jeunes – accoutumées aux standards des géants du web et en attendent autant de tous leurs fournisseurs.

Le concept d'expérience utilisateur et l'impératif de son optimisation donnent aisément l'impression d'être des poncifs sans grande matérialité, reposant sur des perceptions totalement subjectives… Le cas d'Apple – qui est loin d'être nouveau et concerne l'ensemble de ses produits – démontre concrètement l'impact qu'il a sur les clients, y compris, voire encore plus, dans un marché parvenu depuis longtemps à la maturité, dans lequel l'individu moyen rencontre des difficultés à distinguer les offres.

Meta et les banques, ensemble contre la fraude

Bien qu'ils soient largement ignorés dans leur contenu spécifique, les appels répétés des acteurs de la finance à faire porter une partie de la responsabilité (pécuniaire) de la fraude sur les médias sociaux finissent peut-être par être entendus. C'est une conclusion possible de la collaboration qu'engage Meta avec les banques britanniques.

Le principe du dispositif est tellement simple qu'il démontre clairement que l'implication des géants de l'internet dans la lutte contre les malversations est avant tout une question de volonté et non de complexité technique. En l'occurrence, tout repose sur une simple plate-forme d'échange d'information, sur laquelle les institutions financières déposent les éléments saillants qu'elles recueillent sur les arnaques dont sont victimes leurs clients, Meta se chargeant ensuite de verrouiller les profils qui les propagent.

Plus précisément, ce sont apparemment les adresses des sites web exploités par les escrocs qui permettent de repérer les (faux) utilisateurs qui les diffusent et cherchent donc à piéger des victimes. Au cours de la phase pilote de six mois qui vient de s'achever – à laquelle ont participé NatWest et Metro Bank –, la communication de 185 de ces références aurait conduit à la fermeture de quelques 20 000 comptes, le lot comprenant un vaste réseau d'arnaque aux faux billets de spectacles. Au passage, Meta en profite également pour renforcer ses systèmes de détection et de protection.

En attendant que la démarche soit généralisée, d’abord au Royaume-Uni dans les prochains mois, puis, espérons-le, dans le reste du monde, il faut se réjouir de l’immense progrès qu’elle représente… en ce qui concerne la prise de conscience de l’importance des coopérations entre toutes les parties prenantes d’une bataille permanente dont il sera absolument impossible de sortir gagnant seul. Une fois la conviction acquise et les conditions définies, la mise en œuvre est quasiment triviale.

Et les opportunités semblables – circonstances dans lesquelles l’identification d’anomalies par une organisation autoriserait une autre à prendre des mesures défensives – sont innombrables. Tel serait le cas, par exemple, des initiatives de répression des tentatives de hameçonnage (entre autres via des solutions collaboratives du type Phishing Initiative en France) : le partage des alertes qu’elles collectent avec les grandes enseignes de l’économie numérique aurait certainement du sens.

À l’extrême, on pourrait imaginer un dépôt universel, centralisant quelques données (non sensibles) sur les malversations précédemment signalées, accessible aux entreprises les plus exposées afin de les aider à contribuer à une guerre vitale pour tous. Mais qui serait à même de lancer et animer un tel programme ? Quand on découvre que Revolut, qui sera probablement suivie par d'autres, juge immédiatement les efforts de Meta insuffisants, on peut hélas s'inquiéter de l'état d'esprit de l'industrie bancaire.

Quand l'assurance paramétrique s'égare…

Pionnières, dans le groupe, de l'assurance paramétrique, les équipes d'AXA Hong Kong et Macao annonçaient au mois d'août passé le lancement d'une couverture contre les vagues de chaleur. Si le produit est techniquement irréprochable, ses conditions de fonctionnement semblent plus discutables et illustrent les limites du concept.

Dans le contexte du réchauffement climatique global, les températures estivales atteignent désormais régulièrement des sommets à Hong Kong (comme dans d'autres régions du globe), qui rendent la vie particulièrement difficile pour les nombreuses personnes exerçant des professions en plein air, par exemple dans les domaines de la construction immobilière, des travaux publics, des transports… C'est donc pour ces populations exposées que la compagnie a imaginé un contrat spécifique.

Son principe est très simple : moyennant une prime de 19,90 dollars (un peu plus de 2 euros), l'individu qui souscrit se voit automatiquement et instantanément dédommager – à hauteur de 100 dollars… ou via un kit de protection (?) de valeur équivalente – dès lors que le thermomètre dépasse les 36°C pendant trois jours consécutifs. Pas de procédure de déclaration de sinistre, les mesures sont collectées directement à la source (officielle et indépendante) et déclenchent le versement sans aucune intervention humaine.

Ce qui pose question dans ce dispositif, et j'aurais des difficultés à admettre qu'il s'agit d'un biais culturel, est la nature de la compensation proposée, qui est évidemment la seule envisageable dans une approche 100% paramétrique. D'une certaine manière, le paiement d'une simple indemnité (minime, qui plus est) à la survenue d'une épisode de chaleur prend en effet les apparences d'une sorte de pari (dont l'assureur sortira toujours statistiquement gagnant) plus que de prise en charge du dommage réel subi.

Concrètement, plus que d'argent et d'équipements ad hoc (qui, incidemment, devraient être de la responsabilité de l'employeur), ce sont de pauses supplémentaires – voire de congés – dont auraient le plus besoin les individus concernés dans ces circonstances, ce qui impliquerait pour l'assurance de rembourser les rémunérations non perçues et, en adoptant le point de vue des entreprises qui les recrutent, d'assumer les conséquences sur leurs activités, entre autres en termes de retards de livraison.

A ces bases, il serait également utile d'ajouter quelques garanties de santé – en fait, elles constituent même un socle minimum qu'on attendrait de la solution développée par AXA –, dans l'hypothèse d'affections directement liées aux excès de chaleur. Mais, bien sûr, toutes ces suggestions, qui requièrent des analyses approfondies et des informations variables complémentaires, sont totalement incompatibles avec l'automatisation de bout en bout des traitements qui figure au cœur de la démarche.

Ma conclusion ? L'assurance paramétrique offre des opportunités formidables (et probablement infinies) mais elle doit être réservée à des usages pertinents, faute de quoi elle ne répondra pas à un véritable besoin de sa cible et sera vouée à l'échec… à moins qu'elle ne soit détournée de sa finalité originale. Comme toujours (cf. le fameux aphorisme du marteau et du clou), la disponibilité d'un outil, aussi magnifique soit-il, ne signifie pas qu'il doit être mis en œuvre pour tous les problèmes qui se présentent.

Lydia intègre Apple Pay

Comme un (discret) pied de nez à Wero, le porte-monnaie numérique européen dont le lancement officiel en France de sa première incarnation était annoncé hier, Lydia dévoile ce jour l'intégration d'Apple Pay dans son application de paiement entre proches, apportant une simplification bienvenue de l'expérience utilisateur.

Voilà encore un exemple de petit progrès, loin de toute prétention révolutionnaire, qui vise avant tout à faciliter la vie des adeptes de la solution. Au lieu de devoir enregistrer et valider les références de leur carte bancaire avant de pouvoir exécuter le moindre transfert, Lydia propose désormais de choisir Apple Pay comme source d'approvisionnement, pour un démarrage instantané. Cerise sur le gâteau, il n'y aura plus à se préoccuper non plus de changer les informations lors des renouvellements.

Cependant, le véritable bénéfice de l'initiative intervient dans les usages quotidiens. En effet, les opérations réalisées avec Lydia sont dès lors sécurisées par le système particulièrement ergonomique de la marque à la pomme, avec son authentification biométrique transparente, par empreinte digitale ou par reconnaissance faciale. Le gain par rapport aux mécanismes de vérification à double facteur des règlements à distance par carte (et leurs dysfonctionnements si irritants) est considérable.

La communication n'en fait pas explicitement état mais l'ajout peut également constituer un important facteur de confiance pour les consommateurs, qui accèdent ainsi aux services de la jeune pousse sans jamais lui transmettre de données sensibles, celles-ci restant sous la protection d'Apple… avec la bénédiction implicite des banques.

D'une certaine manière, Lydia se réaligne de la sorte avec les modalités de fonctionnement du nouveau Wero, qui, rappelons-le, ne reprend pour l'instant que la possibilité de paiements entre individus de Paylib en y ajoutant l'interopérabilité… avec son alter ego allemand. Mais une autre perception, plus visionnaire, consisterait à le considérer comme le complément « P2P » idéal d'Apple Pay, plaçant dès aujourd'hui la combinaison résultante comme un concurrent par anticipation au porte-monnaie universel promis par l'EPI… pour une échéance incertaine.

L'ouverture des interfaces sans contact de l'iPhone imposée par le régulateur européen promet de chambouler le paysage du paiement depuis le téléphone. Car, quoi qu'on puisse reprocher à une approche monopolistique, après quelques années d'une solution exclusive qui présentait l'immense avantage d'une compatibilité presque totale sur le marché, l'irruption d'alternatives risque de déclencher le chaos, chaque personne étant à même de sélectionner son instrument favori. Dans ces conditions, les positions qui se prennent maintenant détermineront certainement les succès de demain (le danger étant toutefois que les établissements promoteurs de Wero abandonnent Apple Pay).