Upload
octo-technology
View
8.339
Download
1
Embed Size (px)
Citation preview
50 AVENUE DES CHAMPS-ÉLYSÉES 75008 PARIS > FRANCE > WWW.OCTO.COM
VERS UNE BANQUE MOBILE… CHAPITRE 1 Concevoir une app mobile bancaire
Notice Couverture Texte Polices : - Titre : Arial – 18pts - Sous-titre : Arial – 18pts
THIBAULT PETITJEAN Mobile consultant specialist 06 46 52 35 79 [email protected]
OLIVIER MARTIN Head of Mobile 06 20 66 71 21 [email protected]
SOPHIE MUTO Head of UX 06 18 72 18 00 [email protected]
LE MOBILE EST DEVENU UN ENJEU STRATÉGIQUE POUR LA BANQUE
OCTO TECHNOLOGY > THERE IS A BETTER WAY 2
Les clients sont devenus digitaux : ¤ Les clients en France réalisent plus de 60% de
leurs opérations bancaires sur des canaux digitaux
Le mobile comme premier canal d’interaction ¤ Le mobile est devenu le canal le plus utilisé pour
les interactions avec sa banque
Le mobile se développe rapidement ¤ Le pourcentage des clients qui ont utilisé une
application bancaire au cours du dernier trimestre a augmenté de 10 points en 1 an
La relation humaine reste importante pour des problématiques « complexes » : ¤ Plus de la moitié des clients restent des utilisateurs
omnicanal : web et finalisation en agence pour les opérations de types : prêt immobilier, prêt à la consommation …
Faire face à une concurrence accrue sur le mobile ¤ Multiplication des offres de banque 100% mobile
(Hello Bank, Soon, Boursorama) ¤ Une forte concurrence sur mobile en provenance
des FinTech (ex: Bankin, Linxo, Number 26, Simple..)
¤ Le mobile et les tablettes au cœur des plans de communication des banques.
¤ Un focus important des banques « traditionnelles » sur leurs applications mobiles core business avec une accélération des investissements dans les mois et années à venir.
* Bain- Customer Loyalty in Retail Banking: Global edition 2014
Les français utilisent le mobile pour la gestion des activités bancaires*
Une intensité concurrentielle qui se modifie
OCTO TECHNOLOGY > THERE IS A BETTER WAY 3
Multiplication des canaux Omnicanalité Nouveaux usages
LE MOBILE AU-CŒUR DE LA TRANSFORMATION DE LA RELATION CLIENT
Agences
Web
Mobile
IOT
Reproduction des services financiers sur les autres canaux
Intégration des canaux Repenser les services
++
Point de contact principal pour les clients en 2014
Canaux primordiaux et complémentaires pour créer
de nouveaux usages
Le mobile au-delà d’être un simple canal supplémentaire, doit offrir un usage spécifique ainsi qu’une expérience utilisateur contextualisée
Temps
Maturité des
banques
OCTO TECHNOLOGY > THERE IS A BETTER WAY 4
RÉUSSIR VOTRE STRATEGIE MOBILE DANS L’UNIVERS BANCAIRE
CONCEVOIR UNE VISION PRODUIT
CONCEVOIR UNE EXPERIENCE UTILISATEUR
CONCEVOIR UN SOCLE TECHNIQUE ADAPTÉ
1 2 3
¤ Proposer des services focalisés sur l’usage et de plus en plus personnalisés pour répondre à un besoin client
¤ Enchanter l’utilisateur au travers d’une expérience en rupture avec les codes habituels du monde bancaire
¤ Alléger la charge émotionnelle et refléter les situations de vie
¤ Engager la dialogue !
¤ Faire face à l’enjeu de sécurité des échanges, des accès et des données
¤ Accélérer l’exposition des services pour s’intégrer dans l’écosystème mobile
1. UNE VISION DU PRODUIT MOBILE EN MUTATION ET EN LIEN AVEC L’EVOLUTION DES USAGES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 6
Des services financiers sur mobile : on reproduit sur mobile les services financiers proposés sur le web et en agence Compte mobile : première étape vers une contextualisation des services, on agrège sur le mobile un certain nombre de services qui permettent de gérer son « portefeuille »
¤ Le compte est un portemonnaie virtuel ¤ Une carte de paiement est associée au compte (carte prépayée
dans certains cas) ¤ Le portemonnaie virtuel permet l’agrégation de plusieurs cartes
de paiement ou de cartes de fidélité ¤ L’ouverture de compte est possible depuis le mobile ¤ Possibilité de création de sous-comptes, pour gérer plusieurs
cartes ou plusieurs budgets
Focus produit transaction
2008
2011
2015 Vers une banque contextuelle et personnalisée ciblée sur les besoins et les usages du client
Vers une gestion de l’omnicanalité de plus en plus optimisée :
¤ Autoriser l’interruption et la reprise des parcours d’un canal à un autre ¤ Proposer une expérience client continue entre les canaux qui apporte valeur et satisfaction
Focus Produit expérience client
OCTO TECHNOLOGY > THERE IS A BETTER WAY 7
1. DES TRAJECTOIRES PRODUITS MULTIPLES MAIS DE PLUS EN PLUS CONTEXTUALISÉES AUX USAGES
Une banque personnelle grâce au mobile
Coaching : J’ai un assistant personnel qui m’accompagne au quotidien dans tous mes projets et mes besoins et me coache dans mes finances. Contextualisation : Les services financiers sont proposés en fonction de mes besoins à un instant T dans une situation donnée. Ultra-personnalisation : On me propose uniquement et exactement ce que je veux en fonction d'une connaissance affinée de mon profil. Anticipation : Grâce à la connaissance poussée de mon profil, on détecte à l'avance mes besoins et mes problèmes Automatisation : Je n’ai plus rien à faire, tout est proposé en mode proactif ou automatisé, je fais toutes mes opérations en un clic, voire même sans m’en rendre compte.
La réalité Une révolution est en marche et de nombreuses fintech se positionnent sur des usages spécifiques
OCTO TECHNOLOGY > THERE IS A BETTER WAY 8
COACHING
Le constat Les pistes de réflexion
J’ai un assistant personnel qui m’accompagne au quotidien dans tous mes projets et mes besoins et me coache dans mes finances.
Ils montrent la voie…
¤ Des services financiers toujours constitués autour du compte (orientés transactions et produits) et laissant l’utilisateur être actif en fonction de ses besoins
¤ Apporter de la valeur ajoutée aux projets des clients travers de services mobiles dédiés
¤ Enrichir les applications existantes avec des fonctionnalités nouvelles, rendues possibles grâce au mobile
Contexte : ¤ Westpac home finder , est une application indépendante
qui permet de gérer l’ensemble des démarches : de la recherche jusqu’à la demande de financement en fonction du profil financier
Objectif : ¤ L'objectif est de capitaliser sur la connaissance du client
afin de mieux répondre à ses attentes et de l’accompagner tout au long de son projet de manière personnalisée
OCTO TECHNOLOGY > THERE IS A BETTER WAY 9
CONTEXTUALISATION
Le constat Les pistes de réflexion
Ils montrent la voie…
¤ Les capacités du mobile sont peu exploitées et se limitent souvent à la géolocalisation d'agence
¤ Prendre en compte le contexte peut amener à repenser totalement un produit ou une offre ( ex: épargne)
¤ Loin d'aller vers des notifications intrusives, il faut replacer le service dans une optique d’usage
Mix entre anticipation et temps réel ¤ Hip Money, détermine en temps
réel la capacité d’épargne et suggère par des notifications quotidiennes de mettre de coté la somme calculée en lui laissant la décision finale.
¤ L’utilisateur anticipe et définit ses projets d’avenir: voyage, achat, remboursement…accompagnés d’un objet, d’un montant et d’une échéance
Epargne d’impulsion ¤ BirdyCent offre un service de
micro-épargne innovant et indolore.
¤ Chaque jour, on épargne l’arrondi à l’euro supérieur de vos dépenses réalisées par carte bancaire et ceci alimente des tirelires digitales
Le contexte permet d’utiliser les services financiers différemment, de trouver un équilibre entre automatisation, anticipation, temps réel et engagement client
OCTO TECHNOLOGY > THERE IS A BETTER WAY 10
Le constat Les pistes de réflexion
Ils montrent la voie…
¤ Des pans entiers de clients sont délaissés par les banques, loin de la personnalisation, le mobile sert aujourd'hui dans la plupart des cas à offrir des services basiques aux client particuliers.
¤ Détecter les opportunités nouvelles en s’intéressant aux douleurs spécifiques des clients avec une approche par persona.
¤ S'intéresser aux douleurs de tout type de clientèle : TPE, entreprises, professionnels et étudiants.
On me propose uniquement et exactement ce que je veux en fonction d'une connaissance affinée du client.
Loot : une banque pour les étudiants ¤ Loot est une banque dédiée aux
étudiants étrangers arrivant au royaume unie.
¤ Elle est ultra personnalisée au besoin de cette cible en attente de service abordable, simple et accessible.
¤ Le service est imbattable d’un point de vue concurrentiel : PFM, démarche simplifiée, frais réduit de transfert de fonds à l’étranger, carte sans contact permettant de prendre les transports en commun londonien…
Seed : un banque pour les entreprises ¤ SEED est une banque dédiée aux
entreprises qui propose une plateforme ouverte, moderne.
¤ Les maitres mots sont qualité de service, design et technologie afin de devenir la 1ère banque communautaire du 21ème siècle totalement ouverte en donnant à disposition des API personnalisables.
ULTRA-PERSONNALISATION
OCTO TECHNOLOGY > THERE IS A BETTER WAY 11
Le constat Les pistes de réflexion
Ils montrent la voie…
¤ Difficultés pour les banques de détecter des besoins en dehors des relations directes avec la banque.
¤ Même la multibancarisation reste compliquée à détecter.
¤ L'ouverture de la banque (autres banques, autres industries) permettrait d'enrichir la connaissance client.
¤ Amener le client au travers des fonctionnalités à forte valeur ajoutée à partager lui-même ses besoins, permet de mieux les détecter et d’anticiper le meilleur moment pour effectuer une opération.
ANTICIPATION
Grâce à la connaissance poussée des clients on détecte à l'avance mes besoins et mes problèmes
¤ L’application propose d’alerter la personne concernée lorsque c’est le moment d’effectuer son transfert d’argent à l’étranger, en fonction du marché quotidien des taux de change.
¤ Il s’agit d’un algorithme dédié aux modèles de taux de change qui lui permet de repérer les variations et d’identifier ainsi le meilleur moment pour faire le virement.
OCTO TECHNOLOGY > THERE IS A BETTER WAY 12
Le constat Les pistes de réflexion
Ils montrent la voie…
¤ L'automatisation et la facilité de consommation des services financiers ne passera pas par la gestion de compte et des produits financiers mais par l'intégration des services financiers à un usage.
¤ Penser usage et se détacher de la tenue de compte. ¤ Intégrer les services financiers mobiles dans un écosystème
global.
AUTOMATISATION
Je n’ai plus rien à faire, tout est proposé en mode proactif ou automatisé, on réfléchit à ma place, je fais toutes mes opérations en un clic, voire même sans m’en rendre compte.
¤ Clink offre une solution d'épargne automatique adossée à un robot d'investissement. ¤ L'utilisateur va pouvoir connecter son compte courant et décider d'allouer
automatiquement une somme donnée à intervalles réguliers (à partir de 1 dollar 2 fois par semaine).
¤ Il lui est également proposé de connecter sa carte de crédit, sur laquelle il va alors définir un pourcentage de ses dépenses de restaurant ou de ses achats en ligne qui sera prélevé et investi pour lui.
Clink
1. COMMENT VALIDER VOS HYPOTHÈSES PRODUIT ET VOS IDÉES RAPIDEMENT
OCTO TECHNOLOGY > THERE IS A BETTER WAY 13
Un outil pour concevoir la première brique de votre produit : Le Minimum Viable Product (MVP), c’est le produit minimum le plus simple et rapide à construire que l’on
peut mettre dans les mains des utilisateurs pour créer de la valeur et récolter du feedback
2
¤ Economie dans l’échec (on s’arrête à temps) ¤ Satisfaction clients (embarqués dans la démarche
de construction de la Vision) ¤ Méthode mesurable basée sur des validations
d’hypothèses : permet de justifier l’ensemble des choix pris
Une méthode pour accélérer votre Time-to-Market : Adopter une approche lean !
1
¤ Valider le besoin utilisateur ¤ Tester plusieurs idées en parallèle ¤ Piloter par la mesure ¤ Echouer rapidement pour apprendre un maximum ¤ Reprioriser régulièrement
Principe Gain
Identifier un problème
Découverte du client 1
Générer de la demande
Enrichissement du produit 3 Industrialisation 4 Validation
du client 2
Concevoir le Produit minimal (MVP)
Réadapter Le produit
L’IMPORTANCE DE L’UX POUR LA BANQUE
¤ Une perception négative du système bancaire par les consommateurs
¤ Du pessimisme apporté par la crise économique, les banques vues comme responsables
¤ Une gestion de compte qui est perçue comme une corvée
¤ Un rapport à l’argent source de stress et anxiogène ¤ Une perception des banques comme « fournisseur
de produits » et non comme un partenaire de confiance sur les grandes étapes de la vie
¤ Rassurer l’utilisateur sur la sécurité : proposer une authentification garantissant sécurité et simplicité d’accès
¤ Engager le dialogue avec le principal canal d’interaction sur mobile : les notifications push
¤ Tenter le ludique pour évacuer le fastidieux ¤ Alléger la charge émotionnelle liée au stress et à
l’anxiété de la gestion bancaire : « je gère ma vie » ¤ Proposer une expérience client continue :
omnicanale, stable et cohérente à tous les points de contact
La banque est un univers particulier : elle offre des services qui peuvent s’apprécier mais sont intangibles. L’image que le consommateur s’en fait provient de l’expérience client et des signes émis par la banque.
Une perception négative de la banque et des services financiers
Rétablir la confiance entre les banques et le client
OCTO TECHNOLOGY > THERE IS A BETTER WAY 15
L’UX PERMET DE FAVORISER L’ENGAGEMENT DU CLIENT AU DELÀ D’UNE SIMPLE OFFRE DE SERVICE
16
Design ¤ Vers une simplification du design ¤ Personnalisation des interfaces avec des mises en avant des informations
essentielles
¤ Restituer les données de manière compréhensible, valoriser les graphiques, favoriser l’appropriation par l’utilisateur
¤ Proposer un suivi de comptes « intelligent » agrégation de comptes, enrichissement des données sur les transactions, analyses des données
¤ Possibilité de gérer les processus de bout en bout quelque soit le canal (ex: souscription sur mobile)
¤ Une expérience fluide d’un canal à un autre (ex: rentrer dans un processus d’achat grâce à son mobile)
Enrichissement de la donnée
Omnicanal
Proposer un design adapté aux nouveaux usages
Donner un sens ¤ Une approche par « reste à dépenser » plutôt que par solde ¤ Une approche par « projet de vie » plutôt que par produit bancaire
¤ Dédramatiser le rapport à l’argent grâce à la gamification ¤ Apporter une touche émotionnelle (ex: j’ai aimé ma dépense) ¤ Introduire des systèmes de rewards, de points
¤ Communiquer avec les utilisateurs via le principal canal d’interaction sur mobile : les notifications push
¤ Partager sur les réseaux sociaux pour rendre un objectif concret et trouver du soutien (ex: objectif d’épargne)
Ludification
Engager la communication
Introduire de l’émotionnel et de l’engagement dans le rapport à l’argent
DESIGN : VERS UNE SIMPLIFICATION DES INTERFACES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 17
Simplification du design Appli « Société générale »
Simplification du design Appli« MesComptes » by BNP »
ENRICHISSEMENT DE LA DONNÉE
OCTO TECHNOLOGY > THERE IS A BETTER WAY 18
Enrichissement des dépenses (ajout de photo, de document)
Appli « Moven » Visualisation des données
Appli « Bankin »
OMNICANALITÉ: PARCOURS DE SOUSCRIPTION
OCTO TECHNOLOGY > THERE IS A BETTER WAY 19
Parcours de souscription 100% mobile Appli « Hello Bank »
DONNER DU SENS: CONCRÉTISER LA GESTION DE SON ARGENT
OCTO TECHNOLOGY > THERE IS A BETTER WAY 20
Reste à dépenser et Mes projets Appli « Soon by Axa banque »
Liste des projets Appli « Crédit agricole »
SOCIALISATION
OCTO TECHNOLOGY > THERE IS A BETTER WAY 21
Support Community by CommonWealth
Bank of Australia Pumpkin Les bons comptes entre amis
by BNP
LUDIFICATION
OCTO TECHNOLOGY > THERE IS A BETTER WAY 22
Transfert d’argent « Flooz »
Savings coach By USAA
2. UNE MÉTHODE POUR CONCEVOIR AVEC ET POUR LES UTILISATEURS : LE LEAN UX
OCTO TECHNOLOGY > THERE IS A BETTER WAY 23
THINK MAKE
COMPRENDRE Prendre connaissance du contexte. Appréhender la Vision produit.
Identifier et définir le problème à résoudre / la cible à atteindre.
RECUEILLIR Recueillir les besoins des utilisateurs via : ¤ La création de personas et/
ou d’un empathy map ¤ Un atelier participatif avec
les « vrais » utilisateurs si possible
Poser les hypothèses de conception et définir les critères de succès associés (KPI)
EXPLORER Explorer différentes pistes de solutions cibles via un atelier participatif :
¤ Live sketching
¤ Restitution au groupe / vote « gommettes »
¤ Itération
MAQUETTER Storyboarder la cible sur la base des fondations définies par le groupe lors des ateliers Concevoir l’habillage graphique de l’écran en ligne avec la charte graphique client et la nature « métier » de l’application
CHECK FEEDBACK MESURER
¤ Collaboration avec les utilisateurs
¤ Déploiement sur un panel
¤ Analyse des KPIs ¤ Identification des ajustements
LES ENJEUX D’UN SERVICE MOBILE DISRUPTIF POUR LA BANQUE
OCTO TECHNOLOGY > THERE IS A BETTER WAY 25
PÉRENNITÉ USAGE CONFIANCE INTÉGRATION
1. Faire face à l’obsolescence
des Apps
2. Proposer une expérience utilisant
pleinement les capacités des Smartphones
3. Garantir la sécurité des données et
les performances
4. S’intégrer au sein d’un écosystème
complexe
1. FAIRE FACE À L’OBSOLESCENCE DES APPS Une équipe dédiée à un produit et non à un projet
OCTO TECHNOLOGY > THERE IS A BETTER WAY 26
Aller plus vite, livrer souvent Suivre les standards des plateformes
¤ Disposer d’une équipe dédiée à un produit mobile permet de livrer souvent des petits lots de fonctionnalités.
¤ Les mises à jour sur les Stores sont cadencées tous les mois avec les fonctionnalités prêtes au moment de la livraison.
¤ Une équipe mobile comprend toute les compétences nécessaires à la réalisation d’une application : développeurs, responsable produit, ergonome, designer etc.
¤ Une équipe focalisée se formant en continu pourra suivre le rythme soutenu des éditeurs Apple, Google et Microsoft.
¤ Les standards des applications évoluent vite et il faut intégrer des mises à niveau régulières, faute de quoi il devient difficile de rattraper ces standards.
¤ Les utilisateurs mobiles souhaitent des mises à jour régulières et sanctionnent durement via les notations et commentaires.
On considère une App comme un produit que l’on fait vivre.
Quelques exemples récents : la mise à jour graphique Material Design, Touch ID
1. FAIRE FACE À L’OBSOLESCENCE DES APPS Architecturer son code pour le rendre modulaire et réutilisable
OCTO TECHNOLOGY > THERE IS A BETTER WAY 27
L’explosion des usages en mobilité a entrainé une augmentation du nombre d’applicatifs mobiles à gérer pour les banques : nouvelles marques, applications satellites ou encore événementielles… Certains invariants techniques comme un composant d’authentification ou un socle de communication avec les WebServices de la banque restent inchangés : Les dupliquer revient à augmenter la complexité et les coûts de maintenance. Investir sur une architecture modulaire favorisant la réutilisabilité de ces invariants
est une réponse à cet enjeu
Rendre son code modulaire
Apps de gestion de compte
Apps satellites
Code commun
Marque A Marque B Marque C
Lifestyle Paiement
1. FAIRE FACE À L’OBSOLESCENCE DES APPS Définir une stratégie de tests
OCTO TECHNOLOGY > THERE IS A BETTER WAY 28
5 DÉFIS
¤ Multiplicité des plateformes dont chacune possède des spécificités matérielles et ergonomiques ¤ Fragmentation des versions, il est nécessaire de supporter et de tester des versions anciennes sur
chacune des plateforme ¤ Les tailles d’écrans sont multiples, derrière le terme « mobile » se cache en fait une fragmentation des
écrans : Wearables, Tablettes… ¤ Les surcouches des constructeurs qui font leur propre version d’Android ¤ Tester en condition de mobilité pour tester la réalité
Définir une stratégie de tests globale
La phase de qualification et de non régression peut s’avérer difficile, une stratégie de tests s’appuie sur une combinaison de différentes pratiques pluridisciplinaires :
Développeurs
¤ Tests unitaires ¤ Tests d’interface
¤ Tests dynamiques
Testeurs
¤ Recette manuelle ¤ Outils de tests
automatisés
Utilisateurs finaux
¤ Versions beta ¤ Tests utilisateurs
¤ Focus groups
1. FAIRE FACE À L’OBSOLESCENCE DES APPS Automatiser la mesure de la qualité
OCTO TECHNOLOGY > THERE IS A BETTER WAY 29
Compilation
Contrôles
Distribution Usine d’intégration continue
Une usine logicielle est un automate permettant de recompiler les applications mobiles et d’effectuer les tests qualités en continu. C’est un processus déterministe qui prévient de toute erreur humaine pour : ¤ S’assurer que les sources sont bien livrées ¤ Recompiler l’application avec le certificat de l’entreprise ¤ Automatiser et mesurer les contrôles qualité Il n’est pas nécessaire de faire la maintenance de ce serveur puisque des solutions sont disponibles aujourd’hui dans le cloud
¤ Cf. http://blog.octo.com/forces-faiblesses-udd-android-dans-le-cloud /
Mesurer la qualité du code
2. UTILISER LES CAPACITÉS DES SMARTPHONES La rupture technologique des mobiles
OCTO TECHNOLOGY > THERE IS A BETTER WAY 30
Les Apps mobiles ont bousculé les technologies Web
Le retour du client lourd
La nécessité du mode hors ligne
La distribution via les Stores (publics ou privés)
Des capacités accrues
2. UTILISER LES CAPACITÉS DES SMARTPHONES Le retour du client lourd
OCTO TECHNOLOGY > THERE IS A BETTER WAY 31
Le mobile a réintroduit le modèle client lourd (dit natif) adhérent aux plateformes éditeur (iOS, Android ou Windows Phone). Il est majoritaire sur les applications grand public qui ont un haut niveau d’exigence en terme d’expérience utilisateur. Il existe également un modèle dit « hybride » qui embarque une WebView au sein d’une application native afin de réduire les coûts du multiplateforme.
Choisir le bon modèle
2. UTILISER LES CAPACITÉS DES SMARTPHONES La nécessité du mode hors-ligne
OCTO TECHNOLOGY > THERE IS A BETTER WAY 32
Base de donnée locale Fichiers mis en cache Cache mémoire
Le mobile doit fonctionner en déconnecté : qu’il s’agisse de simples interruption ou de zones dites blanches (sans réseau), les applications nécessitent d’être conçues avec ces contraintes. Enjeux ¤ Duplication partielle ou totale des données du client sur le Smartphone : soit une
extraction temporaire, soit une recopie complète. ¤ Ne pas sous estimer la synchronisation : souvent compliquée à mettre au point
techniquement.
Concevoir une application autonome
2. UTILISER LES CAPACITÉS DES SMARTPHONES Des capacités accrues
OCTO TECHNOLOGY > THERE IS A BETTER WAY 33
Les applications natives peuvent utiliser pleinement les capacités offertes par les plateformes mobiles ce qui ouvre un champ infini de nouvelles possibilités : ¤ Performances : animations et effets graphiques très poussés pour améliorer
l’expérience utilisateur ¤ Accessibilité : les OS mobiles ont des fonctionnalités dédiées pour faciliter l’utilisation
de personnes avec un handicap ¤ Wearables : lien avec des objets connectés, par exemple la smart watch ¤ Widgets : intégration directement au sein de l’OS sur Android ¤ Cycle de vie : gestion de l’arrière plan, envoi de pushs silencieux
Profiter de toutes les opportunités technologiques des mobiles
2. UTILISER LES CAPACITÉS DES SMARTPHONES La distribution via les Stores (publics ou privés)
OCTO TECHNOLOGY > THERE IS A BETTER WAY 34
Google PlayStore > 1,6 million Apps
Apple AppStore > 1,5 million Apps
Windows Phone Store > 340k Apps
Les Stores d’applications mobiles sont un des enjeux majeurs pour les éditeurs : c’est une grande partie la valeur ajoutée de la plateforme. Le contrôle d’Apple ou Microsoft va jusqu’à un processus de validation strict même pour les mises à jour. Enjeux ¤ Anticiper les délais de validation d’une semaine en moyenne ¤ Contrôler l’accès à des clients qui utilisent des versions trop anciennes puisque la mise
à jour ne peut être forcée ¤ Inciter les utilisateurs à mettre à jour durant une ou deux versions avant de leur bloquer
l’accès
Accepter la perte de contrôle sur le déploiement
3. GARANTIR SÉCURITÉ ET PERFORMANCES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 35
La sécurité est la préoccupation principale des banques
¤ Une architecture basée sur un découpage en zones réseaux
¤ Les appels de service sont sécurisés par un mécanisme de jeton (Token passé en Cookie des requêtes HTTP)
1 - Sécuriser les échanges
¤ Adapter et mesurer le niveau d’authentification demandé en fonction des services proposés pour ne pas contraindre l’utilisateur
2 – Sécuriser les accès
¤ Anticiper les bonnes pratiques développement
3 - Sécuriser les données
3 enjeux majeurs à adresser Les principales menaces sur mobile
¤ 1 - Stockage de données non sécurisé
¤ 2 - Faiblesse des contrôles côté serveur
¤ 3 - Protection insuffisante lors du transport des
données
¤ 4 - Injections côté client
¤ 5 - Processus d’authentification et d’autorisation trop
faibles
¤ 6 - Mauvaise gestion des sessions
¤ 7 - Utilisation de fonctionnalités sensibles sans
l’accord express de l’utilisateur
¤ 8 - Fuite de données via des canaux cachés
¤ 9 - Chiffrement affaiblit
¤ 10 - Perte d’informations sensibles
Inte
rnet
Firewall + Reserve Proxy
Firewall + Reserve Proxy
DM
Z LA
N
HTTPS
Serveur Web
Client
Serveur d’Application
Base de données
3. GARANTIR SÉCURITÉ ET PERFORMANCES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 36
Sécuriser les échanges (1/2)
En s’appuyant sur une architecture cible Autour des « PROTOCOLES »
HTTPS ¤ Solution la plus représentée sur mobile ¤ Accès à un site exposé comme un navigateur
classique
VPN ¤ Accès à toutes les ressources de l’entreprise sur son
réseau interne (LAN) ¤ Les communications du terminal peuvent utiliser le
proxy de l’entreprise ¤ Pour sécuriser les terminaux de collaborateurs
Wifi
APN opérateur
APN dédié
3. GARANTIR SÉCURITÉ ET PERFORMANCES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 37
Sécuriser les échanges (2/2)
S’assurer de la confidentialité et de l’authenticité des échanges
Utilisation de protocoles de communications chiffrés (HTTPS) ¤ Une personne ayant accès au trafic du réseau ne va pas être capable de lire ou de modifier les informations échangées
Utilisation d’un mécanisme de vérification de certificats SSL ¤ Permet à l’application de s’assurer que les données sont transmises à la bonne entité. ¤ Prévient des attaques dites « man-in-the-middle »
Application Ordinateur du pirate SI
Intrusion détetée
3. GARANTIR SÉCURITÉ ET PERFORMANCES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 38
Sécuriser les accès
Les principes d’authentification sur mobile
Approches Web « classiques » ¤ Authentification basique par login / mot de passe, des
claviers virtuels ¤ Authentification forte ou authentification à 2 facteurs
(2FA) via SMS
Approche « authentification forte » ¤ Via des « tokens » intégrés :
• YubiKey (clavier USB, iPad seulement) • UniMate, utilise un token sur le port jack
¤ Par biométrie : • Reconnaissance d’empreintes digitales sur iOS
(TouchID) et Android • Reconnaissance faciale • Reconnaissance de signature « tactile »
Approche par « tokens » externes : ¤ RSA SecurID, Smart Cards etc. ¤ C’est une norme dans certains pays Européens
Claviers virtuels (BNP Paribas, ING…)
Authentication web Authentication forte ( SG )
3. GARANTIR SÉCURITÉ ET PERFORMANCES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 39
Sécuriser les accès : Exemple authentification par Token
Authentification avec Token d’accès
Mécanisme d’authentification le plus utilisé : ¤ Simplicité et facilité de mise en œuvre ¤ Des communications chiffrées par HTTPS ¤ Standardisé, ex. OAuth
1 - Le serveur identifie un utilisateur une fois qu’il s’est authentifié sur le système bancaire ¤ Soit par format binaire et peut contenir les informations
nécessaires (date d’expiration, identité) et scellé par une clé privée du serveur
¤ Soit par identifiant unique permettant de retrouver l’utilisateur
2 - La solution d’authentification se charge de générer le token 3 - Lors des appels, la validité du token est systématiquement contrôlée ¤ Il est passé généralement dans les en-têtes de
requête HTTP ou via un cookie
Exemple de Worflow d’implémentation
1 Authentification (login / password) Récup. et stockage du token
3 Appel de service avec token
API
s de
la b
anqu
e
2 Génération du token
Serv
ices
M
obile
s D
onné
es
Authent / Habil
Annuaire
Authent Mobile
Service Métier
Front
3. GARANTIR SÉCURITÉ ET PERFORMANCES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 40
Sécuriser les données
¤ Chiffrer les données sensibles stockées localement ¤ Les applications mobiles sont susceptibles de stocker des données métiers pour implémenter
un cache ou un fonctionnement local. ¤ Ne pas stocker le mot de passe (réauthentification obligatoire)
Stockage
¤ Eviter d’inclure des clés privées dans le code de l’application et les obfusquer avec un mécanisme XOR si c’est strictement nécessaire
¤ Utiliser pour iOS l’espace de stockage chiffré sandboxé par application : Keychain ¤ Implémenter un mécanisme de « lock in-app » ¤ Demander un PIN code lorsque l’application passe en background ou en veille
Développement
¤ Contrôler les champs de saisie de texte pour empêcher l’injection de XML / SQL / XSS ¤ Remplacer les caractères par des étoiles et désactiver l’auto-complétion (utilisée par certains OS
pour « apprendre » de nouveaux mots) ¤ Interdire l’utilisation du copier/coller global pour les données sensibles ¤ Mettre « un voile » avant le passage en background
¤ Exemple: Certains OS mobiles font une capture d’écran avant le passage en background d’une application qui peut persister après la fermeture d’une session. La mitigation de ce risque consiste à créer un « voile noir » ou un logo de l’application au moment ou l’application va passer en arrière plan
Application
3. GARANTIR SÉCURITÉ ET PERFORMANCES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 41
Préserver les back-offices en concevant des applications optimisées
¤ Limiter les appels du téléphone vers le SI bancaire permet d’un coté de consommer moins de données pour l’utilisateur mais aussi de diminuer la charge sur les serveurs de la banque. La sur-utilisation du Mainframe engendre des coûts importants et ces optimisations ont un ROI immédiat.
¤ Un cache de requêtes HTTP permet d’économiser beaucoup d’appels. Le backoffice peut d’ailleurs renvoyer des directives de cache directement au mobile.
¤ Il est possible d’implémenter des règles métier sur le mobile pour mettre à jour les données en session et éviter au maximum de devoir interroger le back-office. Il ne s’agit donc plus simplement de cache mais bien de code dédié et contextualisé.
Diminuer les coûts
¤ Moins le mobile a besoin de consommer des données et plus l’application peut être réactive et proposer une expérience utilisateur optimisée.
¤ Certaines applications bancaires répliquent une partie des données qui sont chiffrées sur le mobile ce qui leur permet de fonctionner hors ligne.
Améliorer l’expérience utilisateur
Concevoir des caches « intelligents » coté Front pour
4. MAITRISER L’ÉCOSYSTÈME MOBILE
OCTO TECHNOLOGY > THERE IS A BETTER WAY 42
Un écosystème complexe de SDKs et d’APIs
Les applications mobiles se sont complexifiées et doivent s’intégrer aujourd’hui dans des systèmes qui vont fournir du code à embarquer sous forme de SDK (kit de développement fourni par un tiers) et des APIs exposant les données à afficher.
SDKs
API Bancaire
PI Partenaire
Editeur SaaS
Web Services
4. MAITRISER L’ÉCOSYSTÈME MOBILE
OCTO TECHNOLOGY > THERE IS A BETTER WAY 43
Un écosystème complexe d’outils
Tests A/B
Analytics
Feedback In-App
Push Notifications
Distribution beta
Fonctionnalités Tierces
Crash Reporter
¤ Une grande partie de l’intelligence des applications provient de ces SDKS tiers poussés à la fois par les équipes techniques ou métiers
¤ Plus impactant qu’une intégration via un simple WebServices ils engendrent une adhérence avec l’application hôte et nécessitent une recompilation
¤ Ils sont indispensables pour mesurer et comprendre les usages des utilisateurs mais non maîtrisés ils peuvent :
¤ Augmenter la taille du binaire final ¤ Rajouter une adhérence
à des versions du système ¤ Être responsable
de crashes
4. MAITRISER L’ÉCOSYSTÈME MOBILE
OCTO TECHNOLOGY > THERE IS A BETTER WAY 44
La majorité des données provient des APIs bancaires ou partenaires
Vers une ouverture des SI..
¤ Les architectures orientées services sont un modèle d’architecture bien antérieur au mobile
¤ Cependant, nous observons que les architectures évoluent et s’orientent vers des SI plus adaptés au monde mobile :
¤ Passant du monolithique mainframe au monde distribué, les SI se sont déjà progressivement ouverts
Vers une accélération de l’exposition
¤ Les besoins des mobiles en données du SI n’ont fait que renforcer cette tendance à l’accélération de l’exposition
¤ Les besoins modernes de transparence, de partage et de collaboration mettent l’accent aujourd’hui sur des architectures ouvertes, type OpenAPI, OpenData
¤ La gouvernance de ces APIs seront des enjeux demain
“All service interfaces, without exception, must be designed from the ground up to be externalizable. That is to say, the team must plan and design to be able to expose the interface to developers in the outside world. No exceptions. Anyone who doesn't do this will be fired”
Jeff Bezos memo @Amazon in 2005
EXPOSITION DES SERVICES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 45
Les principes directeurs d’une plateforme de service
EXPOSITION
TESTS
PRODUCTION
CONCEPTION ET IMPLEMENATTION
Stabilité de l’API Format d’exposition adapté aux contraintes du mobile Versionning
Monitoring et alertes Documentation
Services sans états Optimisation des invocations Gouvernance Design for failure
Tests automatisés Tests de performance
systématiques Les mocks sont fournis par le
producteur du service
LES PROCHAINS CHAPITRES
OCTO TECHNOLOGY > THERE IS A BETTER WAY 46
Chapitre 2 : Innovation
SORTIE
21 MARS
Chapitre 3 : Les API
SORTIE
04 AVRIL
Chapitre 4 : La data
SORTIE
18 AVRIL
UN MODÈLE D’INNOVATION EFFICACE Transformer l’organisation traditionnelle en mettant en place un cycle d’innovation dans la durée : organisation, méthodologie, UX Design.
OUVERTURE SUR L’ECOSYSTEME : LA MISE EN PLACE DES API Accélérer l’exposition des services via des API pour s’intégrer à l’écosystème dans une logique d’open banking.
UNE ORGANISATION DATA DRIVEN Définir une gouvernance de la donnée afin de garantir à l’utilisateur la meilleure expérience et la sécurité des accès, des échanges et du stockage de données.
Cabinet de conseil IT There is a better way
OCTO ACCOMPAGNE SES CLIEN+S DANS
LEUR PROJET DE transformation numérique. NOUS SOMMES CONVAINCUS QUE
LA +ECHNOLOGIE EST au coeur DE CETTE
MUTATION.
NOUS CROYONS QUE l'informatiqueTRANSFORME NOS SOCIÉTÉS
NOUS SAVONS QUE LES réalisations marquantesSONT LE FRUIT DU partage DES SAVOIRS
ET DU PLAISIR À +RAVAILLER ENSEMBLE
NOUS recherchons EN PERMANENCEDE MEILLEURES façons DE FAIRE
KEY FIGURES
17 years of profitable, continuous growth
Listed on the Paris Stock Exchange since 2006
38 M€ in Sales
245 consultants, architects, experts and methodology coaches Strategic independence and financial strength
Qui sommes-nous ?
48 OCTO TECHNOLOGY > THERE IS A BETTER WAY