VERS UNE BANQUE MOBILE ? CHAPITRE 1 : Concevoir un produit bancaire remarquable

50 AVENUE DES CHAMPS-ÉLYSÉES 75008 PARIS > FRANCE > WWW.OCTO.COM

VERS UNE BANQUE MOBILE… CHAPITRE 1 Concevoir une app mobile bancaire

Notice Couverture Texte Polices : -  Titre : Arial – 18pts -  Sous-titre : Arial – 18pts

THIBAULT PETITJEAN Mobile consultant specialist 06 46 52 35 79 [email protected]

OLIVIER MARTIN Head of Mobile 06 20 66 71 21 [email protected]

SOPHIE MUTO Head of UX 06 18 72 18 00 [email protected]

LE MOBILE EST DEVENU UN ENJEU STRATÉGIQUE POUR LA BANQUE

OCTO TECHNOLOGY > THERE IS A BETTER WAY 2

Les clients sont devenus digitaux : ¤  Les clients en France réalisent plus de 60% de

leurs opérations bancaires sur des canaux digitaux

Le mobile comme premier canal d’interaction ¤  Le mobile est devenu le canal le plus utilisé pour

les interactions avec sa banque

Le mobile se développe rapidement ¤  Le pourcentage des clients qui ont utilisé une

application bancaire au cours du dernier trimestre a augmenté de 10 points en 1 an

La relation humaine reste importante pour des problématiques « complexes » : ¤  Plus de la moitié des clients restent des utilisateurs

omnicanal : web et finalisation en agence pour les opérations de types : prêt immobilier, prêt à la consommation …

Faire face à une concurrence accrue sur le mobile ¤  Multiplication des offres de banque 100% mobile

(Hello Bank, Soon, Boursorama) ¤  Une forte concurrence sur mobile en provenance

des FinTech (ex: Bankin, Linxo, Number 26, Simple..)

¤  Le mobile et les tablettes au cœur des plans de communication des banques.

¤  Un focus important des banques « traditionnelles » sur leurs applications mobiles core business avec une accélération des investissements dans les mois et années à venir.

* Bain- Customer Loyalty in Retail Banking: Global edition 2014

Les français utilisent le mobile pour la gestion des activités bancaires*

Une intensité concurrentielle qui se modifie


Multiplication des canaux Omnicanalité Nouveaux usages

LE MOBILE AU-CŒUR DE LA TRANSFORMATION DE LA RELATION CLIENT

Agences

Web

Mobile

IOT

Reproduction des services financiers sur les autres canaux

Intégration des canaux Repenser les services

++

Point de contact principal pour les clients en 2014

Canaux primordiaux et complémentaires pour créer

de nouveaux usages

Le mobile au-delà d’être un simple canal supplémentaire, doit offrir un usage spécifique ainsi qu’une expérience utilisateur contextualisée

Temps

Maturité des

banques


RÉUSSIR VOTRE STRATEGIE MOBILE DANS L’UNIVERS BANCAIRE

CONCEVOIR UNE VISION PRODUIT

CONCEVOIR UNE EXPERIENCE UTILISATEUR

CONCEVOIR UN SOCLE TECHNIQUE ADAPTÉ

1 2 3

¤  Proposer des services focalisés sur l’usage et de plus en plus personnalisés pour répondre à un besoin client

¤  Enchanter l’utilisateur au travers d’une expérience en rupture avec les codes habituels du monde bancaire

¤  Alléger la charge émotionnelle et refléter les situations de vie

¤  Engager la dialogue !

¤  Faire face à l’enjeu de sécurité des échanges, des accès et des données

¤  Accélérer l’exposition des services pour s’intégrer dans l’écosystème mobile

> 01 CONCEVOIR UNE VISION PRODUIT EN LIEN AVEC LES USAGES

1. UNE VISION DU PRODUIT MOBILE EN MUTATION ET EN LIEN AVEC L’EVOLUTION DES USAGES


Des services financiers sur mobile : on reproduit sur mobile les services financiers proposés sur le web et en agence Compte mobile : première étape vers une contextualisation des services, on agrège sur le mobile un certain nombre de services qui permettent de gérer son « portefeuille »

¤  Le compte est un portemonnaie virtuel ¤  Une carte de paiement est associée au compte (carte prépayée

dans certains cas) ¤  Le portemonnaie virtuel permet l’agrégation de plusieurs cartes

de paiement ou de cartes de fidélité ¤  L’ouverture de compte est possible depuis le mobile ¤  Possibilité de création de sous-comptes, pour gérer plusieurs

cartes ou plusieurs budgets

Focus produit transaction

2008

2011

2015 Vers une banque contextuelle et personnalisée ciblée sur les besoins et les usages du client

Vers une gestion de l’omnicanalité de plus en plus optimisée :

¤  Autoriser l’interruption et la reprise des parcours d’un canal à un autre ¤  Proposer une expérience client continue entre les canaux qui apporte valeur et satisfaction

Focus Produit expérience client


1. DES TRAJECTOIRES PRODUITS MULTIPLES MAIS DE PLUS EN PLUS CONTEXTUALISÉES AUX USAGES

Une banque personnelle grâce au mobile

Coaching : J’ai un assistant personnel qui m’accompagne au quotidien dans tous mes projets et mes besoins et me coache dans mes finances. Contextualisation : Les services financiers sont proposés en fonction de mes besoins à un instant T dans une situation donnée. Ultra-personnalisation : On me propose uniquement et exactement ce que je veux en fonction d'une connaissance affinée de mon profil. Anticipation : Grâce à la connaissance poussée de mon profil, on détecte à l'avance mes besoins et mes problèmes Automatisation : Je n’ai plus rien à faire, tout est proposé en mode proactif ou automatisé, je fais toutes mes opérations en un clic, voire même sans m’en rendre compte.

La réalité Une révolution est en marche et de nombreuses fintech se positionnent sur des usages spécifiques


COACHING

Le constat Les pistes de réflexion

J’ai un assistant personnel qui m’accompagne au quotidien dans tous mes projets et mes besoins et me coache dans mes finances.

Ils montrent la voie…

¤  Des services financiers toujours constitués autour du compte (orientés transactions et produits) et laissant l’utilisateur être actif en fonction de ses besoins

¤  Apporter de la valeur ajoutée aux projets des clients travers de services mobiles dédiés

¤  Enrichir les applications existantes avec des fonctionnalités nouvelles, rendues possibles grâce au mobile

Contexte : ¤  Westpac home finder , est une application indépendante

qui permet de gérer l’ensemble des démarches : de la recherche jusqu’à la demande de financement en fonction du profil financier

Objectif : ¤  L'objectif est de capitaliser sur la connaissance du client

afin de mieux répondre à ses attentes et de l’accompagner tout au long de son projet de manière personnalisée


CONTEXTUALISATION



¤  Les capacités du mobile sont peu exploitées et se limitent souvent à la géolocalisation d'agence

¤  Prendre en compte le contexte peut amener à repenser totalement un produit ou une offre ( ex: épargne)

¤  Loin d'aller vers des notifications intrusives, il faut replacer le service dans une optique d’usage

Mix entre anticipation et temps réel ¤  Hip Money, détermine en temps

réel la capacité d’épargne et suggère par des notifications quotidiennes de mettre de coté la somme calculée en lui laissant la décision finale.

¤  L’utilisateur anticipe et définit ses projets d’avenir: voyage, achat, remboursement…accompagnés d’un objet, d’un montant et d’une échéance

Epargne d’impulsion ¤  BirdyCent offre un service de

micro-épargne innovant et indolore.

¤  Chaque jour, on épargne l’arrondi à l’euro supérieur de vos dépenses réalisées par carte bancaire et ceci alimente des tirelires digitales

Le contexte permet d’utiliser les services financiers différemment, de trouver un équilibre entre automatisation, anticipation, temps réel et engagement client




¤  Des pans entiers de clients sont délaissés par les banques, loin de la personnalisation, le mobile sert aujourd'hui dans la plupart des cas à offrir des services basiques aux client particuliers.

¤  Détecter les opportunités nouvelles en s’intéressant aux douleurs spécifiques des clients avec une approche par persona.

¤  S'intéresser aux douleurs de tout type de clientèle : TPE, entreprises, professionnels et étudiants.

On me propose uniquement et exactement ce que je veux en fonction d'une connaissance affinée du client.

Loot : une banque pour les étudiants ¤  Loot est une banque dédiée aux

étudiants étrangers arrivant au royaume unie.

¤  Elle est ultra personnalisée au besoin de cette cible en attente de service abordable, simple et accessible.

¤  Le service est imbattable d’un point de vue concurrentiel : PFM, démarche simplifiée, frais réduit de transfert de fonds à l’étranger, carte sans contact permettant de prendre les transports en commun londonien…

Seed : un banque pour les entreprises ¤  SEED est une banque dédiée aux

entreprises qui propose une plateforme ouverte, moderne.

¤  Les maitres mots sont qualité de service, design et technologie afin de devenir la 1ère banque communautaire du 21ème siècle totalement ouverte en donnant à disposition des API personnalisables.

ULTRA-PERSONNALISATION




¤  Difficultés pour les banques de détecter des besoins en dehors des relations directes avec la banque.

¤  Même la multibancarisation reste compliquée à détecter.

¤  L'ouverture de la banque (autres banques, autres industries) permettrait d'enrichir la connaissance client.

¤  Amener le client au travers des fonctionnalités à forte valeur ajoutée à partager lui-même ses besoins, permet de mieux les détecter et d’anticiper le meilleur moment pour effectuer une opération.

ANTICIPATION

Grâce à la connaissance poussée des clients on détecte à l'avance mes besoins et mes problèmes

¤  L’application propose d’alerter la personne concernée lorsque c’est le moment d’effectuer son transfert d’argent à l’étranger, en fonction du marché quotidien des taux de change.

¤  Il s’agit d’un algorithme dédié aux modèles de taux de change qui lui permet de repérer les variations et d’identifier ainsi le meilleur moment pour faire le virement.




¤  L'automatisation et la facilité de consommation des services financiers ne passera pas par la gestion de compte et des produits financiers mais par l'intégration des services financiers à un usage.

¤  Penser usage et se détacher de la tenue de compte. ¤  Intégrer les services financiers mobiles dans un écosystème

global.

AUTOMATISATION

Je n’ai plus rien à faire, tout est proposé en mode proactif ou automatisé, on réfléchit à ma place, je fais toutes mes opérations en un clic, voire même sans m’en rendre compte.

¤  Clink offre une solution d'épargne automatique adossée à un robot d'investissement. ¤  L'utilisateur va pouvoir connecter son compte courant et décider d'allouer

automatiquement une somme donnée à intervalles réguliers (à partir de 1 dollar 2 fois par semaine).

¤  Il lui est également proposé de connecter sa carte de crédit, sur laquelle il va alors définir un pourcentage de ses dépenses de restaurant ou de ses achats en ligne qui sera prélevé et investi pour lui.

Clink

1. COMMENT VALIDER VOS HYPOTHÈSES PRODUIT ET VOS IDÉES RAPIDEMENT


Un outil pour concevoir la première brique de votre produit : Le Minimum Viable Product (MVP), c’est le produit minimum le plus simple et rapide à construire que l’on

peut mettre dans les mains des utilisateurs pour créer de la valeur et récolter du feedback

2

¤  Economie dans l’échec (on s’arrête à temps) ¤  Satisfaction clients (embarqués dans la démarche

de construction de la Vision) ¤  Méthode mesurable basée sur des validations

d’hypothèses : permet de justifier l’ensemble des choix pris

Une méthode pour accélérer votre Time-to-Market : Adopter une approche lean !

1

¤  Valider le besoin utilisateur ¤  Tester plusieurs idées en parallèle ¤  Piloter par la mesure ¤  Echouer rapidement pour apprendre un maximum ¤  Reprioriser régulièrement

Principe Gain

Identifier un problème

Découverte du client 1

Générer de la demande

Enrichissement du produit 3 Industrialisation 4 Validation

du client 2

Concevoir le Produit minimal (MVP)

Réadapter Le produit

> 02 CONCEVOIR VOTRE EXPÉRIENCE UTILISATEUR

L’IMPORTANCE DE L’UX POUR LA BANQUE

¤  Une perception négative du système bancaire par les consommateurs

¤  Du pessimisme apporté par la crise économique, les banques vues comme responsables

¤  Une gestion de compte qui est perçue comme une corvée

¤  Un rapport à l’argent source de stress et anxiogène ¤  Une perception des banques comme « fournisseur

de produits » et non comme un partenaire de confiance sur les grandes étapes de la vie

¤  Rassurer l’utilisateur sur la sécurité : proposer une authentification garantissant sécurité et simplicité d’accès

¤  Engager le dialogue avec le principal canal d’interaction sur mobile : les notifications push

¤  Tenter le ludique pour évacuer le fastidieux ¤  Alléger la charge émotionnelle liée au stress et à

l’anxiété de la gestion bancaire : « je gère ma vie » ¤  Proposer une expérience client continue :

omnicanale, stable et cohérente à tous les points de contact

La banque est un univers particulier : elle offre des services qui peuvent s’apprécier mais sont intangibles. L’image que le consommateur s’en fait provient de l’expérience client et des signes émis par la banque.

Une perception négative de la banque et des services financiers

Rétablir la confiance entre les banques et le client


L’UX PERMET DE FAVORISER L’ENGAGEMENT DU CLIENT AU DELÀ D’UNE SIMPLE OFFRE DE SERVICE

16

Design ¤  Vers une simplification du design ¤  Personnalisation des interfaces avec des mises en avant des informations

essentielles

¤  Restituer les données de manière compréhensible, valoriser les graphiques, favoriser l’appropriation par l’utilisateur

¤  Proposer un suivi de comptes « intelligent » agrégation de comptes, enrichissement des données sur les transactions, analyses des données

¤  Possibilité de gérer les processus de bout en bout quelque soit le canal (ex: souscription sur mobile)

¤  Une expérience fluide d’un canal à un autre (ex: rentrer dans un processus d’achat grâce à son mobile)

Enrichissement de la donnée

Omnicanal

Proposer un design adapté aux nouveaux usages

Donner un sens ¤  Une approche par « reste à dépenser » plutôt que par solde ¤  Une approche par « projet de vie » plutôt que par produit bancaire

¤  Dédramatiser le rapport à l’argent grâce à la gamification ¤  Apporter une touche émotionnelle (ex: j’ai aimé ma dépense) ¤  Introduire des systèmes de rewards, de points

¤  Communiquer avec les utilisateurs via le principal canal d’interaction sur mobile : les notifications push

¤  Partager sur les réseaux sociaux pour rendre un objectif concret et trouver du soutien (ex: objectif d’épargne)

Ludification

Engager la communication

Introduire de l’émotionnel et de l’engagement dans le rapport à l’argent

DESIGN : VERS UNE SIMPLIFICATION DES INTERFACES


Simplification du design Appli « Société générale »

Simplification du design Appli« MesComptes » by BNP »

ENRICHISSEMENT DE LA DONNÉE


Enrichissement des dépenses (ajout de photo, de document)

Appli « Moven » Visualisation des données

Appli « Bankin »

OMNICANALITÉ: PARCOURS DE SOUSCRIPTION


Parcours de souscription 100% mobile Appli « Hello Bank »

DONNER DU SENS: CONCRÉTISER LA GESTION DE SON ARGENT


Reste à dépenser et Mes projets Appli « Soon by Axa banque »

Liste des projets Appli « Crédit agricole »

SOCIALISATION


Support Community by CommonWealth

Bank of Australia Pumpkin Les bons comptes entre amis

by BNP

LUDIFICATION


Transfert d’argent « Flooz »

Savings coach By USAA

2. UNE MÉTHODE POUR CONCEVOIR AVEC ET POUR LES UTILISATEURS : LE LEAN UX


THINK MAKE

COMPRENDRE Prendre connaissance du contexte. Appréhender la Vision produit.

Identifier et définir le problème à résoudre / la cible à atteindre.

RECUEILLIR Recueillir les besoins des utilisateurs via : ¤  La création de personas et/

ou d’un empathy map ¤  Un atelier participatif avec

les « vrais » utilisateurs si possible

Poser les hypothèses de conception et définir les critères de succès associés (KPI)

EXPLORER Explorer différentes pistes de solutions cibles via un atelier participatif :

¤  Live sketching

¤  Restitution au groupe / vote « gommettes »

¤  Itération

MAQUETTER Storyboarder la cible sur la base des fondations définies par le groupe lors des ateliers Concevoir l’habillage graphique de l’écran en ligne avec la charte graphique client et la nature « métier » de l’application

CHECK FEEDBACK MESURER

¤  Collaboration avec les utilisateurs

¤  Déploiement sur un panel

¤  Analyse des KPIs ¤  Identification des ajustements

> 03 CONCEVOIR UN SOCLE TECHNIQUE ADAPTÉ AU MONDE MOBILE

LES ENJEUX D’UN SERVICE MOBILE DISRUPTIF POUR LA BANQUE


PÉRENNITÉ USAGE CONFIANCE INTÉGRATION

1. Faire face à l’obsolescence

des Apps

2. Proposer une expérience utilisant

pleinement les capacités des Smartphones

3. Garantir la sécurité des données et

les performances

4. S’intégrer au sein d’un écosystème

complexe

1. FAIRE FACE À L’OBSOLESCENCE DES APPS Une équipe dédiée à un produit et non à un projet


Aller plus vite, livrer souvent Suivre les standards des plateformes

¤  Disposer d’une équipe dédiée à un produit mobile permet de livrer souvent des petits lots de fonctionnalités.

¤  Les mises à jour sur les Stores sont cadencées tous les mois avec les fonctionnalités prêtes au moment de la livraison.

¤  Une équipe mobile comprend toute les compétences nécessaires à la réalisation d’une application : développeurs, responsable produit, ergonome, designer etc.

¤  Une équipe focalisée se formant en continu pourra suivre le rythme soutenu des éditeurs Apple, Google et Microsoft.

¤  Les standards des applications évoluent vite et il faut intégrer des mises à niveau régulières, faute de quoi il devient difficile de rattraper ces standards.

¤  Les utilisateurs mobiles souhaitent des mises à jour régulières et sanctionnent durement via les notations et commentaires.

On considère une App comme un produit que l’on fait vivre.

Quelques exemples récents : la mise à jour graphique Material Design, Touch ID

1. FAIRE FACE À L’OBSOLESCENCE DES APPS Architecturer son code pour le rendre modulaire et réutilisable


L’explosion des usages en mobilité a entrainé une augmentation du nombre d’applicatifs mobiles à gérer pour les banques : nouvelles marques, applications satellites ou encore événementielles… Certains invariants techniques comme un composant d’authentification ou un socle de communication avec les WebServices de la banque restent inchangés : Les dupliquer revient à augmenter la complexité et les coûts de maintenance. Investir sur une architecture modulaire favorisant la réutilisabilité de ces invariants

est une réponse à cet enjeu

Rendre son code modulaire

Apps de gestion de compte

Apps satellites

Code commun

Marque A Marque B Marque C

Lifestyle Paiement

1. FAIRE FACE À L’OBSOLESCENCE DES APPS Définir une stratégie de tests


5 DÉFIS

¤  Multiplicité des plateformes dont chacune possède des spécificités matérielles et ergonomiques ¤  Fragmentation des versions, il est nécessaire de supporter et de tester des versions anciennes sur

chacune des plateforme ¤  Les tailles d’écrans sont multiples, derrière le terme « mobile » se cache en fait une fragmentation des

écrans : Wearables, Tablettes… ¤  Les surcouches des constructeurs qui font leur propre version d’Android ¤  Tester en condition de mobilité pour tester la réalité

Définir une stratégie de tests globale

La phase de qualification et de non régression peut s’avérer difficile, une stratégie de tests s’appuie sur une combinaison de différentes pratiques pluridisciplinaires :

Développeurs

¤  Tests unitaires ¤  Tests d’interface

¤  Tests dynamiques

Testeurs

¤  Recette manuelle ¤  Outils de tests

automatisés

Utilisateurs finaux

¤  Versions beta ¤  Tests utilisateurs

¤  Focus groups

1. FAIRE FACE À L’OBSOLESCENCE DES APPS Automatiser la mesure de la qualité


Compilation

Contrôles

Distribution Usine d’intégration continue

Une usine logicielle est un automate permettant de recompiler les applications mobiles et d’effectuer les tests qualités en continu. C’est un processus déterministe qui prévient de toute erreur humaine pour : ¤  S’assurer que les sources sont bien livrées ¤  Recompiler l’application avec le certificat de l’entreprise ¤  Automatiser et mesurer les contrôles qualité Il n’est pas nécessaire de faire la maintenance de ce serveur puisque des solutions sont disponibles aujourd’hui dans le cloud

¤  Cf. http://blog.octo.com/forces-faiblesses-udd-android-dans-le-cloud /

Mesurer la qualité du code

2. UTILISER LES CAPACITÉS DES SMARTPHONES La rupture technologique des mobiles


Les Apps mobiles ont bousculé les technologies Web

Le retour du client lourd

La nécessité du mode hors ligne

La distribution via les Stores (publics ou privés)

Des capacités accrues

2. UTILISER LES CAPACITÉS DES SMARTPHONES Le retour du client lourd


Le mobile a réintroduit le modèle client lourd (dit natif) adhérent aux plateformes éditeur (iOS, Android ou Windows Phone). Il est majoritaire sur les applications grand public qui ont un haut niveau d’exigence en terme d’expérience utilisateur. Il existe également un modèle dit « hybride » qui embarque une WebView au sein d’une application native afin de réduire les coûts du multiplateforme.

Choisir le bon modèle

2. UTILISER LES CAPACITÉS DES SMARTPHONES La nécessité du mode hors-ligne


Base de donnée locale Fichiers mis en cache Cache mémoire

Le mobile doit fonctionner en déconnecté : qu’il s’agisse de simples interruption ou de zones dites blanches (sans réseau), les applications nécessitent d’être conçues avec ces contraintes. Enjeux ¤  Duplication partielle ou totale des données du client sur le Smartphone : soit une

extraction temporaire, soit une recopie complète. ¤  Ne pas sous estimer la synchronisation : souvent compliquée à mettre au point

techniquement.

Concevoir une application autonome

2. UTILISER LES CAPACITÉS DES SMARTPHONES Des capacités accrues


Les applications natives peuvent utiliser pleinement les capacités offertes par les plateformes mobiles ce qui ouvre un champ infini de nouvelles possibilités : ¤  Performances : animations et effets graphiques très poussés pour améliorer

l’expérience utilisateur ¤  Accessibilité : les OS mobiles ont des fonctionnalités dédiées pour faciliter l’utilisation

de personnes avec un handicap ¤  Wearables : lien avec des objets connectés, par exemple la smart watch ¤  Widgets : intégration directement au sein de l’OS sur Android ¤  Cycle de vie : gestion de l’arrière plan, envoi de pushs silencieux

Profiter de toutes les opportunités technologiques des mobiles

2. UTILISER LES CAPACITÉS DES SMARTPHONES La distribution via les Stores (publics ou privés)


Google PlayStore > 1,6 million Apps

Apple AppStore > 1,5 million Apps

Windows Phone Store > 340k Apps

Les Stores d’applications mobiles sont un des enjeux majeurs pour les éditeurs : c’est une grande partie la valeur ajoutée de la plateforme. Le contrôle d’Apple ou Microsoft va jusqu’à un processus de validation strict même pour les mises à jour. Enjeux ¤  Anticiper les délais de validation d’une semaine en moyenne ¤  Contrôler l’accès à des clients qui utilisent des versions trop anciennes puisque la mise

à jour ne peut être forcée ¤  Inciter les utilisateurs à mettre à jour durant une ou deux versions avant de leur bloquer

l’accès

Accepter la perte de contrôle sur le déploiement

3. GARANTIR SÉCURITÉ ET PERFORMANCES


La sécurité est la préoccupation principale des banques

¤  Une architecture basée sur un découpage en zones réseaux

¤  Les appels de service sont sécurisés par un mécanisme de jeton (Token passé en Cookie des requêtes HTTP)

1 - Sécuriser les échanges

¤  Adapter et mesurer le niveau d’authentification demandé en fonction des services proposés pour ne pas contraindre l’utilisateur

2 – Sécuriser les accès

¤  Anticiper les bonnes pratiques développement

3 - Sécuriser les données

3 enjeux majeurs à adresser Les principales menaces sur mobile

¤  1 - Stockage de données non sécurisé

¤  2 - Faiblesse des contrôles côté serveur

¤  3 - Protection insuffisante lors du transport des

données

¤  4 - Injections côté client

¤  5 - Processus d’authentification et d’autorisation trop

faibles

¤  6 - Mauvaise gestion des sessions

¤  7 - Utilisation de fonctionnalités sensibles sans

l’accord express de l’utilisateur

¤  8 - Fuite de données via des canaux cachés

¤  9 - Chiffrement affaiblit

¤  10 - Perte d’informations sensibles

Inte

rnet

Firewall + Reserve Proxy

Firewall + Reserve Proxy

DM

Z LA

N

HTTPS

Serveur Web

Client

Serveur d’Application

Base de données



Sécuriser les échanges (1/2)

En s’appuyant sur une architecture cible Autour des « PROTOCOLES »

HTTPS ¤  Solution la plus représentée sur mobile ¤  Accès à un site exposé comme un navigateur

classique

VPN ¤  Accès à toutes les ressources de l’entreprise sur son

réseau interne (LAN) ¤  Les communications du terminal peuvent utiliser le

proxy de l’entreprise ¤  Pour sécuriser les terminaux de collaborateurs

Wifi

APN opérateur

APN dédié



Sécuriser les échanges (2/2)

S’assurer de la confidentialité et de l’authenticité des échanges

Utilisation de protocoles de communications chiffrés (HTTPS) ¤  Une personne ayant accès au trafic du réseau ne va pas être capable de lire ou de modifier les informations échangées

Utilisation d’un mécanisme de vérification de certificats SSL ¤  Permet à l’application de s’assurer que les données sont transmises à la bonne entité. ¤  Prévient des attaques dites « man-in-the-middle »

Application Ordinateur du pirate SI

Intrusion détetée



Sécuriser les accès

Les principes d’authentification sur mobile

Approches Web « classiques » ¤  Authentification basique par login / mot de passe, des

claviers virtuels ¤  Authentification forte ou authentification à 2 facteurs

(2FA) via SMS

Approche « authentification forte » ¤  Via des « tokens » intégrés :

•  YubiKey (clavier USB, iPad seulement) •  UniMate, utilise un token sur le port jack

¤  Par biométrie : •  Reconnaissance d’empreintes digitales sur iOS

(TouchID) et Android •  Reconnaissance faciale •  Reconnaissance de signature « tactile »

Approche par « tokens » externes : ¤  RSA SecurID, Smart Cards etc. ¤  C’est une norme dans certains pays Européens

Claviers virtuels (BNP Paribas, ING…)

Authentication web Authentication forte ( SG )



Sécuriser les accès : Exemple authentification par Token

Authentification avec Token d’accès

Mécanisme d’authentification le plus utilisé : ¤  Simplicité et facilité de mise en œuvre ¤  Des communications chiffrées par HTTPS ¤  Standardisé, ex. OAuth

1 - Le serveur identifie un utilisateur une fois qu’il s’est authentifié sur le système bancaire ¤  Soit par format binaire et peut contenir les informations

nécessaires (date d’expiration, identité) et scellé par une clé privée du serveur

¤  Soit par identifiant unique permettant de retrouver l’utilisateur

2 - La solution d’authentification se charge de générer le token 3 - Lors des appels, la validité du token est systématiquement contrôlée ¤  Il est passé généralement dans les en-têtes de

requête HTTP ou via un cookie

Exemple de Worflow d’implémentation

1 Authentification (login / password) Récup. et stockage du token

3 Appel de service avec token

API

s de

la b

anqu

e

2 Génération du token

Serv

ices

M

obile

s D

onné

es

Authent / Habil

Annuaire

Authent Mobile

Service Métier

Front



Sécuriser les données

¤  Chiffrer les données sensibles stockées localement ¤  Les applications mobiles sont susceptibles de stocker des données métiers pour implémenter

un cache ou un fonctionnement local. ¤  Ne pas stocker le mot de passe (réauthentification obligatoire)

Stockage

¤  Eviter d’inclure des clés privées dans le code de l’application et les obfusquer avec un mécanisme XOR si c’est strictement nécessaire

¤  Utiliser pour iOS l’espace de stockage chiffré sandboxé par application : Keychain ¤  Implémenter un mécanisme de « lock in-app » ¤  Demander un PIN code lorsque l’application passe en background ou en veille

Développement

¤  Contrôler les champs de saisie de texte pour empêcher l’injection de XML / SQL / XSS ¤  Remplacer les caractères par des étoiles et désactiver l’auto-complétion (utilisée par certains OS

pour « apprendre » de nouveaux mots) ¤  Interdire l’utilisation du copier/coller global pour les données sensibles ¤  Mettre « un voile » avant le passage en background

¤  Exemple: Certains OS mobiles font une capture d’écran avant le passage en background d’une application qui peut persister après la fermeture d’une session. La mitigation de ce risque consiste à créer un « voile noir » ou un logo de l’application au moment ou l’application va passer en arrière plan

Application



Préserver les back-offices en concevant des applications optimisées

¤  Limiter les appels du téléphone vers le SI bancaire permet d’un coté de consommer moins de données pour l’utilisateur mais aussi de diminuer la charge sur les serveurs de la banque. La sur-utilisation du Mainframe engendre des coûts importants et ces optimisations ont un ROI immédiat.

¤  Un cache de requêtes HTTP permet d’économiser beaucoup d’appels. Le backoffice peut d’ailleurs renvoyer des directives de cache directement au mobile.

¤  Il est possible d’implémenter des règles métier sur le mobile pour mettre à jour les données en session et éviter au maximum de devoir interroger le back-office. Il ne s’agit donc plus simplement de cache mais bien de code dédié et contextualisé.

Diminuer les coûts

¤  Moins le mobile a besoin de consommer des données et plus l’application peut être réactive et proposer une expérience utilisateur optimisée.

¤  Certaines applications bancaires répliquent une partie des données qui sont chiffrées sur le mobile ce qui leur permet de fonctionner hors ligne.

Améliorer l’expérience utilisateur

Concevoir des caches « intelligents » coté Front pour

4. MAITRISER L’ÉCOSYSTÈME MOBILE


Un écosystème complexe de SDKs et d’APIs

Les applications mobiles se sont complexifiées et doivent s’intégrer aujourd’hui dans des systèmes qui vont fournir du code à embarquer sous forme de SDK (kit de développement fourni par un tiers) et des APIs exposant les données à afficher.

SDKs

API Bancaire

PI Partenaire

Editeur SaaS

Web Services



Un écosystème complexe d’outils

Tests A/B

Analytics

Feedback In-App

Push Notifications

Distribution beta

Fonctionnalités Tierces

Crash Reporter

¤  Une grande partie de l’intelligence des applications provient de ces SDKS tiers poussés à la fois par les équipes techniques ou métiers

¤  Plus impactant qu’une intégration via un simple WebServices ils engendrent une adhérence avec l’application hôte et nécessitent une recompilation

¤  Ils sont indispensables pour mesurer et comprendre les usages des utilisateurs mais non maîtrisés ils peuvent :

¤  Augmenter la taille du binaire final ¤  Rajouter une adhérence

à des versions du système ¤  Être responsable

de crashes



La majorité des données provient des APIs bancaires ou partenaires

Vers une ouverture des SI..

¤  Les architectures orientées services sont un modèle d’architecture bien antérieur au mobile

¤  Cependant, nous observons que les architectures évoluent et s’orientent vers des SI plus adaptés au monde mobile :

¤  Passant du monolithique mainframe au monde distribué, les SI se sont déjà progressivement ouverts

Vers une accélération de l’exposition

¤  Les besoins des mobiles en données du SI n’ont fait que renforcer cette tendance à l’accélération de l’exposition

¤  Les besoins modernes de transparence, de partage et de collaboration mettent l’accent aujourd’hui sur des architectures ouvertes, type OpenAPI, OpenData

¤  La gouvernance de ces APIs seront des enjeux demain

“All service interfaces, without exception, must be designed from the ground up to be externalizable. That is to say, the team must plan and design to be able to expose the interface to developers in the outside world. No exceptions. Anyone who doesn't do this will be fired”

Jeff Bezos memo @Amazon in 2005

EXPOSITION DES SERVICES


Les principes directeurs d’une plateforme de service

EXPOSITION

TESTS

PRODUCTION

CONCEPTION ET IMPLEMENATTION

Stabilité de l’API Format d’exposition adapté aux contraintes du mobile Versionning

Monitoring et alertes Documentation

Services sans états Optimisation des invocations Gouvernance Design for failure

Tests automatisés Tests de performance

systématiques Les mocks sont fournis par le

producteur du service

LES PROCHAINS CHAPITRES


Chapitre 2 : Innovation

SORTIE

21 MARS

Chapitre 3 : Les API

SORTIE

04 AVRIL

Chapitre 4 : La data

SORTIE

18 AVRIL

UN MODÈLE D’INNOVATION EFFICACE Transformer l’organisation traditionnelle en mettant en place un cycle d’innovation dans la durée : organisation, méthodologie, UX Design.

OUVERTURE SUR L’ECOSYSTEME : LA MISE EN PLACE DES API Accélérer l’exposition des services via des API pour s’intégrer à l’écosystème dans une logique d’open banking.

UNE ORGANISATION DATA DRIVEN Définir une gouvernance de la donnée afin de garantir à l’utilisateur la meilleure expérience et la sécurité des accès, des échanges et du stockage de données.


SORTIE

04 AVRIL

Cabinet de conseil IT There is a better way

OCTO ACCOMPAGNE SES CLIEN+S DANS

LEUR PROJET DE transformation numérique. NOUS SOMMES CONVAINCUS QUE

LA +ECHNOLOGIE EST au coeur DE CETTE

MUTATION.

NOUS CROYONS QUE l'informatiqueTRANSFORME NOS SOCIÉTÉS

NOUS SAVONS QUE LES réalisations marquantesSONT LE FRUIT DU partage DES SAVOIRS

ET DU PLAISIR À +RAVAILLER ENSEMBLE

NOUS recherchons EN PERMANENCEDE MEILLEURES façons DE FAIRE

KEY FIGURES

17 years of profitable, continuous growth

Listed on the Paris Stock Exchange since 2006

38 M€ in Sales

245 consultants, architects, experts and methodology coaches Strategic independence and financial strength

Qui sommes-nous ?

48 OCTO TECHNOLOGY > THERE IS A BETTER WAY

Economy & Finance

VERS UNE BANQUE MOBILE ? CHAPITRE 1 : Concevoir un produit bancaire remarquable