L'écart de vérification d'identité : pourquoi le KYC lors de l'intégration ne suffit plus

Les organisations de secteurs réglementés prennent généralement l'identité très au sérieux… du moins au départ. Lors de la souscription ou l'intégration, le client doit fournir toutes sortes de documents et peut subir une vérification d'antécédents, voire un contrôle biométrique. Cela fait partie des exigences know-your-customer (KYC) : prouver que quelqu'un est bien celui qu'il prétend être.

Puis, chose étrange, quand ce même client signe un contrat ou un document de prêt, l'authentification est étonnamment faible, se limitant souvent à l'accès à une boîte mail ou à un téléphone. Comment se fait-il que la signature de documents aussi importants soit aussi facile ?

C'est ce qu'on appelle l'écart de vérification d'identité, et c'est l'une des failles les plus simples à exploiter pour la fraude.

Le problème

Vous connaissez déjà l'importance du KYC, alors nous n'allons pas vous assommer de détails. Mais en résumé, voici comment les choses se passent généralement :

• Une organisation, comme une banque ou un cabinet d'avocats, vérifie en profondeur l'identité d'un client au début de la relation. C'est la loi.
• Fiches de paie, documents fiscaux, pièce d'identité avec photo, numéro de sécurité sociale : tout cela est généralement exigé.
• Une fois toutes les vérifications faites, la confiance est établie.

Mais par la suite, les mêmes règles ne semblent plus s'appliquer. Le client reçoit un email, saisit un code à usage unique et signe un contrat par eSignature. Aucun contrôle supplémentaire n'est demandé.

Ici, le KYC passe à la trappe. L'organisation suppose simplement que la personne qui clique sur « signer » est la même que celle vérifiée des mois auparavant. Cette supposition est dangereuse, car les documents de grande valeur ont presque toujours des conséquences juridiques ou financières. Alors pourquoi la vérification est-elle si faible lors de la signature qu'à l'intégration ?

L'écart de vérification d'identité laisse grand ouvert la porte aux fraudeurs, surtout aujourd'hui, où l'intelligence artificielle permet d'usurper l'identité de clients plus facilement que jamais.

Le KYC échoue lors de la signature électronique

Ce qui est inquiétant, c'est que la plupart des processus de signature numérique se contentent de vérifier qu'une personne a accès à un email ou un téléphone. On vérifie rarement l'identité réelle de la personne qui signe.

Cela peut entraîner les problèmes suivants :

• Usurpation de comptes : Une fois qu'un fraudeur prend le contrôle d'une boîte mail, il peut signer tous les documents qui y sont envoyés — contrats, accords de prêt, etc. À ce stade, les contrôles KYC initiaux ne servent plus à rien. L'organisation n'a aucun moyen réel de savoir qui signe.
• Interception de SMS : Les codes envoyés par texto semblent sûrs sur le papier. En pratique, ils sont assez simples à intercepter par un fraudeur, surtout en cas de détournement de numéro via le « SIM swapping ».
• Exploitation de l'authentification multifacteur (MFA) : Même l'authentification multifacteur peut être contournée. Les fraudeurs peuvent pousser vos clients à approuver un accès via des techniques de manipulation.
• Fraude à l'identité synthétique : Dans ce cas, des fraudeurs combinent des données réelles de clients avec de fausses informations pour créer de nouvelles identités capables de passer les contrôles standards.

Quel est le point commun à tous ces scénarios ? Personne ne vérifie réellement qui signe.

Comment l'écart de vérification d'identité impacte votre activité

Lumin et MATTR creusent ce problème en détail dans notre nouveau livre blanc, et ce que nous avons découvert est limpide : l'énorme décalage entre le KYC lors de l'intégration et l'authentification faible à la signature crée de vrais risques pour des entreprises comme la vôtre.

Voici quelques chiffres pour illustrer :

• L'organisation moyenne perd la somme faramineuse de 7 millions de dollars (USD) chaque année à cause de la fraude à l'identité, selon des recherches indépendantes.
• Les litiges juridiques se multiplient lorsque l'authentification de la signature est faible.
• Les cycles de contrats s'allongent quand il faut vérifier manuellement les signatures.
• L'utilisation de contrats papier pour des accords à forte valeur freine la transformation digitale.

Alors, que faire ?

Combler définitivement l'écart de vérification d'identité

Personne ne dit qu'il faut renouveler le KYC à chaque signature de document. Mais la vérification d'identité à la signature doit être tout aussi solide que lors de l'intégration, surtout pour les transactions de grande valeur. Sinon, vous vous exposez aux fraudes et aux retards… précisément ce que les eSignatures devaient éliminer !

Il est temps de dépasser les codes à usage unique et de vraiment confirmer :

• Qui signe
• Ce qui est signé
• Quand c'est signé

La signature numérique vérifiée, disponible avec Lumin Sign, permet tout cela. Elle intègre la vérification d'identité en plein cœur du processus de signature électronique et garantit que chaque signature est sécurisée et juridiquement valable. C'est plus important que jamais à l'heure de l'usurpation par IA.

Plutôt que de supposer, la signature numérique vérifiée s'appuie sur la preuve cryptographique et des identités numériques de confiance. Vos clients s'authentifient par une action biométrique simple et rapide, comme la reconnaissance faciale ou l'empreinte digitale. Le tout ne prend que quelques secondes. Sans prise de tête ni friction.

Le résultat ? Vos contrats et autres documents juridiquement contraignants restent 100 % numériques, mais vous disposez désormais d'une preuve réelle et incontestable de qui signe quoi, et quand.

Pour aller plus loin

Envie d'en savoir plus ? Consultez notre nouveau livre blanc, Sécuriser les accords numériques à l'ère de la fraude par IA.