.png)
Et si le plus grand risque pour une fintech n'était pas la fraude, mais les clients qu'elle perdait en cherchant à s'en protéger ?
Chaque jour, des milliers d'utilisateurs abandonnent une transaction, désinstallent une application ou appellent un support client pour la même raison : ils ne parviennent plus à prouver qu'ils sont bien eux-mêmes à cause d’un mot de passe oublié, d’un code OTP expiré, d’une clé de sécurité égarée ou même d’une application d'authentification désynchronisée.
Ces micro-échecs ne sont pas des anomalies mais le produit direct d'un modèle d'authentification conçu pour les systèmes, pas pour les humains. Et pour une fintech, leur coût est bien plus élevé qu'il n'y paraît.
La friction invisible : un problème que personne ne mesure vraiment
Les équipes produit mesurent le taux de conversion à l'onboarding, le temps de chargement d'une page, le nombre de clics avant paiement. Mais rares sont celles qui quantifient la friction d'authentification en tant qu'indicateur business.
Pourtant, les chiffres existent. Selon Forbes, le coût moyen d'un reset de mot de passe, support inclus, s'élève à environ 70 $ par incident pour une entreprise. Gartner estime que 20 à 50 % des appels au helpdesk concernent des problèmes de mot de passe (cité dans Okta). Et ces estimations ne prennent pas en compte le coût le plus élevé (l'utilisateur qui ne rappelle pas, qui ne réinitialise pas, qui part).
Dans une fintech, ce départ est particulièrement coûteux. L'acquisition d'un client coûte cher, compte tenu de la publicité, du parrainage et de l'onboarding KYC. Un utilisateur qui abandonne au moment de l'authentification, c'est un investissement d'acquisition perdu en totalité, sans qu'une transaction ait même eu lieu.
Pourquoi les solutions actuelles aggravent le problème
Le réflexe face à la fraude consiste à ajouter des couches de vérification. MFA par SMS. Application TOTP. Token physique. Question secrète. Chaque couche supplémentaire est une nouvelle opportunité d'échec.
Le SMS : universel mais vulnérable
L'OTP par SMS reste le facteur d'authentification le plus déployé. Il est aussi le plus fragile. Vulnérable au SIM swapping, au phishing et aux interceptions réseau. Et surtout : il suppose que l'utilisateur a accès à son numéro de téléphone, sur le bon appareil, au bon moment. En cas de changement de téléphone, de voyage à l'étranger ou de simple perte de signal, le SMS devient un mur.
Les applications d'authentification : robustes mais excluantes
Les TOTP (Google Authenticator, Authy, etc.) suppriment la dépendance au réseau, mais déplacent le risque vers le compte cloud qui synchronise les seeds : un phishing ou un SIM swap sur ce compte expose tous les secondes facteurs d'un coup. Et en environnement pro, où la sync est souvent désactivée, le changement de téléphone sans export reste une perte sèche avec le support client comme seul recours.
Les clés physiques : sécurisées mais impraticables à grande échelle
Les clés de sécurité de type FIDO2 offrent une protection forte. Mais elles supposent que l'utilisateur possède, transporte et branche un objet physique. Pour une néobanque dont les clients gèrent leurs finances depuis leur canapé, imposer un dongle USB est un anachronisme fonctionnel.
Le point commun de ces solutions : elles déplacent la charge de la sécurité sur l'utilisateur. Elles lui demandent de gérer un secret, de posséder un objet ou de maîtriser un processus technique. Et quand il échoue, car il échouera, ça sera la fintech qui payera.
Le vrai coût : pas seulement l'abandon, mais la spirale
La friction d'authentification ne produit pas un événement isolé. Elle déclenche une cascade.
Premier effet : l'abandon immédiat. L'utilisateur ne parvient pas à se connecter ou à valider une opération. Il abandonne. La transaction est perdue.
Deuxième effet : le ticket support. L'utilisateur persiste et contacte le support. Il faut vérifier son identité manuellement, réinitialiser ses accès, documenter le cas. Coût direct : temps humain, infrastructure, risque d'erreur.
Troisième effet : l'érosion de confiance. L'utilisateur associe la fintech à une expérience laborieuse. La prochaine fois qu'il aura le choix entre deux services, il ira vers celui qui ne lui a jamais demandé de retrouver un code à 6 chiffres.
Quatrième effet : le risque de contournement. Les utilisateurs frustrés développent des stratégies de contournement. Ils réutilisent le même mot de passe partout. Ils stockent leurs codes dans une note non chiffrée. Ils partagent leurs identifiants. La friction excessive ne renforce pas la sécurité : elle la dégrade, en poussant les utilisateurs vers des comportements à risque.
L'équation impossible : sécurité ou expérience ?
C'est le dilemme que chaque équipe produit fintech connaît. D'un côté, le régulateur exige une authentification forte, la DSP2 impose la SCA pour les opérations sensibles, et MiCA étend les exigences de vérification aux acteurs crypto. De l'autre, le marché punit toute friction excessive par de l'attrition.
La tentation est de traiter ce dilemme comme un curseur : plus de sécurité d'un côté, plus de fluidité de l'autre, et un compromis au milieu. Mais ce cadrage est un piège. Le compromis signifie qu'on accepte soit un niveau de fraude trop élevé, soit un taux d'abandon trop élevé. Ni l'un ni l'autre n'est tenable.
La vraie question n'est pas "quel niveau de friction est acceptable ?" mais "comment produire un niveau de confiance élevé sans que l'utilisateur ait quoi que ce soit à gérer ?"
Ce que changerait une authentification sans secret à gérer
Imaginez un modèle dans lequel l'utilisateur n'a rien à retenir, rien à posséder, rien à transférer d'un appareil à l'autre. Un modèle où la preuve d'identité repose sur ce qu'il est, son visage, comparé en temps réel à une identité officielle déjà vérifiée, et non sur ce qu'il sait ou ce qu'il détient.
Dans ce modèle, le mot de passe oublié n'existe pas. La clé perdue n'existe pas. Le transfert de TOTP raté n'existe pas. L'utilisateur se présente, et le système le reconnaît. Pas de secret partagé. Pas de matériel dédié. Pas de friction.
Ce modèle a des conséquences directes sur les indicateurs qui comptent pour une fintech.
Sur la conversion : l'authentification ne bloque plus le parcours. Le taux de complétion des opérations sensibles augmente.
Sur le support : les tickets liés à la perte d'accès disparaissent. Les équipes support se concentrent sur les vrais problèmes.
Sur la rétention : l'expérience d'authentification devient invisible. L'utilisateur ne la subit plus, il ne la remarque plus.
Sur la conformité : l'authentification forte repose sur un facteur d'inhérence, la biométrie faciale liée à un document d'identité officiel, ce qui satisfait aux exigences SCA sans recourir à un facteur de connaissance ou de possession fragile.
Mais la biométrie n'est-elle pas elle-même une source de friction ?
Objection légitime. Les déploiements biométriques de première génération ont laissé un souvenir mitigé. Selfies flous rejetés. Comparaisons faciales échouant en basse luminosité. Processus de liveness intrusifs demandant à l'utilisateur de tourner la tête, de cligner des yeux, de tenir une posture pendant plusieurs secondes.
La différence tient à trois évolutions techniques majeures.
Premièrement, la détection passive du vivant. Les systèmes modernes vérifient que l'utilisateur est réel, et non un deepfake, une photo imprimée ou une injection vidéo, sans lui demander d'exécuter une action spécifique. Un simple regard vers la caméra suffit.
Deuxièmement, la comparaison à une identité certifiée. Le visage capturé n'est pas comparé à un selfie d'enrôlement stocké quelque part, mais à la photo d'un document d'identité officiel, vérifiée une seule fois et ensuite réutilisable sous forme d'attestation cryptographique. Aucune donnée biométrique n'est conservée.
Troisièmement, le traitement en temps réel côté appareil. Le contrôle de qualité, le cadrage, la luminosité sont gérés par l'IA embarquée avant même l'envoi. Le taux de succès dès la première tentative dépasse les 95 %, même sur des appareils d'entrée de gamme.
Le coût de l'inaction
Les fintechs qui continuent de s'appuyer sur un modèle d'authentification à base de secrets, mots de passe, OTP, clés paient un prix croissant sur quatre fronts simultanés.
Un coût d'acquisition gaspillé, à chaque utilisateur perdu après l'onboarding. Un coût de support en hausse, à mesure que la base d'utilisateurs grandit et que les cas de perte d'accès se multiplient. Un coût de conformité sous-estimé, quand les mécanismes choisis ne répondent pas pleinement aux exigences SCA. Et un coût de sécurité réel, quand la friction pousse les utilisateurs vers des pratiques dangereuses.
Ce n'est pas un problème de demain. C'est un problème d'aujourd'hui, dont le coût augmente à chaque utilisateur ajouté.
L'authentification ne devrait jamais être un obstacle
La friction d'authentification n'est pas une fatalité. Elle est le symptôme d'un modèle qui demande à l'utilisateur de faire le travail que la technologie devrait faire à sa place. Retenir un secret. Posséder un objet. Maîtriser un processus. Chaque exigence supplémentaire est un point de rupture potentiel, un ticket support en attente, un client perdu.
La question n'est plus de savoir si ce modèle est dépassé, il l'est. La question est de savoir combien de temps une fintech peut se permettre de perdre des clients, de l'argent et de la confiance avant de le remplacer.
C'est exactement le problème que ShareID résout. Un MFA 3.0 qui lie chaque authentification à une identité officielle vérifiée, réutilisable à chaque moment critique du parcours. Un simple regard suffit. Aucun mot de passe à retenir, aucune clé à transporter, aucune donnée biométrique stockée. Pas un compromis entre sécurité et expérience, la fin du compromis.
.png)