CDC Net, la plateforme bancaire en ligne de la Banque des Territoires, impose à ses utilisateurs une authentification forte pour chaque connexion et validation d’opération. Cette exigence repose sur la directive européenne DSP2, qui s’applique à tous les établissements bancaires. L’application HID Approve a longtemps été le pivot de ce dispositif, mais une migration récente vers une application mobile unifiée change la donne pour les collectivités et les professions juridiques.
DSP2 et CDC Net : ce que la réglementation impose concrètement
La directive européenne sur les services de paiement (DSP2) oblige chaque banque à vérifier l’identité de l’utilisateur par au moins deux facteurs distincts avant d’autoriser une connexion ou une transaction sensible. Sur CDC Net, cela se traduit par une combinaison entre un identifiant personnel et une validation sur un appareil mobile.
A découvrir également : Crédit Agricole code banque : comment vérifier l'authenticité d'un RIB reçu ?
Cette contrainte ne concerne pas uniquement la connexion initiale. Chaque opération bancaire jugée à risque (virement, modification de bénéficiaire, consultation de certains documents) déclenche une demande de validation supplémentaire. Le mécanisme repose sur une notification push envoyée au smartphone enregistré.
Pour les notaires, administrateurs judiciaires ou greffiers qui utilisent CDC Net au quotidien, cette double vérification s’intercale dans des flux de travail parfois sous pression. La question n’est pas de savoir si l’authentification forte est nécessaire – elle l’est réglementairement – mais de comprendre comment elle fonctionne techniquement pour limiter les blocages.
Lire également : Mon compte particulier la Banque Postale : comprendre vos relevés et opérations en ligne
Fonctionnement technique de HID Approve sur la plateforme bancaire CDC Net
HID Approve fonctionne selon un modèle de notification push multi-appareils. Lors de la connexion à CDC Net depuis un navigateur, le serveur envoie une demande d’approbation à l’application mobile installée sur le smartphone de l’utilisateur. Celui-ci valide (ou refuse) la tentative directement sur son écran.
Ce système repose sur trois éléments combinés :
- Un identifiant de connexion personnel lié au compte CDC Net (facteur de connaissance)
- L’appareil mobile enregistré sur lequel est installée l’application (facteur de possession)
- Un code PIN ou une validation biométrique configurée sur le smartphone (second facteur de connaissance ou d’inhérence)
L’enrôlement initial – c’est-à-dire l’association entre le compte CDC Net et l’application mobile – constitue l’étape la plus délicate. Les utilisateurs disposant d’une ancienne ActivCard devaient suivre un parcours de migration spécifique, distinct de celui des nouveaux utilisateurs.
| Critère | HID Approve (historique) | Application Comptes Banque des Territoires (actuelle) |
|---|---|---|
| Type d’authentification | Push notification + PIN | Push notification + PIN ou biométrie |
| Nombre d’appareils | Jusqu’à 3 appareils enregistrés | Multi-appareils (gestion unifiée) |
| Compatibilité Android | Version 6 et supérieure | Version récente requise |
| Compatibilité iOS | iOS 10 minimum (iPhone 6 / iPad 5) | iOS récent requis |
| Fonctions couvertes | Authentification + validation transactions | Authentification + validation + consultation comptes |
Ce tableau met en évidence un point souvent sous-estimé : la compatibilité minimale des appareils conditionne l’accès à CDC Net. Un smartphone trop ancien bloque l’ensemble du processus d’authentification.
Migration vers l’application Comptes Banque des Territoires
Depuis fin 2025, l’application « Comptes Banque des Territoires » remplace à la fois HID Approve et l’ancienne application Akari. Cette unification simplifie le parcours utilisateur en regroupant l’authentification forte et la consultation des comptes dans un seul outil mobile.
Pour les structures qui géraient plusieurs applications sur les téléphones professionnels de leurs agents, le passage à une application unique réduit la surface de support technique. Un seul outil à installer, un seul processus d’enrôlement, un seul canal de notification.
En revanche, cette centralisation pose une question rarement abordée : la dépendance à un appareil mobile unique. Si le téléphone professionnel tombe en panne ou si l’agent change de poste, l’accès à CDC Net est suspendu jusqu’à un nouvel enrôlement. Pour une petite collectivité en période de clôture budgétaire, ce délai peut créer un blocage opérationnel réel.
Enrôlement et gestion des appareils sur CDC Net
L’enrôlement désigne la procédure d’association entre un compte CDC Net et un appareil mobile. Cette étape génère la majorité des demandes de support, selon les retours publiés par la Banque des Territoires dans sa FAQ dédiée.
Voici les points de vigilance lors de l’enrôlement :
- Vérifier la compatibilité du système d’exploitation mobile avant de lancer la procédure (Android 6 minimum pour HID Approve, version récente pour la nouvelle application)
- Ne pas dépasser la limite d’appareils enregistrés : au-delà de trois, il faut supprimer un ancien appareil avant d’en ajouter un nouveau
- Définir un appareil par défaut pour recevoir les notifications push sans ambiguïté
- Anticiper le remplacement d’un téléphone professionnel en procédant à l’enrôlement du nouvel appareil avant de désactiver l’ancien
La suppression d’un appareil ne peut pas être annulée. Un agent qui supprime par erreur son téléphone principal de la liste des appareils enregistrés doit recommencer l’intégralité de la procédure d’enrôlement, ce qui implique parfois un délai de validation côté administrateur.
Sécurité renforcée et limites du modèle push notification
Le modèle push notification adopté par HID Approve (puis par l’application unifiée) présente un avantage structurel pour les environnements administratifs décentralisés : il ne nécessite pas de lecteur physique ni de token matériel. L’appareil mobile fait office de second facteur, ce qui réduit les coûts d’équipement.
Cette approche diffère de celle retenue par certaines banques privées, qui privilégient la biométrie intégrée au terminal. Le choix de la Banque des Territoires s’explique par la diversité des postes de travail dans les collectivités : un même agent peut se connecter depuis un bureau fixe, un poste partagé en mairie ou un ordinateur portable en déplacement. La notification push fonctionne quel que soit le terminal de connexion, tant que le smartphone enregistré est accessible.
La contrepartie directe est la dépendance au réseau mobile. Une zone blanche, un téléphone en mode avion ou une panne de data empêchent la réception de la notification et bloquent l’accès. Aucune méthode de secours hors-ligne n’est documentée dans les guides publics actuels de la Banque des Territoires.
Les collectivités qui anticipent ce risque mettent en place des habilitations croisées : plusieurs agents disposent des droits d’accès à CDC Net, de sorte qu’un blocage individuel ne paralyse pas les opérations financières de la structure. Cette organisation relève de la gestion interne des habilitations, pas de la configuration technique de l’application.
