Fraude à l’identité en entreprise : trois clés pour une authentification efficace

Sécurité

Alors que les cybercriminels tentent non seulement de s’introduire insidieusement dans les réseaux des entreprises, ils sont nombreux à essayer de se faire passer pour des employés et prestataires de services pour y parvenir : les systèmes d’authentification des employés sont-ils capables de faire face à de telles méthodes ?

Dans les faits, 27 % des entreprises risquent d’être victimes d’une faille de sécurité dans les deux prochaines années ; et cela devrait leur coûter entre 1,1 et 3,8 millions de dollars, selon une étude conduite par l’institut Ponemon. En effet, les organisations actives en Europe font face à un risque supplémentaire depuis l’entrée en vigueur du règlement européen pour la protection des données (RGPD) : le coût d’une faille pourrait s’élever à 4 % de leur chiffre d’affaire global ou aller jusqu’à 20 millions d’euros. Comme l’ont démontré les attaques qui ont touché des entreprises telles que Yahoo, les cyberattaques de grande ampleur peuvent avoir un impact non négligeable et durable sur le cours des actions.

Alors que les entreprises s’empressent de dresser des remparts de sécurité, les fraudeurs ont de leur côté un moyen imparable de les contourner : ils se font passer pour des employés ou parties tierces exerçant dans l’entreprise. La complexité relative aux accès à privilèges pour les employés travaillant à distance, les consultants externes et les fournisseurs peut se révéler colossale. En cas de faille de sécurité, l’entreprise et les clients peuvent être directement affectés.

Les employés et consultants sont, en général, victimes mais peuvent parfois être les complices involontaires de ces attaques externes, sous forme de techniques d’ingénierie sociale, ou encore par le biais de partages de mots de passe et d’identifiants ; ces dernières pratiques allant ainsi à l’encontre des règles établies par l’organisation à laquelle ils appartiennent. Quel que soit le cas de figure, les fraudeurs ont de multiples possibilités d’obtenir les identifiants de connexion dont ils ont besoin, pour accéder aux systèmes d’une organisation, sans être détectés.

Pour éviter ce type d’attaques, trois moyens efficaces peuvent être mis en place par les entreprises :

1 – Connaître ses employés et ses prestataires – Les identifiants peuvent être dérobés ou mal-utilisés de multiples manières, et cela arrive plus souvent qu’on ne l’imagine. Par exemple, les mots de passe dits « faibles » et utilisés par les employés sur plusieurs applications. Cela conduit à des attaques de phishing, d’ingénierie sociale, à l’installation de malwares ou encore à des attaques de botnets spécialement conçues pour dérober des identifiants et mots de passe en masse.

Les défis pour se défendre contre ces menaces peuvent être importants. L’utilisation de lecteurs biométriques ou de mots de passe uniques n’est ainsi pas toujours pratique, et même lorsque ces couches de sécurité sont ajoutées, elles ne protègent pas nécessairement contre certaines formes d’attaques. Par ailleurs, l’ajout d’étapes d’authentification supplémentaires peut avoir un impact négatif sur la productivité des utilisateurs et perturber les opérations.

La clé est le déploiement de solutions qui offrent la possibilité de reconnaître instantanément les utilisateurs de confiance afin d’accélérer l’authentification, tout en refusant les accès aux sources connues de fraudes ; les étapes supplémentaires ne sont alors appliquées qu’aux situations douteuses.

Ces dernières années, les entreprises averties ont communément admis que la valeur d’une approche de sécurité des employés basée sur l’identifiant numérique pour vérifier l’identité et authentifier les utilisateurs est inestimable. L’objectif : reconnaître les anomalies au niveau des accès et tout comportement pouvant signaler qu’un imposteur est en train de se déplacer à travers les systèmes. Le défi : accéder à la propriété intellectuelle globale partagée et nécessaire à l’établissement d’identités numériques pour chaque utilisateur, en analysant les connexions entre eux et l’ensemble de leurs appareils, emplacements, comptes, ou encore leurs informations personnelles anonymisées.

2 – Gérer habilement le BYOD – Ce n’est plus un secret, les politiques d’accès à distance – pour les déplacements professionnels et le télétravail par exemple – et de BYOD (Bring Your Own Device) peuvent drastiquement améliorer la productivité et la flexibilité des employés et des consultants, susceptibles de travailler via plusieurs terminaux professionnels et personnels, tels que les postes fixes, smartphones, ordinateurs portables et tablettes. Cependant, il est indispensable d’ajouter des niveaux de protections à ces règles pour que le « D » de BYOD ne se transforme pas en « Disaster » (ou « Désastre » en français).

De fait, les appareils peuvent facilement être infectés par des malwares, subir un détournement de session via des connexions Wi-Fi d’entreprise ou publiques non ou mal sécurisées, ou encore être compromis par le biais de mots de passe partagés. Il est donc plus important, et plus difficile que jamais, de sécuriser les applications critiques. Généralement, les organisations qui adoptent des approches basées sur l’identité numérique sont en bonne voie, à condition qu’une option de profilage en temps réel des appareils, utilisés pour accéder aux systèmes en dehors de leur écosystème professionnel, figure dans leur analyse des utilisateurs.

3 – Visualiser le succès – Quelle que soit l’approche adoptée par les organisations, elles auront tout intérêt à fournir à leurs équipes de sécurité et de gestion des fraudes des outils de visualisation et d’analyse. Ces dernières pourront en effet comprendre l’activité applicative de l’entreprise et prendre les mesures nécessaires pour gérer les menaces en temps réel, à mesure qu’elles évoluent.

Les outils qui facilitent la configuration des politiques d’accès et d’authentification sont clés. Certaines entreprises peuvent choisir de prioriser ceux qui leur permettent d’évaluer et de vérifier les niveaux de risques, et les règles correspondantes, en continu afin de valider et d’améliorer ces dernières en temps réel.

En définitif, l’objectif de tout cela est de détecter et de distinguer facilement les utilisateurs légitimes des imposteurs qui tentent d’accéder aux systèmes sans perturber l’activité. Plus les entreprises le feront sans causer de friction, ni ajouter de couches de sécurité contraignantes ou d’infrastructures onéreuses, plus les personnes concernées au sein de l’organisation en verront les bénéfices.

(crédit photo © Watcharakun – Shutterstock)

 

Auteur
En savoir plus 
Directeur France et Europe du Sud
ThreatMetrix
Carine Cartaud est Directeur France et Europe du Sud chez ThreatMetrix
En savoir plus 

Livres blancs A la Une