La mauvaise gestion des identités au cœur des problématiques de sécurité des données client
Selon le dernier rapport du Breach Level Index publié par Gemalto, les failles de sécurité ont explosé en 2018. On compte plus de 4,5 milliards de dossiers compromis au 1e semestre, soit une augmentation spectaculaire de 133%.
Les identifiants demeurent le principal vecteur de failles de sécurité avec 65% d’incidents liés au vol d’identités. Dégradation de l’image de marque, perte de confiance et de l’avantage concurrentiel…Les conséquences pour l’entreprise sont souvent désastreuses, surtout avec l’entrée en vigueur du RGPD, et les sanctions financières lourdes (jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros). Dans ce contexte, il est impératif que les entreprises, engagées dans des opérations de transformation digitale et de mise en conformité avec les règlements sur la protection des données, repensent la gestion des identités clients qu’elles collectent, stockent et manipulent. Mais comment conjuguer sécurité des données et expérience client ?
Piratages et fuites de données en série : les identités clients en ligne de mire
En mars dernier l’Express a
laissé un serveur contenant une base de données de près de 700.000 lecteurs
exposé pendant plusieurs semaines, trois mois plus tard, une brèche de sécurité
a contraint Adidas à ouvrir une enquête sur des soupçons de vente de données
confidentielles de clients par ses salariés à des entreprises tierces. Les cas
se sont succédé tout au long de l’année. Une étude[1] publiée en 2018 révèle
qu’il faut environ 197 jours pour identifier une brèche et 69 jours pour la
contenir. Les entreprises qui parviennent à résoudre la perte ou le vol de
données en moins de 30 jours, pourraient économiser plus d’un million de
dollars. Avec 214 données piratées toutes les secondes, il semble urgent de
revoir les politiques d’authentification et d’identification client.
Sur le banc des accusés on retrouve toujours les fameuses authentification
et identification par email/mot de passe. Ainsi, le pourcentage d’atteintes à
la protection des données impliquant des mots de passe volés ou faibles est
passé de 50 à 81% au cours des trois dernières années[1]. Par ailleurs, 41% des
organisations concernées n’utilisaient même pas d’outil de réinitialisation du
mot de passe, tandis que 35% d’entre elles n’avaient pas de processus
d’authentification par mot de passe défini[2] ! Cette explosion des failles de
sécurité impose donc aux marques et organisations d’entreprendre les démarches
essentielles pour rassurer les consommateurs, tout en garantissant une
expérience fiable. Des solutions existent pourtant, organisées autour des
technologies de Customer Identity and Access Management(CIAM).
Centraliser la gestion de la donnée client pour mieux la sécuriser
Le
CIAM apporte une réponse innovante aux problématiques de sécurité liées à
l’authentification et à l’identification en donnant la possibilité aux
entreprises de centraliser, sur une seule et même plateforme et en toute
sécurité, l’ensemble des outils nécessaires à la collecte, à la gestion et à
l’analyse des profils clients. Les plateformes CIAM offrent une palette de
fonctionnalités de sécurisation des données à l’état de l’art :
protections contre les attaques de force brute, tests d’intrusion, chiffrage
des données, algorithmes de hachage des mots de passe performants, ... Ces
solutions prennent également en charge les normes d'authentification et
d'autorisation fiables et sécurisées dont l’OpenID, le SAML, OAuth, etc.
Ainsi, il est désormais possible de mettre en place une gouvernance autour de
cette gestion centralisée des identités clients, à même de définir un périmètre
de sécurité. Il faut toutefois s’assurer que cette donnée reste accessible au
client, afin qu’il puisse à tout moment modifier son profil et décider des
informations qu’il souhaite ou non partager avec l’entreprise et ses tiers.
Contrer les faiblesses de l’email / mot de passe
Pour le grand public,
l’authentification sans mot de passe est encore impensable et le couple email /
mot de passe perdure. Pour sécuriser les internautes, les marques doivent les
aider à créer un mot de passe optimum dont ils pourront se souvenir à l’aide,
par exemple, d’une barre de progression indiquant le niveau de sécurisation du
code choisi ou en refusant les mots de passe évidents, voir en calculant
l'entropie d’un mot de passe.
Il faut savoir qu’un internaute gère activement plus d’une quinzaine de comptes
et ne se souvient que d’un nombre limité de mots de passe. Par ailleurs, les
utilisateurs sont réticents, lors d’une création de compte ou
d’authentification sur le site d’une marque, à remplir des formulaires
fastidieux à partager des données hors contexte. Frustrés, ils passent leur
temps à créer et à dé-doublonner leurs comptes, à utiliser des accès redondants à
plusieurs services, ouvrant ainsi la voie aux hackers.
Pourtant il existe de nombreuses solutions simplifiant cette première prise de
contact entre marques et consommateurs. Le Single Sign-On (SSO), méthode
d’authentification unique, permet à un utilisateur de se connecter à de
multiples applications en provenance de fournisseurs tiers d’identité et/ou
dans différents environnements avec un seul identifiant. La marque sécurise
ainsi l’authentification, sans compromettre l’expérience client puisque l’utilisateur
ne s’identifie qu’en début de session et peut ensuite accéder à d’autres
services sans être contraint à s’authentifier sur chaque application. Pour
l’entreprise, le SSO devient le point de passage obligatoire entre
l’utilisateur et les applications, lui permet de contrôler les accès de manière
efficace et d’assurer la conformité aux exigences de confidentialité,
d’intégrité et de disponibilité.
Il est également possible de sécuriser l’authentification des utilisateurs et de réduire les risques de fraudes en utilisant une authentification à multiple facteur (MFA). L’entreprise peut proposer une authentification simple, sans code secret complexe et vérifier l’identité réelle de l'utilisateur. Cette méthode, qui a l’avantage de s’adapter au contexte de l’utilisateur, exige au moins deux informations d’identification pour garantir l’accès à un service ou à une transaction : par exemple un code envoyé à l’utilisateur par email, un SMS, une empreinte biométrique, etc.
L’utilisateur peut également s’affranchir de la création et la mémorisation des mots de passe avec le One Time Password (OTP), qui permet de se connecter via un lien magique ou un code unique, évitant les intrusions, usurpations d’identités, tentatives de fraudes ou piratage. La durée de vie très limitée du lien ou code lui confère un niveau de sécurité supplémentaire. L’OTP permet également de sécuriser les paiements en ligne, les données privées des utilisateurs, les connexions aux applications ou de vérifier lors d’une inscription l’identité d’un nouvel utilisateur.
Enfin, face à la fraude, au vol d'identité et à l'évolution des réglementations internationales, la biométrie s'est rapidement distinguée comme la solution technologique la plus pertinente pour identifier et authentifier les personnes de manière fiable et rapide, en fonction de caractéristiques biologiques uniques.
Certains constructeurs ont accéléré l’adoption de la biométrie dans le processus d’identification et d’autorisation comme Apple avec l’Apple Pay ou la reconnaissance faciale sur l’iPhone X. La biométrie permet de déverrouiller l’appareil, protéger ses données ou d’utiliser une application, dont le paiement mobile. Les objets connectés de type ‘wearables’ (comme l’Apple Watch) et les enceintes vocales intelligentes – Amazon Echo, Google Home – multiplient les possibilités de services biométriques domestiques et grand public. Selon une étude[1]93 % des utilisateurs préfèrent la biométrie aux mots de passe pour authentification des paiements et les services financiers.
Quelle que soit la méthode retenue, une chose est sûre : Le CIAM propose l’état de l’art de l’authentification la plus adaptée au parcours client sans compromettre la sécurité des identités des clients.
[1]réalisée par MasterCard et l’université d’Oxford, [1]Rapport d’enquête 2017 de Verizon [2]Étude IDC Password Compliance 2017 [1]IBM Security et Ponemon Institute “Examining the cost of a data breach”