Protéger les comptes clients : le domaine déterminant des RSSI numériques

Les responsables de la sécurité de l’information (CISO) et autres responsables de la cybersécurité ont longtemps lutté pour protéger les systèmes d’entreprise contre les menaces internes et externes. Ils doivent encore faire face aux cybercriminels qui cherchent à compromettre les organisations via des rançongiciels, le vol de données et la fraude.

Souvent, ils se concentrent en grande partie sur le verrouillage et la protection des comptes des employés. Bon nombre de ces comptes disposent de privilèges élevés pour accéder aux actifs de l’entreprise ou aux environnements de développement et de production pour les systèmes en contact avec les clients. Le problème est que les pirates peuvent accéder à ces comptes avec des informations d’identification volées ou piratées, et avec les bons privilèges, ils peuvent rapidement atteindre leurs objectifs. Mais ce ne sont pas seulement les comptes d’employés qu’ils ciblent. Les comptes clients sont tout aussi vulnérables car le vol d’informations d’identification est si facile.

De plus en plus, les RSSI sont confrontés un ensemble différent de défis lorsqu’il s’agit de protéger les comptes clients. Ce sont les comptes que les clients utilisent pour accéder aux applications numériques et aux sites Web d’une entreprise. Les clients effectuent des transactions avec l’entreprise (et parfois entre eux), magasinent, apprennent et obtiennent de l’aide via ces comptes. Parfois, l’expérience en ligne est le produit de l’entreprise. Le numérique n’est pas seulement un différenciateur pour de nombreuses entreprises ; c’est toute l’affaire.

Les consommateurs exigent de plus en plus la sécurité de leurs services en ligne. Selon le rapport mondial sur l’identité et la fraude 2021 d’Experian, 55 % des consommateurs déclarent que la sécurité est l’aspect le plus important de leur expérience en ligne. En d’autres termes, le CISO est responsable de l’un des éléments les plus importants d’une bonne expérience client. Dans le même temps, les entreprises n’ont que peu ou pas de contrôle sur les appareils, les applications, les canaux et les navigateurs que les clients utilisent.

On attend de plus en plus des RSSI qu’ils répondent aux préoccupations des consommateurs à mesure que leurs entreprises numérisent l’expérience client. Un accent majeur sera mis sur la sécurisation des comptes clients, qui sont constamment ciblés par les voleurs pour usurpation de compte et fraude.

À bien des égards, protéger les comptes des clients est plus difficile que de protéger ceux des employés. Les principales différences que les RSSI doivent surmonter incluent :

• Formation sécurité : Les RSSI peuvent mettre en œuvre une formation de sensibilisation à la sécurité pour les employés et les sous-traitants, en les formant sur les menaces courantes et les meilleures pratiques de sécurité. Il n’en va pas de même pour les clients d’une organisation.
• Autorité d’exécution : Les RSSI peuvent appliquer les politiques de sécurité et les meilleures pratiques en interne. Les politiques de sécurité qui nuisent à l’expérience client peuvent entraîner une perte de ventes et une perte de clients.
• Options d’authentification : En interne, les CISO disposent d’une gamme d’options d’authentification forte, y compris les cartes à puce et les jetons. Les options d’authentification des clients sont limitées par la technologie dont disposent les clients.
• Sécurité de l’appareil : Les employés peuvent être tenus d’utiliser des appareils sanctionnés avec des solutions anti-malware d’entreprise installées. Les RSSI ne peuvent pas imposer les appareils ou logiciels que les clients utilisent, et les tentatives en ce sens peuvent entraîner une diminution du nombre de clients.

Les responsabilités des RSSI en matière de sécurité s’étendent et il peut être beaucoup plus difficile de sécuriser le client que de sécuriser l’employé. Dans le même temps, les menaces sur les comptes clients augmentent considérablement. En fait, les attaques de prise de contrôle de compte ont grimpé en flèche de 307 % entre avril 2019 et juin 2021.

Les clients et leurs comptes doivent être protégés par des méthodes à la fois simples d’utilisation et sécurisées. Jusqu’à présent, cela a été difficile à réaliser. La plupart du temps, une meilleure sécurité signifie ajouter plus de friction, pas moins. Cependant, à mesure que la gestion de l’identité et de l’accès des clients (CIAM) continue d’évoluer, des solutions plus conviviales sont introduites.

L’une de ces solutions est l’authentification client sans mot de passe à l’aide des normes Fast Identity Online (FIDO). Le mot de passe sans mot de passe basé sur FIDO est souvent utilisé pour l’authentification des employés.

Cependant, il est également bien adapté aux cas d’utilisation des clients ou des consommateurs. L’authentification sans mot de passe basée sur FIDO, lorsqu’elle est bien effectuée, est insensible aux attaques de phishing, de smishing et de l’homme du milieu.

L’authentification sans mot de passe est également plus facile à utiliser que les mots de passe et les OTP maladroits. L’authentification sans mot de passe basée sur FIDO est aussi simple que de regarder votre téléphone ou de scanner votre empreinte digitale.

L’essentiel : les attentes en matière d’authentification évoluent et les clients veulent pouvoir se connecter sans nom d’utilisateur ni mot de passe. Cela signifie zéro mot de passe n’importe où et sans que les informations d’identification basées sur la connaissance n’apparaissent jamais dans le processus.

Mais cela ne devrait pas s’arrêter là. Une solution complète sans mot de passe doit offrir une gamme complète d’options de connexion qui fonctionnent pour tout le monde, y compris ceux qui ne sont pas capables ou prêts à utiliser la biométrie.

Les liens magiques ou les codes d’accès à usage unique basés sur le temps (TOPT) sont des méthodes sans mot de passe qui éliminent également votre plus grand risque : les mots de passe des clients.

Laissez Transmit Security vous montrer ce que cela signifie d’être vraiment sans mot de passe avec BindID.