Protéger les données des clients contre les voleurs d’identité : marketing, SaaS et responsabilités commerciales

Vol d’identité est un type de fraude dans lequel une personne obtient et utilise illégalement les informations personnelles d’une autre personne, telles que son nom, son numéro de sécurité sociale, ses numéros de carte de crédit ou d’autres informations personnelles identifiables (Informations personnelles) sans leur consentement ni leur connaissance.

Les principaux objectifs des voleurs d’identité sont de voler de l’argent sur les comptes bancaires de la victime, d’ouvrir de nouvelles lignes de crédit et de contracter des prêts au nom de la victime, d’obtenir des prestations gouvernementales, de louer des appartements ou même d’obtenir des services médicaux en utilisant l’identité et les informations d’assurance de la victime. Certaines méthodes courantes utilisées par les voleurs d’identité comprennent :

• Voler des portefeuilles, des sacs à main, du courrier ou fouiller les poubelles pour trouver des documents personnels
• Écrémage des numéros de carte de crédit/débit lors du traitement des paiements
• Escroqueries par phishing pour inciter les gens à révéler leurs identifiants de connexion
• Piratage des bases de données d’entreprise pour accéder aux dossiers des clients
• Utilisation de logiciels malveillants pour enregistrer les frappes au clavier et voler les informations de connexion

Une fois qu’ils disposent de suffisamment d’informations personnelles, les voleurs d’identité peuvent se faire passer pour la victime pour ouvrir de nouveaux comptes de crédit, contracter des prêts, accéder à des prestations, commettre une fraude fiscale ou effectuer des achats importants, le tout étant lié à la véritable identité de la victime.

Le vol d’identité entraîne d’importantes pertes financières, a un impact sur les cotes de crédit et crée d’énormes problèmes pour les victimes qui tentent de restaurer leur identité compromise et de faire face aux conséquences. La protection des informations personnelles et la surveillance des signes d’usurpation d’identité sont cruciales à l’ère numérique d’aujourd’hui.

Statistiques sur la fraude à l’identité

La fraude à l’identité est un problème croissant qui coûte des milliards aux entreprises et aux consommateurs chaque année. Rien qu’en 2023, les voleurs d’identité ont volé plus de 43 milliards de dollars, selon les rapports. Aucune entreprise ne souhaite obtenir les informations personnelles identifiables de ses clients (Informations personnelles), comme les noms, les adresses e-mail, les mots de passe et les données financières, tombent entre de mauvaises mains. Pourtant, des failles et des fuites majeures se produisent régulièrement, souvent en raison de failles de sécurité évitables.

Trois exemples très médiatisés illustrent les dommages que la fraude à l’identité peut causer :

• Violation d’Equifax: En 2017, près de 150 millions d’Américains ont vu leurs données personnelles sensibles telles que leurs noms, dates de naissance, numéros de sécurité sociale et adresses exposées en raison d’une vulnérabilité d’un site Web.
• Violation de Yahoo : En 2017, les 3 milliards de comptes d’utilisateurs Yahoo ont été compromis, avec des noms, des adresses e-mail, des mots de passe et des questions de sécurité volés.
• Violation de la cible : En 2013, 41 millions de clients ont eu accès à des codes PIN cryptés après que des pirates ont infiltré les systèmes de paiement du détaillant.

Tactiques de fraude à l’identité

Les criminels utilisent divers moyens sournois pour voler des informations personnelles, notamment :

• Hameçonnage: Envoi d’e-mails d’apparence légitime pour inciter les gens à saisir leurs identifiants de connexion sur de faux sites.
• Logiciel malveillant : Infecter les ordinateurs et les appareils mobiles avec un code qui enregistre les frappes au clavier ou les captures d’écran.
• Attaques par force brute : Utiliser des outils automatisés pour deviner rapidement les combinaisons de connexion et de mot de passe.
• Violation des bases de données : Exploiter les vulnérabilités pour obtenir un accès non autorisé aux systèmes de l’entreprise.

Les entreprises doivent mettre en œuvre des pratiques de sécurité rigoureuses pour protéger les données des clients. Cela inclut l’utilisation d’un cryptage fort, la correction rapide des vulnérabilités logicielles, la formation du personnel aux protocoles de sécurité et la limitation de l’accès aux données.

Authentification multifacteur

L’une des mesures préventives les plus importantes consiste à mettre en œuvre deux facteurs (2FA) ou une authentification multifacteur (MAE) qui va au-delà des simples connexions par mot de passe. Cela ajoute des étapes de vérification supplémentaires telles que :

• Mots de passe à usage unique envoyés par SMS/e-mail qui expirent rapidement
• Applications d’authentification qui génèrent de nouveaux codes de connexion toutes les 30 secondes
• Le téléphone biométrique se déverrouille à l’aide des empreintes digitales ou de la reconnaissance faciale
• Notifications push demandant le consentement de l’utilisateur sur un appareil distinct

Authentification sans mot de passe à l’aide WebAuthn est également de plus en plus adopté. Cette norme de cryptage permet aux utilisateurs de se connecter sans jamais saisir de mot de passe, en s’appuyant plutôt sur la biométrie, les clés de sécurité et d’autres facteurs dynamiques.

Précautions SaaS

Les fournisseurs SaaS peuvent mettre en œuvre plusieurs protections architecturales pour rendre extrêmement difficile l’acquisition de (PII) par les pirates informatiques ou les phishers. Voici quelques architectures et approches clés :

• Architecture zéro confiance : Supposons que les réseaux sont hostiles et vérifient constamment chaque demande. Utilisez des contrôles d’accès de moindre privilège et une authentification stricte des utilisateurs. Mettez en œuvre des modèles de microsegmentation et de sécurité sans périmètre.
• Informatique confidentielle : Utilisez des enclaves sécurisées où les informations personnelles sont chiffrées loin du système d’exploitation hôte. Les données restent cryptées même pendant le traitement, empêchant ainsi leur exposition.
• Cryptage homomorphe : Les données sont cryptées afin que des calculs puissent être effectués sur des textes chiffrés. Une fois déchiffrés, les résultats correspondent aux opérations comme si elles étaient effectuées en texte brut. Les informations personnelles n’ont jamais besoin d’être décryptées, éliminant ainsi les risques d’exposition.
• Stockage de données distribué : Divisez et stockez les informations personnelles sur plusieurs systèmes de stockage dans différentes juridictions. Aucune base de données ne contient des enregistrements PII complets, les pirates informatiques devraient donc pirater plusieurs systèmes pour reconstruire les données.
• Anonymisation et pseudonymisation : Supprimez ou remplacez les informations personnelles par des jetons/alias générés aléatoirement. Appliquez le masquage des données, le hachage et d’autres techniques d’obscurcissement. Stockage séparé des clés d’authentification des données obscurcies.
• Services d’amélioration de la confidentialité : Tirer parti du calcul multipartite sécurisé (MPC) protocoles. Les données sont cryptées, divisées et calculées entre plusieurs fournisseurs de services. Aucun fournisseur n’a accès à l’intégralité des données sensibles.

En adoptant des approches de pointe comme celles-ci, les entreprises SaaS peuvent rendre impossible, du point de vue cryptographique et informatique, aux attaquants d’accéder à des informations personnelles intelligibles, même en cas de violation.

Les conséquences de l’usurpation d’identité et de la fraude sont dévastatrices tant pour les entreprises que pour les particuliers. En faisant de la protection des données des clients une priorité absolue et en mettant en œuvre des MAE protocoles, les entreprises peuvent se protéger contre les tactiques criminelles et maintenir la confiance durement gagnée des consommateurs.