Comment sécuriser vos clients et protéger leurs données : tout ce qu’il faut savoir

En qualité de professionnel de la sécurité, vous comprenez l’importance de protéger vos clients et leurs données. Vos clients veulent être sûrs que, en tant que fournisseur, vous avez pris les précautions qu’il faut pour garantir une expérience digitale sécurisée. 

Ils veulent pouvoir se connecter, consulter ce qui les intéressent, réaliser des transactions, tout en tenant les autres à l’écart de leur compte, en particulier les fraudeurs. Le tout avec une grande facilité d’utilisation. Abordons ensuite la question du stockage des données personnelles des clients, dont la valeur atteint souvent celle de l’or, du pétrole ou même du lithium - elles peuvent entraîner le succès ou l’échec d’une entreprise. Elles influent directement sur les plans de développement produit d’une organisation et ses revenus à venir. Si vous ne connaissez pas vos clients, votre prochain lancement de produit aura moins de succès. C’est pourquoi les organisations cherchent à collecter autant de données que possible sur leurs clients, mais celles-ci doivent être bien protégées une fois collectées. 

Dans notre monde digital, la première interaction entre vos clients et votre marque a lieu via votre site web ou votre appli. Alors que les interactions sont plus nombreuses que jamais, vous devez vous assurer que les accès soient aussi sécurisés et fluides que possible, ce qui nécessite le plus souvent un nom d’utilisateur et un mot de passe. Et n’oubliez pas l’inscription. S’il s’agit d’un prospect, vous voudrez faire une bonne impression dès la première visite. Les mots de passe et l’absence de signaux de menaces en temps réel sont aujourd’hui le risque de sécurité n° 1 pour les organisations, et ce sont les premières cibles des cyberattaques. 

Le saviez-vous ?

86% of breaches involve the use of stolen credentials (VZ)

Ensuite, l’impératif est de mettre les informations sensibles de vos clients à l’abri. Il s’agit des coordonnées personnelles, des informations financières et de l’historique de leurs transactions. En verrouillant ces données, vous empêchez les acteurs malveillants d’usurper des identités, de réaliser des fraudes et d’accéder en douce à des informations sans y être autorisés. L’objectif est d’empêcher les fuites de données ou, du moins, d’identifier rapidement toute risque menaçant la sécurité. Sinon, cela peut vous coûter très cher. 

Le saviez-vous ?

150 $, c’est le coût moyen pour une perte ou un vol d’informations (IBM)

Mais ce n’est pas tout. Lorsque vous en faîtes plus pour protéger les données des consommateurs, vous changez pour eux de catégorie : vous devenez une entreprise à laquelle ils peuvent faire confiance. Vous devenez leur référence en matière de confidentialité des données et de bonnes pratiques. Et cette confiance agit durablement pour fidéliser vos clients et renforcer la réputation de votre marque. Les consommateurs veulent avoir affaire à des entreprises qui prennent la confidentialité de leurs données au sérieux. C’est une simple question de courtoisie.  

Le saviez-vous ?

97 % des entreprises retirent un avantage concurrentiel ou attirent de nouveaux investisseurs en raison de leurs investissements en matière de protection des données personnelles (Cisco)

Et, n’oublions pas le volet juridique de cette question. Protéger les données des clients, ce n’est pas seulement une bonne idée : c’est la loi ! Vous devez respecter les réglementations sur la protection des données, ou vous vous exposez à des amendes élevées et à des ennuis avec la justice. Donc, en mettant la protection des données des clients en haut de votre liste de priorités, vous ne faites pas seulement ce que vous devez faire, vous réduisez aussi des facteurs de risque majeurs pour votre entreprise. 

Le saviez-vous ?

71 % des pays du monde ont mis en place des lois pour protéger les données et leur confidentialité (ONU)

En tant que professionnel de la sécurité, les clés de la protection de vos consommateurs et de leurs données sont entre vos mains ; votre organisation compte sur vous.   

Au bout du compte, nous sommes tous des clients et nous avons diverses raisons de choisir un fournisseur plutôt qu’un autre. Mais si nous abordons cette question du point de vue de la sécurité, il y a deux facteurs majeurs que nous, en tant que clients, prenons généralement en considération. Ce fournisseur va-t-il me garantir un accès sécurisé à mon compte tout en sécurisant mes informations personnelles ? Et, ce fournisseur va-t-il me respecter en ne partageant pas mes données personnelles avec des tiers ? 

Protégez vos clients

Les clients s’attendent à ce que vous érigiez une forteresse de sécurité autour de leurs comptes et de leurs informations personnelles. Ils veulent que leurs identités et leurs données soient verrouillées, à l’abri de hackers et des accès aux données non autorisés. Ils veulent être sereins et être sûrs que leurs comptes sont protégés avec des authentifications et des autorisations fortes, associées avec des mesures de défense actives contre les failles. L’essentiel est que les clients se sentent en sécurité, et soient certains que le fournisseur s’investit activement dans la sécurité des données. 

Le saviez-vous ?

78 % des personnes interrogées cesseraient leur engagement avec une marque en cas de faille (SC)

Respectez vos clients

Les clients veulent que leur vie privée soit respectée dans le monde digital. Ils veulent être traités comme des individus avec des droits et des préférences sur l’utilisation de leurs données personnelles sensibles. Les clients veulent de la transparence et pouvoir contrôler la façon dont leurs informations sont collectées, stockées et partagées. Ils apprécient une communication claire sur les pratiques de confidentialité, les mécanismes de consentement explicite et la capacité à gérer leurs préférences et leurs permissions.

Le saviez-vous ?

Les consommateurs récompenseront les marques qui ont des pratiques responsables de gestion des données avec 23 % d’intentions d’achat en plus (CPOM)

Parfait, diriez vous, mais pouvez vous confirmer cela avec quelques exemples ? Bien sûr. Voici quelques exemples récents où les pratiques de sécurité et de confidentialité des données de grandes entreprises n’ont vraiment pas été à la hauteur, divisées en deux catégories : fuites de données et mauvaises pratiques en matière de confidentialité des données. 

Exemples de fuites de données

North Face a subi une fuite de données. Plus de 200 000 comptes ont été concernés lors d’une attaque de credential stuffing sur leur site web, à l’occasion de laquelle des données personnelles ont été exposées, notamment des noms, des historiques d’achats, des adresses, des numéros de téléphone, le genre des personnes et les avantages fidélité. Heureusement, les informations sur les cartes bancaires étaient en sécurité mais, par précaution, North Face a réinitialisé tous les mots de passe et incité les utilisateurs à changer leurs mots de passe sur d’autres sites, juste pour être sûrs. Rien à voir avec le fait de changer la serrure de votre porte d’entrée. 

Deuxième exemple, T-Mobile s’est de nouveau retrouvé en difficulté avec une nouvelle fuite de données. Cette fois-ci, les informations personnelles de centaines de titulaires de comptes ont été exposées, notamment des données sensibles comme le nom complet, l’adresse, le numéro de sécurité sociale et autres. T-Mobile a agi rapidement en réinitialisant les codes PIN des comptes, en proposant un suivi gratuit des dépenses facturées et en s’engageant à améliorer ses mesures de sécurité.

Exemples de mauvaises pratiques en matière de confidentialité des données

Amazon a reçu une énorme amende de 746 millions de € (887 millions de $) infligée par une administration publique européenne pour avoir enfreint les réglementations sur la protection des données. La Commission nationale pour la protection des données du Luxembourg a estimé qu’Amazon ne respectait pas la Réglementation générale sur la protection des données (RGPD) de l’Union européenne, et elle a ordonné au géant américain de rectifier le tir. Mais ne vous inquiétez pas, Amazon prépare sa riposte en niant toute violation des données et exposition des clients, et va faire appel.

Mais, c’est Meta qui gagne la partie, du moins jusqu’à maintenant. Meta a écopé d’une amende astronomique de 1,2 milliards € (1,3 milliards de $) qui lui a été infligée par une autorité européenne de surveillance pour avoir enfreint la réglementation sur la protection des données. Il lui a également été ordonné d’arrêter de transférer les données des utilisateurs de Facebook Europe vers les États-Unis. Cette décision pourrait avoir un impact important sur ses capacités de ciblage publicitaire et sur son activité en Europe. 

Ces types de failles de sécurité et d’amendes liées à la confidentialité des données n’ont fait que se multiplier au cours des dernières années. Mais allons encore un peu plus loin pour mieux comprendre les raisons de cela et les tactiques sous-jacentes. Les fuites de données se produisent souvent lorsqu’un acteur malveillant infiltre les systèmes de votre organisation et parvient à accéder aux comptes des clients, à leurs données personnelles, et installe même un malware qu’il exploitera plus tard. Tout ceci fait partie d’un schéma de ransomware. D’un autre côté, des violations de la confidentialité des données et du consentement se produisent lorsqu’une entreprise partage des données clients avec des tiers pour de l’argent. Mais examinons d’abord les fuites de données.  

Phishing (hameçonnage) et identifiants compromis

Les cybercriminels attirent des individus peu méfiants dans leurs filets, en utilisant de faux emails ou messages qui les incitent à dévoiler des informations sensibles. Une fois en possession de ces identifiants volés, ces acteurs malveillants peuvent infiltrer des systèmes, faire des ravages mais aussi exploiter des informations personnelles (PII) et des données de l’entreprise. Ceci nous rappelle qu’un simple clic peut ouvrir la porte aux cyberattaques, et souligne la nécessité stratégique de disposer de signaux de menaces en temps réel tout en assurant une vigilance en continu. 

Mots de passe réutilisés et faibles.

Imaginez si les clés avaient un dessin très basique avec très peu de variantes. Un voleur pourrait ainsi facilement entrer dans une maison fermée à clé. C’est exactement de cette façon que des mots de passe faibles et réutilisés sont un facteur de risque majeur en matière de cybersécurité. Tout comme il suffit d’une seule porte mal fermée pour compromettre la sécurité de toute une communauté, l’utilisation de mots de passe recyclés ou pouvant être facilement devinés expose les individus et les organisations à un destin similaire. Les cybercriminels exploitent largement cette faiblesse pour pénétrer dans des comptes, dérober des informations sensibles, en ne laissant que chaos sur leur passage.

Unités de stockage redondantes et non protégées.

Imaginez un coffre rempli d’or, ou bien de comptes et de données clients dans notre cas. Maintenant, imaginez plusieurs exemplaires de ce coffre, et cachez-les dans des lieux différents avec des clés différentes. Les organisations ont souvent un serveur central de stockage, mais certaines équipes peuvent décider de créer leur propre répertoire de clients, mieux adapté à leur activité. En autorisant cela, l’organisation augmente sa surface d’attaque par un facteur dix, tout en ayant recours à des pratiques de sécurité incohérentes. Unifier et protéger les données de vos clients tout en supprimant les unités de stockage inutiles réduira vos risques de sécurité.  

Bots et usurpations de comptes.

C’est une chose de se protéger contre quelques attaques, mais votre organisation est-elle en mesure de se défendre contre un flux constant d’attaques automatiques ? C’est là que les bots entrent en scène. Il s’agit de petits programmes simples qui recherchent les points faibles dans votre système. Lorsqu’ils ont identifié ces points faibles, ils passent la main aux vrais acteurs malveillants, humains, qui prennent la suite. Les résultats génèrent des millions de dollars de pertes par an pour les entreprises, et les fraudeurs sont de plus en plus efficaces.

Absence d’obtention et d’application du consentement.

Si vous possédez quelque chose, vous ne voulez pas que quelqu’un d’autres l’utilise sans vous le demander, n’est-ce pas ? C’est la même chose pour les données personnelles : les entreprises ne devraient pas les utiliser sans votre permission. En l’absence de mécanismes robustes pour obtenir et appliquer le consentement, nous, en tant que consommateurs, risquons d’être confrontés à une recrudescence de collectes de données non désirées, à de tactiques marketing intrusives, et à une érosion de la confiance.

Incapacité à appliquer le consentement.

Imaginez un monde où les promesses en matière de confidentialité des données ne seraient qu’illusoires, ou au mieux sans fondement. L’incapacité à appliquer efficacement le consentement crée un terrain propice au non respect de la confidentialité des données, où nos frontières digitales n’existent plus et nos données sont exploitées sans retenue. C’est un peu comme si vous saviez comment réserver une voiture de location, mais que vous ne saviez pas comment la confirmer. 

Accès non autorisé aux données clients.

Les sites sur lesquels vous achetez des biens et services détiennent certaines de vos données personnelles, mais ils doivent les protéger et s’assurer que seuls des employés clairement identifiés y ont accès, ce qui n’est pas toujours le cas. Ceci est particulièrement vrai dans le cas de grandes entreprises où, par exemple, une équipe marketing a accès à des données clients et commence à les utiliser pour générer des prospects. Mais cette équipe n’a jamais été propriétaire de ces données et en conséquence ne devrait pas y avoir accès. 

Non conformité aux réglementations internationales.

Les éléments mentionnés ci-dessus, et d’autres aussi, ont conduit les gouvernements à développer des réglementations internationales en réponse aux entreprises qui ne protègent pas les données clients. Aujourd’hui, les réglementations générales les plus importantes sur la confidentialité des données sont le RGPD de l’Union européenne, le Consumer Data Right (CDR) en Australie, et le California Consumer Privacy Act (CCPA). Ces réglementations diffèrent légèrement, mais leur but ultime est de garantir la confidentialité des données et le consentement. Si les entreprises ne les respectent pas, elles s’exposent à des pénalités, des amendes et des frais de justice. 

Un domaine en particulier qui a été largement traité concerne le lieu où les organisations stockent réellement les données, et dans quelle zone géographique. Si un client réside dans l’Union européenne, ses données doivent être stockées dans l’Union européenne et non aux États-Unis ou au Brésil, par exemple. Cela engendre des difficultés pour la gestion d’une infrastructure cloud d’envergure mondiale, car le stockage des données dans une région donnée et même dans un pays donné est nécessaire pour respecter les contraintes réglementaires.    

Dans un monde idéal, tous les fournisseurs et toutes les entreprises respecteraient ces règles et ces bonnes pratiques en protégeant et en respectant les données de leurs clients et leur sécurité. Mais nous savons que ce n’est pas toujours le cas. Examinons brièvement les impacts lorsque les organisations ne respectent pas ces normes de sécurité et de confidentialité.  

Vol d’identité.

Les acteurs malveillants peuvent utiliser les données clients pour les usurper et voler leur identité. Ils peuvent collecter leurs remboursements d’impôts, commander de nouvelles cartes bancaires, sources de surprise désagréables pour les propriétaires légitimes. 

Pertes financières.

Les acteurs malveillants ont en général une motivation financière, et ils accèderont aux comptes des clients en utilisant leurs données personnelles pour y parvenir. Il y a toujours un perdant et un gagnant dans n’importe quel scénario. Donc, si un acteur malveillant gagne, alors c’est le client qui perd. 

Etendue non souhaitée.

Cette conséquence n’est pas aussi importante que les deux précédentes, mais elle est pesante et agaçante. Vous n’avez pas envie que des tiers en sachent plus sur vous que vous sur eux. Pourquoi auraient-ils accès à vos informations, connaîtraient-ils vos intérêts et vous démarcheraient-ils en douce ? Cela ne devrait pas être le cas, à moins que vous ayez donné votre consentement.

Perte de la confiance des clients.

Comme c’est le cas pour toute interaction humaine, il faut du temps pour construire un climat de confiance entre un client et une organisation, mais on peut rapidement le perdre. La croissance de la plupart des entreprises est nourrie par des clients qui reviennent et qui sont fidèles à la marque, ce qui contribue alors, par la même occasion, à attirer de nouveaux clients potentiels. Si la confiance est rompue, alors cette équation ne fonctionne plus. 

Revenus en baisse.

La perte de la confiance des clients conduit à une plus faible croissance, à moins de revenus et à moins de valeur pour les actionnaires. Ce qui peut créer un cercle vicieux difficile à gérer et à inverser. 

Des coûts plus élevés.

C’est comme recevoir une facture inattendue : personne n’aime ça. De plus, cela donne l’impression d’une organisation moins stable et moins prévisible, réduisant la valeur pour les actionnaires tout en affectant les bénéfices.  

Maintenant que vous avons compris le problème, voyons comment résoudre ou contourner ces difficultés en veillant à la sécurité des comptes et des données personnelles de vos clients tout en respectant leurs préférences en matière de confidentialité. Ceci nécessite souvent une robuste solution de gestion des identités et des accès (IAM) et un ensemble adéquat de fonctionnalités. En particulier, la gestion des identités et des accès clients (CIAM) permet aux entreprises d’authentifier, de capturer et de gérer en toute sécurité les données d’identité et de profil des clients tout en contrôlant à quelles applications, informations et services les utilisateurs ont un droit d’accès.

Les systèmes CIAM de nouvelle génération permettent aux entreprises d’identifier leurs clients ainsi que les applications auxquelles ils peuvent accéder sans compromettre ni la commodité ni la sécurité. En évaluant en permanence la fiabilité de l’identité de chaque client tout au long de la session, les entreprises peuvent ajuster, de façon dynamique, le degré d’authentification nécessaire en fonction de l’évaluation des risques en temps réel, afin que les contrôles de sécurité ne soit visibles que lorsque cela est absolument nécessaire. Cette approche permet aux clients de s’engager en toute sécurité avec des sites digitaux sans être confrontés à des frictions inutiles.

Nous aborderons ci-dessous quelques fonctionnalités essentielles de l’IAM. Elles sont présentées de façon progressive en fonction du degré de maturité d’une organisation en matière de gestion des identités, mais vous pouvez les combiner ou les ignorer en fonction des priorités de votre entreprise. 

Phase 1 : Connexion sécurisée

Authentification Passwordless. Tout d’abord, une authentification sécurisée doit être mise en place, mais malheureusement, les mots de passe sont souvent l’un des maillons faibles d’une infrastructure de sécurité. En s’appuyant sur divers signaux de risques, l’authentification passwordless protège vos clients et renforce votre posture globale de sécurité en réduisant votre dépendance envers des mots de passe facilement compromis ou réutilisés, tout en autorisant un accès fluide à vos applis.

Prévention des fraudes. Une authentification forte empêche également des acteurs malveillants d’avoir accès aux ressources. Vous pouvez de nouveau utiliser des signaux de risque pour stopper les bots et les acteurs malveillants avec une solution intégrée de prévention des fraudes, sans perturber les clients légitimes. Elle contrôle le comportement de l’utilisateur et les signaux émis par le terminal tout au long de la session, évalue les risques et prend automatiquement des décisions de réduction des fraudes en temps réel.

Phase 2 : Sécurité des données

Sécurité des données d’identité clients. Une fois qu’un client s’est enregistré et vous a confié ses données, vous devez les protéger, ce qui nécessite une stockage sécurisé. Déployez un annuaire centralisé et sécurisé, supportant les attributs d’identité, afin de fournir des profils clients unifiés tout en supprimant le stockage de données redondant. Assurez-vous que vos équipes aient un accès approprié aux données clients avec le chiffrement nécessaire. 

Confidentialité et consentement. Il peut être difficile d’obtenir et d’appliquer le consentement si l’architecture n’est pas adaptée. En intégrant les préférences liées à la confidentialité des données et au consentement à votre solution de gestion des identités, votre entreprise gagnera la confiance de ses clients et restera en conformité avec les réglementations tout en offrant des expériences digitales transparentes. Respectez les exigences en matière de résidence des données lorsque cela est nécessaire.  

Phase 3 : Sécurité en temps réel

Confiance adaptative en continu. Une fois qu’un client a obtenu l’accès, divers autres contrôles doivent être mis en place tout au long de sa session pour réduire le risque d’une activité malveillante. La confiance adaptative en continu fournit une approche de sécurité basée sur les principes du Zero Trust. Elle vise à évaluer et adapter, de façon dynamique, les degrés de confiance en fonction de divers facteurs et contextes en temps réel, au lieu de s’appuyer simplement sur un firewall tenant lieu de périmètre de sécurité. Elle utilise une combinaison d’analyse comportementale, d’évaluation de vulnérabilité, et d’informations contextuelles pour déterminer la fiabilité des utilisateurs et des terminaux qui veulent accéder à vos ressources ou à vos systèmes.

Regarder au-delà de l’horizon immédiat

L’identité décentralisée. Il s’agit d’un nouveau concept qui se profile rapidement et qui donne aux clients la possibilité de contrôler leur propre identité et leurs données personnelles. L’identité décentralisée redonne à vos utilisateurs le contrôle de leurs données d’identité. Elle vous permet de vérifier les pièces d’identité, et autres documents revendiquant l’identité, comme un permis de conduire, pour émettre des identifiants digitaux basés sur ceux-ci. Les utilisateurs peuvent partager des identifiants digitaux avec des organisations pour prouver qui ils sont rapidement et sans effort.

À ce stade, vous connaissez maintenant assez bien les difficultés que rencontrent les organisations lorsqu’il s’agit de sécuriser les clients et de garantir la confidentialité de leurs données. Mieux encore, vous avez identifié quelques solutions que vous pouvez désormais examiner. 

Chez Ping Identity, nous prenons la sécurité au sérieux et nous savons qu’elle nécessite un robuste socle IAM. Nous fournissons des solutions de gestion des identités intelligentes qui permettent aux entreprises de trouver un juste équilibre entre la sécurité et des expériences utilisateur personnalisées et fluides. Surtout, nous permettons de construire facilement des parcours utilisateur et des politiques de sécurité pour diverses applications de façon no-code. Les fonctionnalités d’orchestration offertes par Ping génèrent vitesse, agilité et, finalement, plus de création de valeur et de revenus.

Contactez-nous si vous avez des questions, ou découvrez notre solution PingOne for Customers pour en savoir plus sur les fonctionnalités et les packages solution afin de garantir la confidentialité des données et la sécurité de vos clients.