Le rôle de l’autorisation dynamique dans la prévention des fraudes

La pandémie a pris de court de nombreuses entreprises qui n’étaient pas préparées à passer rapidement des interactions en face à face à des opérations principalement numériques. Qu’il s’agisse des banques, des commerçants, des magasins d’alimentation ou des prestataires de santé, les organisations n’ayant pas mis en place de systèmes pour sécuriser l’accès des utilisateurs 24h/24 et 7j/7 depuis des appareils exposent leurs entreprises, leurs employés, leurs partenaires et leurs clients à des risques. D’après l’enquête 2021 de Ponemon, The Real Cost of Online Fraud, 61 % des personnes interrogées ont déclaré que leurs organisations n’avaient pas les bonnes technologies pour réduire les fraudes financières en ligne. 

Lors des premières étapes de leur transformation numérique, les entreprises ont eu du mal à s’adapter aux acteurs des nouveaux marchés proposant de meilleures expériences client, et elles ont commencé à perdre des parts de marché. Elles se sont aussi exposés elles-mêmes à des attaques par des acteurs malveillants. Les organisations utilisant le contrôle des accès basé sur les rôles (RBAC), une approche large qui était efficace quant les utilisateurs et les systèmes étaient sur site, ont constaté qu’elles avaient besoin d’une approche plus flexible et ont migré vers une solution de sécurité définie par l’identité, un contrôle des accès basé sur les attributs avec l’autorisation dynamique. Cette nouvelle approche associe le contrôle centralisé et le contexte au niveau de l’utilisateur pour prendre des décisions en temps réel.

Le contrôle des accès basé sur les attributs (ABAC) renforce la sécurité en évaluant bien plus que le rôle de l’utilisateur pour prendre des décisions d’autorisation. Le contexte d’une demande d’accès fournit un aperçu plus détaillé de la situation. Par exemple, avec plus d’employés en télétravail, les entreprises doivent guetter les fraudeurs qui tentent de pénétrer dans leurs systèmes en utilisant les identifiants volés d’un utilisateur. En ajoutant des attributs pour prendre une décision d’autorisation, si cette tentative de connexion provient d’un autre pays, cette activité sera signalée.  

Ces attributs peuvent inclure :

• Utilisateur (par ex., autorisation de sécurité ou âge)  

• Ressource (par ex., type de ressource ou date de création) 

• Contexte (par ex., emplacement ou moment dans la journée)

L’autorisation dynamique est la mise en place en temps réel d’une logique commerciale stricte liée à ce que les utilisateurs peuvent voir et faire, dans quel contexte et dans quel but.

L’autorisation dynamique commence avec une application, comme une appli mobile, fournissant des données au système d’autorisation central qui identifie la nature de la demande. Parmi les exemples, on peut citer un client qui veut accéder à son compte de e-commerce ou un employé des RH qui veut accéder aux fichiers confidentiels d’un employé. Le système central d’autorisation se charge de récupérer les données supplémentaires nécessaires pour prendre la bonne décision. Cela peut inclure :

• Rechercher plus de contexte dans un service d’annuaire, comme les rôles au sein de l’organisation ou les attributs utilisateur
  

• Vérifier les services de risque des appareils basés sur le cloud

• Évaluer les systèmes de fraude et de risque pour réactualiser le statut de risque actuel de l’utilisateur

   

L’autorisation dynamique s’appuie sur des politiques qui examinent plus qu’un seul attribut, comme par exemple un rôle (tel que le rôle de client ou d’employé des HR), et ajoute du contexte en évaluant de multiples attributs (par ex. l’heure, l’adresse IP ou le type de ressource) pour prendre une décision. Les politiques mises en place par une organisation orientent la décision d’autorisation pour chaque demande d’accès. Les actions de valeur élevée, notamment l’accès à des données sensibles ou un achat important, sont soumises à des politiques différentes de celles consistant à simplement consulter un site web commerçant. L’expérience utilisateur peut rester sans friction pour les situations à faible risque, mais des degrés de friction peuvent être ajoutés lorsque cela est nécessaire. Par exemple, si un client qui utilise rarement un site de vente en ligne essaye tout d’un coup de faire un achat s’élevant à 10 000 $, une authentification renforcée utilisant l’authentification multifacteur (MFA) peut être demandée pour s’assurer que le compte n’a pas été usurpé par un fraudeur.

Signaux de risque et fournisseurs de risques

Les organisations sont toujours sous pression pour trouver un équilibre entre la sécurité et les frictions pendant l’expérience utilisateur.  Une approche qui attire de plus en plus consiste à adapter l’expérience utilisateur en fonction du degré de confiance accordé à l’utilisateur.

Comment savoir si vous pouvez faire confiance à un utilisateur ? Les organisations utilisent en général de nombreuses sources de données et les signaux de risque pour savoir si accorder ou non un accès. Sur le temps, une relation de confiance se développe en utilisant des signaux provenant de fournisseurs externes au sujet des fraudes et des risques, ainsi que des informations sur l’utilisateur, son appareil et les actions qu’il souhaite réaliser. L’enrichissement des données à partir des fournisseurs de risques peut :

• Réduire les taux de fraudes

• Réduire le nombre de faux positifs

• Éviter les vérifications manuelles et les rétrofacturations

• Supprimer les frictions et augmenter les revenus

Une approche centralisée éloigne les politiques d’autorisation des décisions prises au niveau de l’application pour permettre aux équipes en charge des fraudes de répondre de manière cohérente et plus rapide à des questions dans l’ensemble de l’organisation. Les outils pour détecter les fraudes évoluent en permanence et les équipes en charge de la lutte contre les fraudes peuvent vérifier et ajouter les meilleurs signaux de risques de leur catégorie aux politiques lorsqu’ils sont identifiés.

Une approche à plusieurs niveaux de la prévention des fraudes est toujours votre meilleure option, étant donné que les acteurs malveillants viennent avec de nouvelles manières de commettre des fraudes tous les jours.  

Les fraudes peuvent survenir à n’importe quelle étape du parcours utilisateur. Développer des politiques fortes et identifier les signaux de risques pour réduire les activités frauduleuses fait partie de cette approche à plusieurs niveaux. En signalant en amont les activités suspectes lors de la création du compte, de la connexion au compte, des changements de profil, des tentatives de transaction, des tentatives pour accéder à des données sensibles et autres étapes du parcours utilisateur, les fraudes peuvent être évitées.

Dans le cadre d’une approche à plusieurs niveaux, certains pays ont pris des mesures supplémentaires pour éviter des fraudes. Au Royaume-Uni, la campagne nationale Take Five Stop-Challenge-Protect aide les gens à se protéger contre des fraudes financières pouvant être évitées, en les informant sur les emails trompeurs, les arnaques au téléphone, les fraudes en ligne, et en les alertant sur les tactiques utilisées par les délinquants qui prétendent être des organisations de confiance. La campagne se focalise notamment sur les arnaques au paiement push autorisé (APP), lorsqu’un délinquant piège un individu ou une entreprise pour qu’ils envoient un paiement irréversible vers un compte en banque contrôlé par le délinquant. Si une banque ayant établi une relation de confiance avec une personne vulnérable peut trouver une manière d’altérer l’expérience utilisateur, par exemple en demandant si la personne a reçu un appel téléphonique ou un email lui disant de faire la transaction, cette personne est incitée à arrêter avant d’envoyer son argent au fraudeur. 

Les avantages des politiques d’autorisation centralisée qui sont utilisées pour contrôler les accès en évaluant les attributs d’identité, les autorisations, les consentements et les informations contextuelles supplémentaires vont au-delà de la prévention des fraudes.

Confidentialité et conformité réglementaire

L’autorisation dynamique permet aux organisations de respecter les réglementations avec des filtres d’attributs et des mécanismes d’application du consentement concernant la confidentialité. La conformité au RGPD, au CCPA, au CDR et à d’autres réglementations signifie que les clients doivent avoir la visibilité et le contrôle sur leurs données. Sans un système d’autorisation centrale fournissant une vision unique des utilisateurs, les données utilisateurs en silo compliquent la gestion des consentements.

Personnalisation

Comprendre vos utilisateurs vous permet de personnaliser vos interactions avec eux. Au-delà de la personnalisation de l’accueil et des offres, les préférences personnelles peuvent également être utilisées pour prévenir les fraudes. Par exemple, le client d’une banque qui ne réalise aucune action par téléphone peut refuser cette option dans le profil de son compte, en empêchant un acteur malveillant de faire une transaction frauduleuse par téléphone. 

Le paysage des fournisseurs de solutions évolue et change en permanence. La bonne approche est d’avoir plusieurs degrés de contrôle et les meilleurs modèles de risques de leur catégorie. Les organisations devraient chercher à trouver de l’agilité dans leurs solutions de prévention des fraudes.  

PingOne Authorize et PingAuthorize offrent aux entreprises l’agilité pour réagir instantanément sans sacrifier la sécurité ou la conformité aux réglementations. Ces outils fournissent les politiques d’autorisation centralisée qui évaluent le contexte d’une demande pour prendre des décisions intelligentes, tout en protégeant vos données, services, applications et API et en procurant à vos utilisateurs des expériences fluides.