La convergence de la vérification d’identité, de la gestion des accès et de la détection des fraudes

Les préférences des clients et des employés ont changé pendant la pandémie. Le télétravail, les achats, la banque et d’autres activités en ligne sont là pour durer. Les acteurs malveillants considèrent l’augmentation des activités en ligne comme une énorme opportunité, car elles ne sont plus protégées par des contrôles sur site. La surface d’attaque des organisations s’est élargie avec toujours plus d’applis, d’API et de services en mode SaaS, et elles doivent donc défendre leurs ressources contre des attaques sur de multiples fronts. 

Les entreprises doivent s’adapter pour donner aux utilisateurs légitimes un accès sécurisé aux ressources dont ils ont besoin depuis d’importe où, à tout moment et sur n’importe quel terminal, sans devoir passer par un grand nombre d’étapes. Une stratégie moderne de lutte contre les fraudes prend en compte le comportement des utilisateurs et divers signaux sur les terminaux tout au long du parcours utilisateur et en temps réel, en perturbant au minimum les utilisateurs légitimes. Les transactions frauduleuses peuvent être stoppées avant de causer des dommages à votre entreprise, à la fois en terme financier et de réputation. LexisNexis a constaté que, en 2021, 1 $ de fraude coûtait 3,60 $ aux commerçants en ligne aux États-Unis et qu’au Canada, le coût était de 3,02 $.

Les fraudes en ligne prennent plusieurs formes, notamment la forme de fraude par usurpation de compte (ATO), de fraude au paiement et de fraude ciblant les adresses électroniques professionnelles (BEC), qui a représenté la forme de fraude la plus coûteuse en 2020, engendrant des pertes de 1,8 milliard de $. La preuve de l’identité, la gestion des accès et la détection des fraudes fonctionnent main dans la main pour fournir aux utilisateurs une expérience fluide tout en les défendant contre de multiples vecteurs d’attaque. Examinons chaque composant individuellement et comment ils fonctionnent ensemble pour constituer une solution complète.

La preuve de l’identité, aussi appelée vérification de l’identité et preuve des pièces d’identité, permet de s’assurer que les utilisateurs sont bien dès le départ ceux qu’ils prétendent être en associant leur identité numérique à leur identité dans la vie réelle. Étant donné que les identités, les identifiants et les informations personnelles (PII) volés peuvent être utilisés pour paramétrer de nouveaux comptes frauduleux, la vérification de l’identité est généralement mise en place pendant le processus d’enregistrement et peut être intégrée aux applis mobiles.

Lors quelle est mise en place pendant l’intégration, la preuve de l’identité procure aux organisations une garantie supplémentaire en demandant à un utilisateur de fournir un selfie et une pièce d’identité délivrée par le gouvernement pour s’assurer que l’utilisateur est bien celui qu’il prétend être.

L’absence de vérification des pièces d’identité peut avoir un impact financier et endommager votre réputation. Lorsque la pandémie a commencé, les états des États-Unis qui n’avaient pas mis en place la vérification des identités ont payé des millions de dollars en allocations chômage frauduleuses récupérées par des réseaux de crime organisé utilisant des identités volées. Après avoir ajouté la preuve de l’identité à la procédure, les fraudeurs n’ont plus pu recevoir d’allocations supplémentaires frauduleuses car ils ne pouvaient pas fournir les selfies demandés.  

Regardez cette courte vidéo pour découvrir le processus de vérification du client en action.

Combiner la vérification de l’identité et la gestion des accès des clients donne à votre entreprise la possibilité de renforcer la sécurité lorsque les clients interagissent avec vos applis et vos sites web sans ajouter de frictions inutiles à leur expérience. Le single sign-on (SSO) permet aux clients de se connecter avec un seul ensemble d’identifiants pour accéder à chaque appli et site web. Cela donne à vos clients une manière pratique et cohérente de se connecter et vous permet de réduire le risque d’un piratage lié aux mots de passe. Intégrer simplement l’authentification multifacteur (MFA) à côté du SSO, vous donne une garantie supplémentaire sur l’identité de vos clients en continuant à évaluer le niveau de risque et le contexte, mais aussi en requérant des mesures d’authentification supplémentaires si besoin. 

Dès que les utilisateurs ont été vérifiés et authentifiés, vous voulez vous assurer qu’ils puissent accéder uniquement aux ressources dont ils ont réellement besoin. L’authorisation dynamique, également appelée contrôle des accès basé sur les attributs (ABAC) et le contrôle des accès basé sur les politiques (PBAC), vous permet de contrôler qui accède à quelles données et à quelles actions sur les applications SaaS, mobile et web de votre entreprise. Le contrôle et l’administration centralisées des autorisations facilitent la création et l’application de politiques qui renforcent la sécurité, protègent les ressources et respectent les exigences réglementaires, de manière rapide et efficace.

Si le traditionnel contrôle des accès basé sur les rôles a constitué la norme, les limites qu’il a rencontrées pour répondre aux cas d’usage et aux menaces actuels le rendent moins souhaitable. L’autorisation dynamique basée sur des politiques est plus flexible et analyse les attributs du contexte en temps réel pour approuver, refuser ou renforcer l’authentification avant qu’un utilisateur puisse accéder aux ressources ou réaliser des transactions. 

Les politiques développées par une entreprise indiquent quels signaux de risque devraient être utilisés pendant les différents scénarios, et s’appuient sur des fournisseurs de signaux de risques indépendants pour déterminer l’étape suivante. Un scénario à bas risque, notamment l’accès à une appli, peut rester dépourvu de friction tandis qu’une transaction financière de haute valeur peut nécessiter une authentification renforcée avant que la transaction puisse être autorisée à se poursuivre. Par exemple, un client qui n’a pas utilisé sa banque en ligne depuis six mois peut se voir demander de suivre des étapes d’authentification supplémentaires avant d’être autorisé à virer 5 000 $ à un compte suspect pour s’assurer que la personne qui tente de faire ce virement est le propriétaire d’un compte légitime et non pas un fraudeur.

Détecter un comportement frauduleux avant qu’une action ou une transaction ait lieu limite également les dommages financiers et affectant votre réputation. Les outils de détection des fraudes en ligne ont recours au machine learning (ML) et à l’intelligence artificielle (AI) pour identifier les comportements suspects et empêcher les fraudeurs de créer des comptes, de se connecter et/ou de réaliser des transactions. 

Le comportement des clients, des employés et des partenaires légitimes suit des schémas prévisibles que ni les bots ni les hackers ne peuvent reproduire, comme taper à une vitesse normale plutôt que de copier/coller des données à un rythme plus rapide. La vitesse est généralement une véritable priorité pour les acteurs malveillants lorsqu’ils tentent d’accéder à autant de comptes que possible en un minimum de temps, en utilisant les attaques par force brute ou par credential stuffing avec des identifiants compromis.

Collecter et analyser de multiples points de données sur le comportement, de manière continue, contribue à identifier de nouvelles menaces au fur et à mesure qu’elles se développent. Les outils de surveillance et de détection des fraudes peuvent être personnalisés pour votre organisation, avec les évaluations des risques examinant des points de données tels que :

• Le type d’appareil, le système d’exploitation et la version

• Le type et la version du navigateur

• La date, l’heure et le lieu de l’accès

Étant donné que les acteurs malveillants cherchent en permanence de nouvelles manières de pénétrer dans votre système et de l’exploiter, vous avez besoin d’une solution complète et flexible. Pour réussir à lutter contre les fraudes en ligne, il faut comprendre comment et à quel endroit ont lieu les fraudes, mais aussi réduire leurs effets en temps réel et améliorer votre posture générale en termes de sécurité. Essayer d’intégrer des solutions avec de multiples fournisseurs peut être coûteux, prendre du temps et générer des vulnérabilités, des fraudes, des fuites de données et des ransomwares.

Inciter les équipes commerciales et informatiques mais aussi les équipes en charge des risques, de la sécurité, de la conformité à décrire les processus pour identifier les vulnérabilités potentielles donne une meilleure vue d’ensemble. Étant donné que personne ne veut surcharger les développeurs ou les inquiéter avec des codages qui seraient inutiles, une feuille de route conduisant à une solution low ou no-code fait gagner du temps, de l’argent et évite des frustrations.

PingOne DaVinci est une plateforme d’orchestration qui vous permet de décrire votre situation et de sélectionner les meilleures options pour relever vos défis, puis concevoir une solution low ou no-code. En savoir plus sur notre solution complète qui intègre la preuve d’identité, la gestion des accès et la détection des fraudes en ligne pour réduire les risques de fraude.