Les menaces de sécurité sont de plus en plus sophistiquées, et les fraudes se multiplient. Comment protégez vous votre entreprise contre les acteurs malveillants avec un impact minimum pour votre parcours client ?
Examiner attentivement un site web ou une application pour identifier les risques ne représente que la moitié du chemin. Après la détection des problèmes ou vulnérabilités potentielles, des solutions doivent être élaborées et mises en œuvre.
Cet article explore différentes stratégies pour réduire les risques les plus courants auxquels les applications d’aujourd’hui sont confrontées et pour se défendre à l’avenir contre des risques similaires.
Les solutions SOAR (Security Orchestration, Automation, and Response) vous permettent à vous et à votre équipe en charge de la sécurité, d’automatiser les réponses aux incidents en gérant les flux de données entre les outils de sécurité et de productivité. Les solutions de détection des fraudes, par exemple, analysent chaque session en temps réel en utilisant la biométrie comportementale et les empreintes digitales sur les terminaux pour détecter et bloquer les transactions frauduleuses.
Vous pouvez utiliser les informations collectées à partir des activités frauduleuses pour orchestrer des parcours clients transparentes tout en protégeant votre business. PingOne DaVinci offre une solution en glisser-déposer, qui réduit les risques de fraude et résout d’autres problèmes importants liés à l’identité.
Si certaines actions visant à réduire les risques sont réalisées silencieusement, il est souvent utile de recevoir et de réagir manuellement aux alertes signalant des anomalies qui sont déclenchées par des comportements ou des schémas de données particuliers qui s’écartent de la norme. Les nouvelles solutions de détection des anomalies ont souvent recours au machine learning pour aider à découvrir des anomalies dans les environnements de données complexes et en constante évolution des entreprises d’aujourd’hui.
Vous pouvez également réduire les surfaces d’attaque directes de votre serveur. Un reverse proxy est un serveur qui intercepte des requêtes client vers le serveur d’origine afin que les clients ne communiquent pas directement avec ce serveur. De cette façon, un reverse proxy fonctionne comme une couche de protection contre les attaques car les adresses IP du serveur d’origine n’ont pas besoin d’être publiquement accessibles.
PingAccess, déployé sous le modèle gateway, met en œuvre un reverse proxy haute performance qui permet le single sign-on (SSO) pour les applications web et les API, quel que soit leur nombre, depuis des serveurs d’origine, quel que soit leur nombre.
Le geofencing permet de limiter l’accès en s’appuyant sur le lieu géographique estimé d’un terminal. Par exemple, vous pouvez le régler de sorte qu’un terminal utilisateur doive se trouver à une distance donnée par rapport au site des bureaux.
L’approbation d’une session par le workflow d’un responsable déclenchera une notification exploitable par le gestionnaire de l’identité associée à la demande d’authentification. Vous pouvez mettre en œuvre ce workflow pour obliger un composant humain à autoriser de nouvelles sessions. Ceci ajoute des frictions au parcours utilisateur, mais il peut s’agir d’un compromis adapté pour les sessions de valeur critique.
Si le terminal d’un utilisateur en particulier est compromis, les équipes en charge de la sécurité peuvent mettre fin aux sessions uniquement pour le terminal affecté. De plus, les équipes en charge de la sécurité peuvent bloquer des utilisateurs si la vulnérabilité persiste au-delà de la session. Et si des risques découlent d’un mot de passe compromis, des réinitialisations forcées de mot de passe avec des règles strictes pour définir un nouveau mot de passe garantissant une complexité suffisante peuvent permettre de redonner à l’utilisateur un statut sécurisé.
Vous devez mettre en place un chiffrement des fichiers pour protéger ceux qui sont sensibles. Vous pouvez même aller plus loin en chiffrant l’ensemble des fichiers. Le chiffrement utilise les mathématiques pour brouiller des données de sorte que seuls les utilisateurs avec un mot de passe puissent révéler le véritable contenu des fichiers. Lorsque les données sont chiffrées au repos, elles seront indéchiffrables pour la plupart des gens. Des enquêtes officielles peuvent révéler des données chiffrées, mais elles sont très difficiles à déchiffrer lorsqu’elles sont protégées par un mot de passe d’une complexité suffisante.
L’expiration d’une session après un intervalle donné d’inactivité peut réduire les risques de sessions non surveillées ou oubliées. Toutefois, cela introduira probablement des frictions pour des utilisateurs qui réalisent plusieurs tâches et ne restent pas suffisamment actifs au sein de l’application. L’expiration des sessions offre également une protection limitée si l’utilisateur s’éloigne du terminal.
Trouver le bon équilibre entre sécurité des données et conformité aux réglementations est complexe et risqué. Heureusement, les plateformes d’autorisation dynamique de Ping Identity, PingOne Authorize, une offre SaaS, et PingAuthorize, une offre sur site, centralisent les contrôles d’accès en fonction du contexte, en supprimant les complexités tout en fournissant un parcours utilisateur agréable.
Une couche de sécurité incluant l’autorisation et l’accès centralisé aux API, soumise à des règles, garantit que seuls les utilisateurs autorisés puissent accéder à des ressources API spécifiées. Une solution idéale d’autorisation et d’accès aux API doit utiliser des standards ouverts pour garantir une flexibilité et une portabilité maximum.
Avec des règles d’accès, vous pouvez autoriser ou refuser l’accès et les modifications relatifs à vos applications et vos ressources en fonction des propriétés de l’utilisateur, de l’heure, du lieu géographique, de l’adresse IP source, de la portée du jeton d’accès OAuth, ou d’autres paramètres. De plus, des safelists peuvent être créées pour autoriser l’accès à des groupes de données, comme une liste d’adresses IP sources, tout en refusant tout le reste par défaut. Une solution complète, appelée politique, fournira des ensembles de règles réutilisables et des regroupements de ces ensembles.
Un type de règle d’accès particulièrement courant est une règle limitant le débit. Ces règles peuvent limiter un client qui voudrait surcharger une application ou réaliser une action en particulier en émettant trop de requêtes sur une durée déterminée.
L’authentification multifacteur (MFA) demande à l’utilisateur de s’authentifier en fournissant au moins deux facteurs sur trois : un facteur de connaissance, un facteur de possession ou un facteur inhérent à l’individu. Par exemple, un mot de passe et un jeton avec un mot de passe unique et à durée limitée (TOTP) sont à la fois quelque chose que vous savez (connaissance) et quelque chose que vous avez (possession).
Une approche imposant un « MFA généralisé » pour l’authentification réduit efficacement la plupart des attaques mais peut ajouter des frictions inutiles au parcours utilisateur dans les sessions à faible risque. En fonction de vos exigences, vous pouvez choisir une approche d’accès basée sur une valeur transaction pour imposer le MFA uniquement pour des transactions à forte valeur. Les politiques MFA de Ping prennent en compte le niveau de risque et le contexte des sessions pour déterminer si une session a besoin d’un second facteur.
Si les mots de passe sont fréquemment le principal, voire le seul, moyen de s’authentifier sur de nombreux sites et applications, ils sont aussi l’une des plus grandes menaces de sécurité pour les entreprises d’aujourd’hui ainsi qu’une source de frictions pour les utilisateurs. Il existe aujourd’hui diverses solutions de connexion sans mot de passe pour divers cas d’usage et diverses exigences réglementaires. De nombreuses organisations choisissent d’adopter le protocole FIDO (Fast Identity Online), un standard ouvert pour la connexion sans mot de passe, lequel peut être associé à une approche MFA.
L’un des nombreux problèmes que posent les mots de passe réside dans leur délivrance initiale.. Vous devez souvent configurer un premier mot de passe pour les nouveaux utilisateurs d’une application basée sur des mots de passe. Lorsque la connexion sans mot de passe n’est pas une option, un mot de passe aléatoire devrait être généré et communiqué au nouvel utilisateur sans intervention humaine. De plus, un durée limitée pour la connexion initiale devrait être appliquée, ainsi qu’une réinitialisation forcée du mot de passe pour limiter la durée pendant laquelle le mot de passe initial est valide.
Enfin, utilisez la vérification d’identité pour vous assurer que vos clients sont bien ceux qu’ils prétendent être. Des services cloud tels que PingOne Verify peuvent être intégrés à votre application mobile pour combiner une technologie de reconnaissance faciale en temps réel avec une pièce d’identité officielle pour vérifier rapidement l’identité de votre client.
Lorsque vous déterminez votre stratégie de réduction des risques, il est essentiel de définir clairement votre modèle de menace en examinant ce que vous voulez protéger et contre qui vous voulez le protéger. Prenez en compte l’ensemble du parcours utilisateur, et pas seulement le point de connexion. Des stratégies de réduction des risques plus intelligentes n’introduisent pas nécessairement de frictions dans le parcours utilisateur. Lorsque vous aurez examiné l’ensemble de vos risques, vous pourrez mettre en place votre stratégie pour les réduire.
Une approche intelligente imposant le MFA généralisé peut stopper la plupart des attaques et constitue un bon point de départ. À partir de là, vous pourrez choisir d’ajouter une approche adaptative, basée sur le niveau de risque et sur le contexte, en réduisant ainsi les frictions ressenties par les utilisateurs.
La sécurité se renforce lorsqu’elle est appliquée par couche par couche. Trouvez les meilleurs compromis entre sécurité et facilité d’utilisation pour votre propre cas d’usage, puis superposez y d’autres approches explorées dans cet article en fonction des besoins.
Lancez-vous dès Aujourd'hui
Contactez-Nous
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite