in

Prévenir le vol de données clients : les 4 recommandations à respecter selon HID Global

La multiplication récente des failles de sécurité dont ont été victimes de grandes entreprises du secteur de la finance et du commerce, notamment avec la cyberattaque massive portée sur le distributeur américain Target, résultent principalement d’un manque de mesures de sécurité de la part des organisations.

En effet, il devient urgent que les entreprises prennent conscience que les failles de sécurité représentent l’une des plus grandes menaces pour leur image, ainsi que pour la confidentialité des données relatives à leurs clients. Les conséquences peuvent être lourdes, raison pour laquelle les organisations doivent respecter un certain nombre de recommandations dans le cadre de la gestion des paiements afin de lutter contre les menaces, de protéger leurs ressources ainsi que leurs clients.

Parmi les mesures en matière de sécurisation des opérations liées au paiement par carte bancaire, quatre recommandations doivent être respectées selon HID Global, l’un des leaders mondiaux dans le développement de solutions d’identification sécurisées :

1. Passer de simples mots de passe à l’authentification forte au sein des points de vente

Lorsqu’un hacker vole l’identifiant d’un employé et son mot de passe, il est en mesure d’introduire un malware sur le réseau sans être détecté et de l’installer sur le système de point de vente, à partir duquel il est relativement facile de s’emparer des données d’une carte bancaire. Les organisations doivent protéger leurs systèmes et leurs données à travers l’authentification forte qui repose non seulement sur une donnée connue par l’utilisateur, à savoir le mot de passe, mais aussi sur un élément qu’il possède. C’est la combinaison de ces deux éléments qui renforce et assure l’identification de l’utilisateur : cela peut prendre la forme d’un token par exemple, pour se connecter à un ordinateur, et/ou une caractéristique présentée par l’utilisateur lui-même, et qui sera vérifiée à l’aide d’une solution biométrique.

2. Tirer profit des solutions améliorées d’authentification mobile forte

Les organisations sont à la recherche de solutions d’authentification de plus en plus rapides et flexibles pour leurs utilisateurs, avec des mots de passe uniques dédiés, des cartes d’affichage et d’autres terminaux physiques. Aujourd’hui, plusieurs tokens mobiles peuvent être intégrés sur une même carte pour gérer plusieurs applications, ou bien sur un téléphone associé à une application cloud accessible via l’authentification unique. Ce principe permet à un utilisateur d’accéder à plusieurs applications à l’aide d’une seule authentification car le support lui-même devient alors un dispositif d’authentification. Il suffit ensuite de présenter la carte ou le téléphone devant une tablette, un ordinateur ou un autre périphérique pour l’authentification réseau, après quoi le mot de passe unique devient inutilisable. Il n’y a pas de token additionnel à déployer ou à gérer, l’utilisateur final ne dispose plus que d’un seul terminal avec lui et n’a plus besoin de se rappeler ou d’entrer un mot de passe compliqué.

3. Adopter une stratégie de sécurité informatique multicouches pour réduire les risques

Pour une efficacité optimale, les entreprises doivent adopter une approche de sécurité en plusieurs couches et commencer par l’authentification de l’utilisateur, c’est-à-dire un employé, un partenaire ou un client. Il faut ensuite procéder à l’authentification de l’appareil, à la protection du navigateur, de l’application et enfin, à l’authentification de la transaction avec une structure intelligente pour les plus sensibles d’entre elles. La mise en place de ces couches nécessite une plateforme d’authentification multifonctions qui soit capable de détecter les menaces en temps réel. Combinée à une solution de protection anti-virus, l’adoption d’une plateforme avec plusieurs couches permet de fournir le niveau de sécurité le plus élevé possible contre les menaces actuelles.

4. Renforcer la sécurité des systèmes de paiements et accélérer l’adoption du standard EMV

Les pistes magnétiques des cartes de paiement comportent un code de sécurité statique (CVV), représenté par un cryptogramme visuel situé au dos de la carte, qui peut facilement être intercepté par les systèmes de point de vente infectés par des malwares, puis répliqué à l’aide de lecteurs d’empreintes. A l’inverse, les cartes de paiement Europay Mastercard Visa (EMV) stockent toutes les informations relatives au paiement sur une puce sécurisée, utilisent des clés personnalisées pour chaque émetteur et procèdent à l’authentification avec des normes cryptographiques. Elles remplacent le code de sécurité statique par un code de sécurité dynamique qui ne peut être utilisé pour contrefaire la carte bancaire. Ce protocole de sécurité EMV est un standard international qui peut également être intégré aux terminaux de paiements. Il apporte un niveau de sécurité beaucoup plus élevé et sa généralisation en France et au niveau européen contribue à la réduction du risque d’attaque sur les entreprises.

Plus que jamais aujourd’hui, il est nécessaire que les organisations mettent en place des dispositifs d’authentification forte pour protéger leurs données ainsi que celles de leurs clients, et qu’elles suivent les recommandations relatives à la sécurité des paiements pour lutter contre la fraude.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.