Selon le rapport de l’Observatoire de la sécurité des moyens de paiement 2020, publié par la Banque de France, les paiements en ligne effectués en 2020 au moyen d’une carte bancaire française ont représenté un montant de près de 150 milliards d’euros, véritable terreau fertile pour les fraudeurs. Dans les opérations d’e-commerce, les paiements à distance ont enregistré une hausse de la fraude de 16,4 % par rapport à 2019, laquelle repose sur deux facteurs : l’augmentation des achats en ligne stimulée par la pandémie de Covid-19, et la multiplication des attaques menées par les acteurs malveillants.
Pour Duncan Godfrey, VP Security Engineering chez Auth0, à cette époque de transition où les entreprises traditionnelles commencent à ressembler davantage à un ensemble d’applications tournées vers le consommateur – de sorte qu’elles ne peuvent pas se permettre d’ignorer les enjeux de sécurité associés à la gestion des identités et accès des clients – l’identité devrait figurer en tête des priorités des RSSI.
« Derrière chaque opération se cache un utilisateur humain ou une machine, et les organisations doivent aujourd’hui constamment vérifier leur authenticité, et s’assurer qu’ils sont bien ceux qu’ils prétendent être. Ces identités numériques sont omniprésentes, et elles regroupent un ensemble d’attributs qui définissent un utilisateur particulier dans le contexte d’une fonction assurée par une application particulière. Le plus souvent, une protection est nécessaire. Dans le domaine de la gestion des identités et des accès (IAM), celle qui concerne plus spécifiquement les clients (CIAM) est axée sur la gestion des identités des consommateurs qui doivent accéder à des sites web, à des services d’e-commerce et à d’autres applications en ligne.
Il est compliqué de gérer la CIAM. C’est un fait. Non seulement parce que les applications sont susceptibles d’être exposées à des attaques à grande échelle sur internet, mais aussi en raison des tenants et aboutissants de la gestion des identités des clients. Les consommateurs forment un groupe hétérogène, et il n’est pas simple de faire la différence automatiquement entre un utilisateur un peu perdu et un attaquant avancé. En outre, la sécurisation des identités des clients est encore compliquée par l’incapacité généralisée du secteur à protéger les données. Compte tenu de la fréquence des compromissions de mots de passe et de l’accès à des outils d’attaque automatisés, le mot de passe traditionnel est désormais un moyen de protection obsolète. Aujourd’hui, nous ne pouvons pas ignorer l’évidence : l’identité numérique contrôle l’accès à des applications et des services de plus en plus nombreux. À terme, elle aura une incidence sur tous les aspects de la vie moderne, voire les régira, ce qui fera de l’authentification et de l’autorisation des facteurs essentiels pour maintenir la confiance et la sécurité.
Les conclusions de l’observatoire font largement écho à nos propres observations. Premièrement, les enregistrements frauduleux constituent un danger qui peut coûter cher. Bien que les taux varient selon les secteurs d’activité, environ 15 % de toutes les tentatives d’enregistrement d’un nouveau compte peuvent être attribuées à des bots. Plus qu’une simple nuisance, les comptes fantômes contrôlés par des cybercriminels représentent un problème avec un coût élevé et un impact négatif sur les applications et leurs utilisateurs, tout en générant des conséquences plus importantes, comme le blanchiment d’argent. Deuxièmement, le « credential stuffing » représente une menace de grande ampleur. Une attaque de ce type peut en effet être à l’origine de plus de 90 % des tentatives de connexion dans un secteur spécifique, un jour donné.
Les paiements en ligne et la création de comptes continueront à se développer, et les identités ne cesseront de se multiplier, tout comme les tentatives de fraude. Pour dissuader les cybercriminels, il est indispensable de perturber l’économie des attaques en développant des services d’identité selon une approche flexible, fondée sur la sécurité dès la conception et la défense en profondeur. Dans cette optique, les équipes IT peuvent déployer des mesures défensives en amont du processus d’authentification, et tout au long de celui-ci, et mettre en place des pratiques sûres de gestion des sessions pour renforcer leur défense.
Dans notre monde numérique en pleine évolution, dans lequel la CIAM joue un rôle de plus en plus important, il devient primordial de promouvoir l’authentification multi-facteurs (MFA) tout en limitant les frictions et en préservant la sécurité des utilisateurs. Qu’il s’agisse de l’authentification progressive, de la MFA adaptive ou des méthodes biométriques compatibles avec le standard WebAuthn pour les connexions sans mot de passe, le déploiement de capacités d’authentification constitue un atout précieux dans la lutte contre les violations de données, la prise de contrôle de comptes, le « credential stuffing », le vol d’identité, les abus de confidentialité ou encore la fraude à la carte de crédit. »