Identification des risques

Comment avoir un internet de confiance? La sécurité des sites web eux-mêmes et des postes de travail est un sujet abondamment traité, mais moins celle des communications elles-mêmes. Pourtant, leur chiffrement par SSL s'avère insuffisant pour certains secteurs.

 

L'enjeu: la traçabilité de vos utilisateurs (vos clients) par des tiers

Le traçage de vos utilisateurs par les opérateurs est inévitable: les opérateurs télécom, FAI, opérateurs mobiles, etc. conservent quasiment tous des pistes d'audit détaillées. Dans la majorité des pays, cette obligation est légale (en Europe par exemple, une directive de l'UE impose une conservation entre 6 mois et 2 ans à tout opérateur). Sans mesure adéquate, il n'y a rien que votre organisation puisse faire pour éviter cela.

Les données conservées permettent de retracer un historique complet de ce que font vos clients sur votre site. A minima, on y trouvera l'identifiant unique du client, les sites visités, la date et la durée de connexion, la quantité de données échangées... Ces données sont interrogeables aisément, sous forme de requête. Par exemple: qui s'est connecté à cette entreprise et à quelle fréquence ces 2 dernières années ?

 

Le risque: la divulgation de l'identité de vos utilisateurs

Ces traces de connexion sont peu protégées par les opérateurs: ils les considèrent en général comme non-stratégiques et non-sensibles, comme un centre de coût; leur culture est peu souvent axée sur la protection des données; ils recourent enfin traditionnellement à de nombreux sous-traitants au turnover élevé, multipliant les possibilités d'accès non-contrôlé à ces données comme le montre régulièrement l'actualité.

Quels impacts possibles pour une telle divulgation?

  • Vol d'identité et utilisation par des groupes criminels.
  • Campagne publique de dénigrement, pression, chantage. Risque potentiellement fort selon les pays.
  • Risque de réputation et commercial pour l'entreprise elle-même.
  • Vecteur d'espionnage économique.

 

Un risque en forte augmentation

La divulgation d'identité est un risque et un business en plein essor, tant du fait de groupes criminels qui y voient là un relais de croissance accessible, que du fait d'un nombre croissant d'employés indélicats notamment chez les opérateurs télécom. Peu risquée pour son auteur car elle n'implique pas de détournement de flux d'argent, elle est aussi plus rémunératrice du fait des enjeux et des commissionnements versés par les donneurs d'ordre.

Du point de vue des entreprises victimes, ce risque est encore clairement sous-évalué. Pourtant, il peut :

  • Très rapidement survenir : un vol d'identité au niveau d'un opérateur consistera simplement à sortir un fichier peu protégé de l'entreprise.
  • Et se démultiplier: un simple fichier sorti peut concerner un grand nombre de vos utilisateurs / clients, et ce avec beaucoup de détails (tout leur historique).

Notre conseil de professionnel : traitez le risque avant qu'il ne survienne ! Nos solutions sont conçues pour.