REDUCTIONS JUSQU'A 95% A NE PAS MANQUER

19 sept

Comment simplifier la sécurité des données clients

Publié le 19/09/2017

Je suis un client. Vous l’êtes également. Nous sommes tous des clients. Et en notre qualité de clients de tous types de commerces et de secteurs d’activité, nous estimons à juste titre que nos données personnelles doivent être soigneusement protégées. Une tribune libre de Dustin Maxey, directeur Product Marketing de Ping Identity.

Si vous lisez cet article, vous êtes peut-être la personne responsable, dans votre entreprise, de la gestion des données personnelles des clients. Vous avez donc sans doute une idée très précise de la complexité que revêt la sécurisation de ces données.

Et vous savez aussi les dégâts que peut provoquer la violation de ces données. Les atteintes portées à la confidentialité des données clients peuvent impacter très sévèrement une marque, beaucoup plus que ne le ferait, en principe, la violation des données personnelles d’un collaborateur. Il suffit de se remémorer les articles ayant traité de la violation des données clients, parus au cours des cinq dernières années. Mais qu’en est-il de la violation des données d’un collaborateur au sein d’une entreprise ? Il y a fort à parier que ces cas sont beaucoup moins nombreux, et peut-être même quasi inexistants.

En vous efforçant de sécuriser les données clients, vous constatez que certaines mesures de sécurité, bien qu’efficaces, sont très éloignées de l’expérience faite par les clients eux-mêmes. Sur des marchés où la compétition est de plus en plus âpre, cette distorsion peut également impacter négativement votre marque.

La question qui se pose est donc la suivante : comment assurer aux clients l’expérience qu’ils recherchent, mais aussi la sécurité qu’ils attendent ?

Une approche de la sécurité en trois couches, qui traite l’authentification, l’application/API et les données, peut permettre de s’assurer qu’aucune vulnérabilité n’est laissée à la merci de possibles attaques, tout en préservant une expérience client qui se doit d’être pratique et transparente.

1. Couche d’authentification

Le premier lieu d’interaction – et aussi le plus critique – des clients avec votre marque se situe au niveau de l’authentification. Cette couche initiale s’avère très importante puisque c’est là que vous devez offrir à vos clients, de prime abord, une expérience agréable, mais aussi totalement sécurisée.

L’authentification à facteurs multiples est un excellent moyen pour répondre à l’impératif de sécurité, mais cette procédure peut aussi affecter l’expérience client si elle est mise en œuvre de manière unilatérale, autrement dit, sans discernement. Une procédure d’authentification trop lourde engendre rapidement agacements et désagréments.

L’authentification contextuelle à facteurs multiples vous permet de demander des facteurs d’authentification supplémentaires, uniquement dans les situations à haut risque que vous aurez définies au préalable, comme les transactions impliquant une valeur monétaire importante, ou lorsqu’un client tente de se connecter à partir d’un nouveau terminal.

Faire usage des bonnes pratiques, comme la mise en œuvre centralisée de politiques adaptées en termes de mots de passe sécurisés, et une procédure d’authentification unique sur l’ensemble de vos applications, peut permettre de réduire l’obsolescence des mots de passe et donner lieu à une procédure mieux sécurisée, mais surtout beaucoup plus conviviale.

2. Couche applicative / API

En présentant de multiples applications internes et d’applications partenaires à vos clients, votre intention est d’offrir une expérience sûre et transparente. Les clients n’ont pas besoin de savoir qu’ils accèdent à des applications multiples. Mais ils doivent avoir le sentiment d’interagir avec une marque, en toute sécurité. Pour minimiser les risques sécuritaires, et assurer une expérience cohérente, vous pouvez utiliser un management de session centralisé qui permet de s’assurer que les sessions ouvertes et les interactions clients sont dûment protégées.

Vous voulez également être certain que vos clients ne restent pas authentifiés accidentellement auprès d’une application qu’ils pensent avoir fermée ou résiliée. Une déconnexion unique permet à votre client de clore toutes les sessions serveur à l’aide d’une seule procédure, évitant ainsi un accès non autorisé jusqu’à l’obtention d’une nouvelle autorisation de connexion.

3. Couche de données

La troisième et dernière couche – la couche de données –, est ici encore un élément critique pour protéger les données client. Parmi les nombreuses bonnes pratiques en vigueur, veiller à ce que les données soient chiffrées à toutes les étapes – au repos, en activité et en utilisation –, est une précaution vitale. Cela permet non seulement de se protéger contre les attaques de l’intérieur, mais aussi de faire en sorte que les données accidentellement divulguées ne puissent être utiles aux pirates.

L’utilisation d’alertes passives et actives ne saurait également être trop recommandée. Elles vous informent en effet de mesures administrateur potentielles, dont l’intention pourrait être malveillante. Limiter le nombre de dossiers auxquels un administrateur peut accéder, maintenir des registres inviolables et se protéger contre les attaques par déni de service distribué, sont d’autres mesures à prendre en considération. Bien que cela puisse paraître très éloigné de l’expérience client, la couche de données doit englober ces fonctionnalités sécuritaires, tout en maintenant un haut niveau de performance, et en conformité avec les accords de niveau de service (SLA) des clients.

Une sécurité en couches et centralisée

Sécuriser les données personnelles des clients figure souvent parmi les priorités d’une entreprise. Mais c’est une tâche à la fois complexe et impressionnante par son ampleur. Dans ce domaine, les bonnes pratiques et les mesures permettant d’assurer la sécurité de ces données sont nombreuses et vont bien au-delà des quelques exemples figurant ici. Il est également important que toutes les fonctionnalités de sécurité évoquées puissent être gérées de manière centrale par des équipes spécialisées dans la sécurité, contrairement aux équipes de développement des applications qui n’ont pas, quant à elles, l’expertise nécessaire en la matière.

L’approche basée sur les différentes couches permet non seulement de protéger les données de vos clients, mais elle vous facilite aussi la vie. En répartissant la sécurité en trois couches distinctes, vous pouvez vous assurer plus aisément que chacune des étapes a été abordée et traitée dans les règles de l’art.

Dustin Maxey

Partager cet article :

Vous souhaitez reproduire cet article ?