La multiplication récente des failles de sécurité dont ont été victimes de grandes entreprises du secteur de la finance et du commerce, notamment avec la cyberattaque massive portée sur le distributeur américain Target, résultent principalement d’un manque de mesures de sécurité de la part des organisations.
En effet, il devient urgent que les entreprises prennent conscience que les failles de sécurité représentent l’une des plus grandes menaces pour leur image, ainsi que pour la confidentialité des données relatives à leurs clients. Les conséquences peuvent être lourdes, raison pour laquelle les organisations doivent respecter un certain nombre de recommandations dans le cadre de la gestion des paiements afin de lutter contre les menaces, de protéger leurs ressources ainsi que leurs clients.
Parmi les mesures en matière de sécurisation des opérations liées au paiement par carte bancaire, quatre recommandations doivent être respectées selon HID Global, l’un des leaders mondiaux dans le développement de solutions d’identification sécurisées :
1. Passer de simples mots de passe à l’authentification forte au sein des points de vente
Lorsqu’un hacker vole l’identifiant d’un employé et son mot de passe, il est en mesure d’introduire un malware sur le réseau sans être détecté et de l’installer sur le système de point de vente, à partir duquel il est relativement facile de s’emparer des données d’une carte bancaire. Les organisations doivent protéger leurs systèmes et leurs données à travers l’authentification forte qui repose non seulement sur une donnée connue par l’utilisateur, à savoir le mot de passe, mais aussi sur un élément qu’il possède. C’est la combinaison de ces deux éléments qui renforce et assure l’identification de l’utilisateur : cela peut prendre la forme d’un token par exemple, pour se connecter à un ordinateur, et/ou une caractéristique présentée par l’utilisateur lui-même, et qui sera vérifiée à l’aide d’une solution biométrique.
2. Tirer profit des solutions améliorées d’authentification mobile forte
Les organisations sont à la recherche de solutions d’authentification de plus en plus rapides et flexibles pour leurs utilisateurs, avec des mots de passe uniques dédiés, des cartes d’affichage et d’autres terminaux physiques. Aujourd’hui, plusieurs tokens mobiles peuvent être intégrés sur une même carte pour gérer plusieurs applications, ou bien sur un téléphone associé à une application cloud accessible via l’authentification unique. Ce principe permet à un utilisateur d’accéder à plusieurs applications à l’aide d’une seule authentification car le support lui-même devient alors un dispositif d’authentification. Il suffit ensuite de présenter la carte ou le téléphone devant une tablette, un ordinateur ou un autre périphérique pour l’authentification réseau, après quoi le mot de passe unique devient inutilisable. Il n’y a pas de token additionnel à déployer ou à gérer, l’utilisateur final ne dispose plus que d’un seul terminal avec lui et n’a plus besoin de se rappeler ou d’entrer un mot de passe compliqué.
3. Adopter une stratégie de sécurité informatique multicouches pour réduire les risques
Pour une efficacité optimale, les entreprises doivent adopter une approche de sécurité en plusieurs couches et commencer par l’authentification de l’utilisateur, c’est-à-dire un employé, un partenaire ou un client. Il faut ensuite procéder à l’authentification de l’appareil, à la protection du navigateur, de l’application et enfin, à l’authentification de la transaction avec une structure intelligente pour les plus sensibles d’entre elles. La mise en place de ces couches nécessite une plateforme d’authentification multifonctions qui soit capable de détecter les menaces en temps réel. Combinée à une solution de protection anti-virus, l’adoption d’une plateforme avec plusieurs couches permet de fournir le niveau de sécurité le plus élevé possible contre les menaces actuelles.
4. Renforcer la sécurité des systèmes de paiements et accélérer l’adoption du standard EMV
Les pistes magnétiques des cartes de paiement comportent un code de sécurité statique (CVV), représenté par un cryptogramme visuel situé au dos de la carte, qui peut facilement être intercepté par les systèmes de point de vente infectés par des malwares, puis répliqué à l’aide de lecteurs d’empreintes. A l’inverse, les cartes de paiement Europay Mastercard Visa (EMV®) stockent toutes les informations relatives au paiement sur une puce sécurisée, utilisent des clés personnalisées pour chaque émetteur et procèdent à l’authentification avec des normes cryptographiques. Elles remplacent le code de sécurité statique par un code de sécurité dynamique qui ne peut être utilisé pour contrefaire la carte bancaire. Ce protocole de sécurité EMV est un standard international qui peut également être intégré aux terminaux de paiements. Il apporte un niveau de sécurité beaucoup plus élevé et sa généralisation en France et au niveau européen contribue à la réduction du risque d’attaque sur les entreprises.
Plus que jamais aujourd’hui, il est nécessaire que les organisations mettent en place des dispositifs d’authentification forte pour protéger leurs données ainsi que celles de leurs clients, et qu’elles suivent les recommandations relatives à la sécurité des paiements pour lutter contre la fraude.