La convergence de la vérification d’identité, de la gestion des accès et de la détection des fraudes

26 avr. 2022
-minutes de lecture
A headshot of Jordan Griffith Ping Identitys Senior Product Marketing Manager
Jordan Griffith

Introduction

Les préférences des clients et des employés ont changé pendant la pandémie. Le télétravail, les achats, la banque et d’autres activités en ligne sont là pour durer. Les acteurs malveillants considèrent l’augmentation des activités en ligne comme une énorme opportunité, car elles ne sont plus protégées par des contrôles sur site. La surface d’attaque des organisations s’est élargie avec toujours plus d’applis, d’API et de services en mode SaaS, et elles doivent donc défendre leurs ressources contre des attaques sur de multiples fronts. 

 

Les entreprises doivent s’adapter pour donner aux utilisateurs légitimes un accès sécurisé aux ressources dont ils ont besoin depuis d’importe où, à tout moment et sur n’importe quel terminal, sans devoir passer par un grand nombre d’étapes. Une stratégie moderne de lutte contre les fraudes prend en compte le comportement des utilisateurs et divers signaux sur les terminaux tout au long du parcours utilisateur et en temps réel, en perturbant au minimum les utilisateurs légitimes. Les transactions frauduleuses peuvent être stoppées avant de causer des dommages à votre entreprise, à la fois en terme financier et de réputation. LexisNexis a constaté que, en 2021, 1 $ de fraude coûtait 3,60 $ aux commerçants en ligne aux États-Unis et qu’au Canada, le coût était de 3,02 $.

 

Les fraudes en ligne prennent plusieurs formes, notamment la forme de fraude par usurpation de compte (ATO), de fraude au paiement et de fraude ciblant les adresses électroniques professionnelles (BEC), qui a représenté la forme de fraude la plus coûteuse en 2020, engendrant des pertes de 1,8 milliard de $. La preuve de l’identité, la gestion des accès et la détection des fraudes fonctionnent main dans la main pour fournir aux utilisateurs une expérience fluide tout en les défendant contre de multiples vecteurs d’attaque. Examinons chaque composant individuellement et comment ils fonctionnent ensemble pour constituer une solution complète.

La preuve de l’identité (à savoir la vérification de l’identité et la preuve des pièces d’identité)

La preuve de l’identité, aussi appelée vérification de l’identité et preuve des pièces d’identité, permet de s’assurer que les utilisateurs sont bien dès le départ ceux qu’ils prétendent être en associant leur identité numérique à leur identité dans la vie réelle. Étant donné que les identités, les identifiants et les informations personnelles (PII) volés peuvent être utilisés pour paramétrer de nouveaux comptes frauduleux, la vérification de l’identité est généralement mise en place pendant le processus d’enregistrement et peut être intégrée aux applis mobiles.

 

Lors quelle est mise en place pendant l’intégration, la preuve de l’identité procure aux organisations une garantie supplémentaire en demandant à un utilisateur de fournir un selfie et une pièce d’identité délivrée par le gouvernement pour s’assurer que l’utilisateur est bien celui qu’il prétend être.

 

 

L’absence de vérification des pièces d’identité peut avoir un impact financier et endommager votre réputation. Lorsque la pandémie a commencé, les états des États-Unis qui n’avaient pas mis en place la vérification des identités ont payé des millions de dollars en allocations chômage frauduleuses récupérées par des réseaux de crime organisé utilisant des identités volées. Après avoir ajouté la preuve de l’identité à la procédure, les fraudeurs n’ont plus pu recevoir d’allocations supplémentaires frauduleuses car ils ne pouvaient pas fournir les selfies demandés.  

 

Regardez cette courte vidéo pour découvrir le processus de vérification du client en action.

 

Today's users want secure digital banking.
Let's see how Ping enables customers to bank from anywhere, Including opening new accounts and completing transactions.
For new accounts, Ping makes it easy for you to provide a seamless and KYC-compliant account Opening experience with a Mobile SDK that powers Live face capture and scanning of Government IDs.
First, we see our new customer, Alicia taking several selfies to complete the Live face capture process.
Next, she'll scan the front and back of her driver's license to complete the process.
Ping supports US and international driver's licenses, ISO-based international passports, and European ID cards with a three-line MRZ code.
This step supports KYC compliance, but also makes the enrollment process easier by Replaying the data captured from the driver's license onto the registration form.
We then capture the remaining information required for compliant account opening with the Added convenience of letting customers choose how they'd like to log in.
Her account is now open.
Identity verification isn't just for opening accounts.
The face matching process can also be used to approve transactions.
Here, we see Alicia entering an account, an amount, and a destination for the wire transfer.
She can then approve this transfer on her phone, again leveraging face match.
The transfer is now confirmed.
With PingOne, secure digital banking is easy.
Contact us to learn more.

Gestion et contrôle des accès

Combiner la vérification de l’identité et la gestion des accès des clients donne à votre entreprise la possibilité de renforcer la sécurité lorsque les clients interagissent avec vos applis et vos sites web sans ajouter de frictions inutiles à leur expérience. Le single sign-on (SSO) permet aux clients de se connecter avec un seul ensemble d’identifiants pour accéder à chaque appli et site web. Cela donne à vos clients une manière pratique et cohérente de se connecter et vous permet de réduire le risque d’un piratage lié aux mots de passe. Intégrer simplement l’authentification multifacteur (MFA) à côté du SSO, vous donne une garantie supplémentaire sur l’identité de vos clients en continuant à évaluer le niveau de risque et le contexte, mais aussi en requérant des mesures d’authentification supplémentaires si besoin. 

Dès que les utilisateurs ont été vérifiés et authentifiés, vous voulez vous assurer qu’ils puissent accéder uniquement aux ressources dont ils ont réellement besoin. L’authorisation dynamique, également appelée contrôle des accès basé sur les attributs (ABAC) et le contrôle des accès basé sur les politiques (PBAC), vous permet de contrôler qui accède à quelles données et à quelles actions sur les applications SaaS, mobile et web de votre entreprise. Le contrôle et l’administration centralisées des autorisations facilitent la création et l’application de politiques qui renforcent la sécurité, protègent les ressources et respectent les exigences réglementaires, de manière rapide et efficace.

 

 

Si le traditionnel contrôle des accès basé sur les rôles a constitué la norme, les limites qu’il a rencontrées pour répondre aux cas d’usage et aux menaces actuels le rendent moins souhaitable. L’autorisation dynamique basée sur des politiques est plus flexible et analyse les attributs du contexte en temps réel pour approuver, refuser ou renforcer l’authentification avant qu’un utilisateur puisse accéder aux ressources ou réaliser des transactions. 

 

 

Les politiques développées par une entreprise indiquent quels signaux de risque devraient être utilisés pendant les différents scénarios, et s’appuient sur des fournisseurs de signaux de risques indépendants pour déterminer l’étape suivante. Un scénario à bas risque, notamment l’accès à une appli, peut rester dépourvu de friction tandis qu’une transaction financière de haute valeur peut nécessiter une authentification renforcée avant que la transaction puisse être autorisée à se poursuivre. Par exemple, un client qui n’a pas utilisé sa banque en ligne depuis six mois peut se voir demander de suivre des étapes d’authentification supplémentaires avant d’être autorisé à virer 5 000 $ à un compte suspect pour s’assurer que la personne qui tente de faire ce virement est le propriétaire d’un compte légitime et non pas un fraudeur.

Détection des fraudes

Détecter un comportement frauduleux avant qu’une action ou une transaction ait lieu limite également les dommages financiers et affectant votre réputation. Les outils de détection des fraudes en ligne ont recours au machine learning (ML) et à l’intelligence artificielle (AI) pour identifier les comportements suspects et empêcher les fraudeurs de créer des comptes, de se connecter et/ou de réaliser des transactions. 

 

Le comportement des clients, des employés et des partenaires légitimes suit des schémas prévisibles que ni les bots ni les hackers ne peuvent reproduire, comme taper à une vitesse normale plutôt que de copier/coller des données à un rythme plus rapide. La vitesse est généralement une véritable priorité pour les acteurs malveillants lorsqu’ils tentent d’accéder à autant de comptes que possible en un minimum de temps, en utilisant les attaques par force brute ou par credential stuffing avec des identifiants compromis.

 

 

Collecter et analyser de multiples points de données sur le comportement, de manière continue, contribue à identifier de nouvelles menaces au fur et à mesure qu’elles se développent. Les outils de surveillance et de détection des fraudes peuvent être personnalisés pour votre organisation, avec les évaluations des risques examinant des points de données tels que :

  • Le type d’appareil, le système d’exploitation et la version

  • Le type et la version du navigateur

  • La date, l’heure et le lieu de l’accès

La convergence de la preuve de l’identité, de la gestion des accès et de la détection des fraudes

Étant donné que les acteurs malveillants cherchent en permanence de nouvelles manières de pénétrer dans votre système et de l’exploiter, vous avez besoin d’une solution complète et flexible. Pour réussir à lutter contre les fraudes en ligne, il faut comprendre comment et à quel endroit ont lieu les fraudes, mais aussi réduire leurs effets en temps réel et améliorer votre posture générale en termes de sécurité. Essayer d’intégrer des solutions avec de multiples fournisseurs peut être coûteux, prendre du temps et générer des vulnérabilités, des fraudes, des fuites de données et des ransomwares.

 

Inciter les équipes commerciales et informatiques mais aussi les équipes en charge des risques, de la sécurité, de la conformité à décrire les processus pour identifier les vulnérabilités potentielles donne une meilleure vue d’ensemble. Étant donné que personne ne veut surcharger les développeurs ou les inquiéter avec des codages qui seraient inutiles, une feuille de route conduisant à une solution low ou no-code fait gagner du temps, de l’argent et évite des frustrations.

 

 

PingOne DaVinci est une plateforme d’orchestration qui vous permet de décrire votre situation et de sélectionner les meilleures options pour relever vos défis, puis concevoir une solution low ou no-code. En savoir plus sur notre solution complète qui intègre la preuve d’identité, la gestion des accès et la détection des fraudes en ligne pour réduire les risques de fraude.

Partager cet article:
Ressources connexes
CIAM : d’un centre de coûts à un centre de profit dans les services financiers
3 juil. 2024
Transformez le CIAM en un centre de profit dans les services financiers pour offrir des expériences numériques fluides et sécurisées
Ping Identity Classé dans le 2023 Critical Capabilities Report
Dustin Maxey
1 déc. 2023
Ping Identity a été classé parmi les deux meilleurs fournisseurs dans chacun des quatre cas d’usage dans le rapport 2023 Gartner Critical Capabilites.

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.