On observe aujourd’hui une multiplicité de services dans différents domaines, ainsi qu’un changement majeur dans la façon de les consommer, constate Christophe Gueguen.

Les entreprises doivent répondre à ces attentes en :
– Offrant des solutions simples qui s’adaptent à l’ensemble des supports digitaux en capitalisant sur les dispositifs techniques ;
– Adaptant leurs services aux usages et aux changements comportementaux de leurs clients ;
– Fluidifiant les parcours et les interactions entre canaux.

Les études récentes démontrent l’importance de la sécurité pour les clients des services. Les deux tiers considèrent que leur identité numérique est une préoccupation, et lors d’une fuite de données, 1/5e de la perte de chiffre d’affaire est liée directement à une perte de clientèle.

Ainsi, la situation est assez paradoxale pour les entreprises. D’un côté, il leur est demandé de créer toujours plus de services innovants et d’ouvrir leur SI avec toujours plus de réactivité. De l’autre, les contraintes réglementaires restent fortes, et l’actualité cyber récente est très dense.

Ce paradoxe trouve une réponse si on considère que lorsque les usages évoluent beaucoup et rapidement, à contrario les données et les contraintes associées évoluent peu.

Ainsi, en mettant en œuvre un cadre d’accès à la donnée qui porte au maximum la sécurité, il est possible de définir un socle fiable sur lequel les nouveaux usages pourront se développer de manière rapide et sécurisée.

Christophe Gueguen a présenté les 5 principes clés d’une sécurité centrée sur la protection de la donnée :

– La gestion de l’identité numérique : de manière accrue avec la mobilité, l’identité est au cœur des problématiques métier comme sécurité ; le métier veut assurer un service sans couture à ses utilisateurs en ayant la capacité de consolider et recouper les informations dans une démarche Big Data. De son côté, la sécurité doit prémunir les services métier de l’usurpation d’identité tout en garantissant l’imputabilité du « qui fait quoi ». Ainsi, ces deux familles d’acteurs ont besoin de disposer d’une identité certifiée. Cela passe soit par un mécanisme d’enrôlement fiable, comme le face à face, soit par un appel à un tiers de confiance qui sera en mesure de garantir la qualité de l’identité.

– La gestion de l’authentification : différents mécanismes existent pour gérer l’authentification aux services mobiles. Pourtant, ils présentent tous des limites soit en matière de sécurité ou de confort. Ce dernier point entraine souvent des faiblesses de sécurité. Les audits réalisés par les équipes Harmonie démontrent trop souvent des mots de passe stockés sur le téléphone, une vérification des certificats SSL ignorée par les applications, ou une déconnexion inefficace (l’application se limite à supprimer le jeton en mémoire)… Malgré cela, les mécanismes récents offrent de réelles perspectives intéressantes en termes de sécurité, mais il est nécessaire de bien en comprendre leur fonctionnement et leurs limites. En la matière, les études menées par Harmonie démontrent une réelle valeur ajoutée pour le confort utilisateur comme pour la sécurité d’agencer plusieurs mécanismes d’authentification en fonction du niveau de sensibilité de la donnée ou du service accédé.

A titre d’exemples :
– L’accès à des services basiques va pouvoir être réalisé uniquement sans que l’utilisateur n’ait à se reconnecter (authentification persistante) ;
– L’accès à certains services métier sensibles ne va pouvoir être réalisé que suite à une réauthentification ou en utilisant un mécanisme d’authentification forte.

– La gestion de la chaîne de confiance : la chaîne de confiance est primordiale dans la digitalisation de la relation client. La signature électronique d’un contrat est un des exemples où la chaîne de confiance doit être maîtrisée. Dans le cas de la mobilité, les contrats générés par l’entreprise passent souvent par le mobile pour être transmis au service de signature sans vérification de contenu. Or, le plus souvent, les clients ne maîtrisent ni le mobile, ni le réseau sur lequel il se trouve et ces derniers peuvent être corrompus. Il est donc nécessaire de ne pas faire confiance aux éléments qui ont transités sur les mobiles avant signature et de les vérifier centralement.

– La gestion de l’exposition de la donnée : quels que soient les usages cibles, les données ne peuvent pas être exposées n’importe comment. Cette exposition doit être réalisée en conformité avec les enjeux et notamment les contraintes réglementaires. Une démarche de classification des données permet alors de définir si les données peuvent être exposées et si oui, si cette exposition peut être réalisée en l’état. Les retours d’expérience d’Harmonie auprès de direction sécurité et métier démontrent que dans la très grande majorité des cas, une solution acceptable par tous peut être trouvée. En particulier, en ce qui concerne les données sensibles, les mécanismes de tokenization / désensibilisation visant à remplacer tout ou partie de la donnée initiale par un équivalent non sensible offrent une adhésion des acteurs.

– La surveillance et la gestion de la fraude : de nouveaux usages et de nouvelles technologies entraînent de nouveaux cas de fraudes et a minima de nouvelles manières de les réaliser. L’un des points les plus visibles en ce qui concerne la mobilité est le « phishing » d’applications visant à usurper des applications légitimes auprès d’utilisateurs. Il faut donc mettre en œuvre des moyens pour repérer des applications illégitimes et bloquer leurs capacités à appeler les webservices métier. En parallèle, il est nécessaire de mettre en œuvre les mécanismes pour repérer les attaques spécifiques à ces services au-delà des attaques classiques.

Dès lors que l’ensemble des mécanismes ad hoc ont été mis en œuvre en central, les concepteurs des applications mobiles n’ont plus qu’à rentrer dans le cadre prédéfini et peuvent se concentrer sur les interfaces et les usages. La confiance n’excluant pas le contrôle, un audit doit être réalisé sur l’application pour s’assurer du respect du cadre et du traitement des données gérées (présence de code malveillant, stockage des données sur le mobile, émission des données vers des services tiers, etc.).

« Cette stratégie permet de lier l’expérience utilisateur et la sécurité », conclut-il. Les métiers peuvent développer rapidement des applications répondant aux usages et aux contraintes réglementaires.

La clé est d’appliquer une stratégie « 0-Trust ». Une fois que les données sont sorties du SI, il est très complexe de maîtriser l’environnement dans lequel elles vont se trouver. Ainsi, même si l’application est fiable, la sécurité du device sur laquelle elle sera installée ou des réseaux par lesquelles les données vont transitées ne peut être garantie.