Le Web 3.0 modifie la surface d'attaque et met en évidence la nécessité d'une sécurité permanente
L'émergence du Web 3.0 s'est produite à une époque charnière pour le monde. Bien que l'on nous ait dit de rester chez nous et de limiter les interactions en face à face pendant la pandémie de COVID-19, la vie devait continuer à avancer. Les affaires devaient se poursuivre comme d'habitude, des contrats devaient être signés et de l'argent devait encore être transféré. Le Web 3.0 est l'occasion pour les entreprises de s'engager dans un avenir numérique qui facilitera tout cela.
Par rapport à il y a trois ans, beaucoup plus de choses peuvent être faites numériquement et le sont déjà, et si les avantages sont évidents, de nouveaux risques et de nouveaux défis sont apparus. Avec la transition vers le Web 3.0, la surface d'attaque s'est également déplacée vers le parcours du client, en grande partie non contrôlé. Par conséquent, nos informations, notre argent et notre identité sont plus vulnérables que jamais.
Le niveau de confiance a augmenté
Il y a dix ans, acheter un article en ligne pour 20 dollars était un événement, mais aujourd'hui, nous effectuons des achats importants en ligne sans réfléchir. Notre niveau de confiance s'est considérablement accru au fil des ans et ne cessera de croître. Nous avons peut-être commencé par faire de petits achats, mais aujourd'hui, les transactions de grande valeur telles que les prêts, les transferts d'argent et les demandes d'assurance sont toutes numériques, ce qui signifie que les enjeux sont beaucoup plus importants.
Au niveau du consommateur, des plateformes comme Apple Pay et Amazon Pay sont apparues, qui insufflent un sentiment de confiance et de sécurité dans les achats en ligne. Pourtant, lorsqu'on nous demande d'entrer nos données de carte de crédit, nous sommes nombreux à nous interroger sur la légitimité du site, du vendeur, etc. Il n'existe pas encore de système aussi rassurant que les plateformes comme Apple Pay pour les transactions commerciales de grande valeur. De plus, il n'existe aucun système permettant de confirmer qu'une entreprise est bien celle qu'elle prétend être. Ou qu'un lien est valide. Ou qu'un véritable prêt est en train d'être signé. Le passage à un monde numérisé s'est fait si rapidement que personne ne s'est arrêté pour réfléchir à la nécessité de s'assurer de la légitimité du processus. En l'absence d'interactions directes, comment savoir ce qui est réel ?
Ce n'est pas pour rien que les attaques par hameçonnage ont augmenté de 61 % depuis 2021 et que les robots sont plus présents aujourd'hui qu'il y a cinq ans : Les attaquants ont identifié une opportunité et l'ont saisie. En tant qu'industrie, nous sommes dans une impasse parce que nos solutions se sont concentrées sur la protection des terminaux. Or, nous devons désormais sécuriser l'ensemble des processus numériques et des parcours clients. Nous devons constamment prouver notre identité. Des solutions telles que l'authentification multifactorielle (MFA), la biométrie et l'authentification par jeton y parviennent en partie aujourd'hui, mais ce n'est malheureusement pas suffisant. Presque chaque semaine, nous voyons des histoires d'escrocs sophistiqués qui compromettent les courriels d'entreprise (BEC) en contournant le MFA, en utilisant des tactiques telles que les attaques d'hameçonnage de type "adversaire au milieu" (AiTM).
Il est temps d'adopter un nouveau modèle
Les organisations devraient examiner le parcours de leurs clients et identifier les points de friction. Cela leur permettra de repérer, tout au long du parcours, les instances que les attaquants pourraient exploiter. La plupart des organisations ont identifié au moins un de ces points et mis en place des mesures de protection. Par exemple, avant de pouvoir consulter notre facture finale, nous recevons un texte contenant un code à six chiffres que nous devons saisir avant d'aller plus loin dans le processus. Ce sont les bonnes étapes, mais nous devons nous rappeler qu'une transaction numérique n'est pas un processus en une seule étape.
Nous nous dirigeons vers un modèle qui exige une authentification et une identification continues tout au long de ces transactions. Ce modèle sera légèrement différent pour chaque organisation, mais il suivra en fin de compte les cinq étapes suivantes :
Prendre une identité inconnue et la transformer en une identité connue. Cette étape doit avoir lieu au début de chaque processus, avant tout engagement ou toute transaction. Chaque partie concernée doit prouver son identité, que ce soit au moyen d'une pièce d'identité délivrée par le gouvernement, de données biométriques, etc.
Une fois les identités confirmées et vérifiées, des identifiants individuels doivent être distribués pour accéder à la propriété numérique - qu'il s'agisse d'un site web, d'une application, d'un document électronique ou d'un environnement virtuel.
Guidez les clients et les consommateurs à travers des transactions en plusieurs étapes et à haut niveau d'assurance dans un environnement virtuel interactif et sécurisé avec différentes méthodes d'authentification.
Pour exécuter et compléter la transaction elle-même, le processus doit offrir une forte garantie d'identité, être équipé de capacités telles que le cryptage de la signature numérique, et se conformer aux normes et réglementations de sécurité les plus rigoureuses.
De nombreux contrats doivent être stockés et conservés en tant que copies originales uniques tout au long de leur cycle de vie, conformément à des lois telles que ESIGN, l'Uniform Electronic Transactions Act (UETA) et l'article 9-105 de l'Uniform Commercial Code (UCC). Pour garantir l'intégrité du document ou de la transaction, vous devez préserver la chaîne de contrôle et capturer la piste d'audit.
Avec la modification de la surface d'attaque, la sécurité devra être intégrée tout au long du parcours et des flux de travail, et ce de manière transparente afin d'éviter de perturber l'expérience numérique existante. À l'aube de la nouvelle année, je prévois que ce sera une priorité absolue pour les organisations et les entreprises de sécurité, et que la preuve de l'identité et la confiance dans les processus numériques deviendront le facteur déterminant de la réussite.
Cet article, rédigé par Sameer Hajarnis, Chief Product Office chez OneSpan, a été publié pour la première fois sur DarkReading.com le 9 janvier 2023.