PME sécurisez vous, votre immatétriel sans outils technologique !
Les alertes de sécurité se multiplient pour les PME mais aussi les grands groupes et les administrations. Les cyber-attaques entrainent des couts parfois très lourds pour les entreprises et pourtant les solutions « secure » demeurent très techniques et complexe à mettre en place.
L’objectif est de donner accès au système d’information par une identification puis par une authentification.
L’identification et l’authentification
L’identification doit permettre d’établir l’identité (qui suis-je) de l’utilisateur – « Login » – alors que l’authentification est supposée apporter la preuve de l’identité de l’utilisateur (suis-je réellement cette personne) et se présente sous la forme d’un code secret le plus souvent appelé « Mot de passe ». Ainsi chaque utilisateur a au moins un « Login/password » réputé n’être connu que de lui.
Le mot de passe complexe
Il est recommandé de choisir des mots de passe complexes ayant une longueur significative et composés de plusieurs caractères et autres signes du type : As,C.@é7k°# dont il faut obligatoirement se souvenir sous peine de ne pouvoir accéder au système d’information. Que dire s’il faut mémoriser plusieurs mots de passe de ce type !
L’écoute en ligne, l’observation d’un utilisateur lors d’une demande de connexion, l’utilisation de logiciel « espions » permettent cependant de connaître le Login/password d’un utilisateur et peuvent conduire au partage d’identité ou à l’usurpation d’identité.
Vers un renforcement de l’authentification
Alors est née l’idée de construire une authentification forte permettant de pallier ces risques et ainsi se multiplient aujourd’hui les solutions s’appuyant sur des ajouts de logiciel(s) et/ou de matériel(s) permettant d’apporter un troisième et/ou un quatrième vecteur lié à « ce que je possède » (carte à puce, … ) ou « ce que je suis » (empreinte biométrique).
Dans le domaine de la biométrie, le profil comportemental d’un utilisateur peut maintenant être réalisé par utilisation de sa dynamique de frappe sur le clavier de son poste de travail, procédé que l’on retrouve dans les médias sous le nom de « Frappologie ».
Ce procédé ne nécessite aucun ajout de logiciel et/ou matériel sur le poste de travail et aucune modification dans le comportement de l’utilisateur.
Une application de calculs probabilistes recueille, sur un serveur distant sécurisé, des informations de mesures de temps effectuées par observations de la frappe sur le clavier et permet ainsi de déterminer un profil de l’utilisateur relevant de la biométrie comportementale.
Il est important que le poste de travail soit équipé d’un antivirus permettant de neutraliser les logiciels « espions » de type « Keylogger » bien souvent téléchargé à l’insu de l’utilisateur.
Ainsi, même si un tiers connait le login/password d’un utilisateur, il ne pourra passer avec succès le test de la comparaison au profil de l’utilisateur concerné et sa demande d’accès sera rejetée.
En France, dans le souci du respect de la vie privée, la CNIL (Commission Nationale de l’Informatique et des Libertés) impose l’obtention d’une autorisation pour l’exploitation de ce type d’application permettant de définir, de stocker et d’utiliser un profil relevant de la biométrie comportementale.
Chaque jour les agences gouvernementales mettent en garde sur les pertes de données : http://www.ssi.gouv.fr/fr/anssi/evenements/patrick-pailloux-cloture-le-colloque-du-cdse-les-entreprises-et-l-etat-face-aux.html
Ces pertes de données sont évaluées à 200 000 €/ an / PME, la Biométrie Comportementale est une solution adaptable à la PME et disponible sur http://www.softy.fr
Votre Expert-Comptable, tiers de confiance est à même de vous mettre cet outil à disposition ou inscrivez-vous et une réponse circonstanciée vous sera faite.
- Publié dans: COATNOAN de KERDU♦Edito♦ICV Finance
Coatnoan de Kerdu ECDK 