Nous avons dévoilé nos dernières innovations en matière de sécurité de l’IA. Obtenir le plan
Essai gratuit Nous contacter

Vérification de l'identité de votre personnel à distance

À propos de l’auteur

Charlotte Wylie

Vice-président principal et chef adjoint de la sécurité

Charlotte Wylie, SVP et directrice adjointe de la sécurité chez Okta, dirige les services de cybersécurité technique d'Okta. Cela comprend la supervision des équipes d'ingénierie mondiales d'Okta afin d'améliorer la posture de sécurité et les programmes de l'entreprise qui soutiennent ses près de 19 000 clients. C'est une dirigeante de la sécurité chevronnée avec une vaste expérience mondiale dans les secteurs financiers et des technologies en Australie et aux États-Unis. Charlotte possède une vaste expérience dans la mise en œuvre de programmes de transformation de la sécurité et la direction d'équipes d'ingénierie mondiales afin de créer de la valeur en améliorant la posture de sécurité et en s'alignant sur les objectifs commerciaux des grandes entreprises.

30 novembre 2024 Temps de lecture: ~

Sujette

Cybersecurity

Sommaire

La vérification de l'identité à distance devient de plus en plus difficile, mais aussi de plus en plus importante. Les deepfakes sont en plein essor. Il devient de plus en plus difficile de les distinguer de la réalité, et ils deviennent de plus en plus nuisibles à la sécurité en conséquence. Alors, comment vérifiez-vous qu'un employé est bien celui qu'il prétend être lorsque vous ne pouvez pas le vérifier physiquement ?

En tant qu’Enterprise avec des opérations et des bureaux dans le monde entier, Okta compte de nombreux travailleurs à distance qui se connectent à ses systèmes (en utilisant des terminaux) depuis leur bureau à domicile et d'autres lieux. Voici deux des questions les plus courantes que l'on me pose sur le télétravail :

  • Comment vérifiez-vous l'identité d'une personne que vous essayez d'embaucher lorsque la plupart des processus d'embauche et d'onboarding sont effectués à distance ?
  • Comment vérifions-nous l'identité d'un membre de l'équipe à distance à un moment ultérieur (par exemple, lorsque quelqu'un prétendant être lui appelle notre support IT) ?

Explorons quelques bonnes pratiques que les Organizations peuvent utiliser dans ces scénarios, en nous basant sur ce que nous avons mis en place chez Okta, et sur ce que j'ai vu fonctionner dans l'industrie dans son ensemble.

Avant de nous plonger dans le sujet, je tiens à souligner qu'aucune de mes paroles ici ne remplace un programme solide de lutte contre les menaces internes, combinant la sécurité physique, la sensibilisation du personnel et les principes axés sur l'information. Il convient plutôt de considérer qu'il s'agit d'approches complémentaires pour construire et maintenir une posture de sécurité forte, existant dans le cadre d'une culture de la sécurité plus large.

Usurpation d'identité pendant le processus d'embauche

Bien que les risques associés au recrutement et à l'embauche exclusivement à distance ne soient pas nouveaux, ils ont été mis en lumière en juillet 2024 lorsque Stu Sjouwerman, PDG et fondateur de la société de sécurité KnowBe4, a publié un blog intitulé Comment un faux informaticien nord-coréen a tenté de nous infiltrer.

L'article de Sjouwerman détaille comment KnowBe4 a involontairement embauché un hacker nord-coréen — qui a utilisé «une identité américaine valide mais volée » — pour un poste d'ingénieur logiciel. Presque immédiatement après avoir démarré leur nouvel ordinateur portable d'entreprise, le hacker a commencé à charger du malware. Heureusement, les contrôles de sécurité de KnowBe4 ont détecté l'abus, et l'incident a été contenu avant que le hacker ne cause des dommages.

L'expérience de KnowBe4 n'est pas un événement isolé. En fait, trois agences gouvernementales américaines ont émis un avis conjoint en 2022 avertissant que des informaticiens nord-coréens tentaient d'utiliser l'usurpation d'identité pour obtenir un emploi et accéder à des informations sensibles. Le FBI a publié des conseils supplémentaires en 2023, et l'Office for Financial Sanctions implémentation du Royaume-Uni a émis un avertissement similaire avec encore plus de détails. 

Le risque posé par les hackers nord-coréens est sérieux et ne doit pas être sous-estimé, mais la fraude d'identité s'étend au-delà des individus agissant pour le compte de régimes. Parfois, les candidats utilisent des mandataires pour postuler à un emploi — la personne qui se présente au travail n'est pas la même que celle que l'entreprise a interviewée. 

Quoi qu'il en soit, la fraude d'identité met l'entreprise en péril. 

Se prémunir contre l’usurpation d’identité

Malheureusement, il n'existe pas de solution simple pour lutter contre la fraude à l'identité. S'il y en avait, les Organizations ne seraient pas confrontées à cette demande d'authentification.

Dans la pratique, le renforcement de vos défenses de sécurité nécessite une approche multicouche impliquant une combinaison de personnes, de processus et de technologie. En plus des suggestions qui suivent, je vous recommande de lire les avis du gouvernement mentionnés dans la section précédente.

Commencez par vos collaborateurs : 

  • Favorisez une culture de la sécurité dans laquelle tous les membres de l'entreprise sont conscients des menaces générales.
  • Assurez-vous que les personnes impliquées dans l'embauche reçoivent une formation spécialisée pour détecter les signes d'usurpation d'identité, notamment :
    • Incohérences dans l'orthographe des noms à travers différents documents et profils en ligne.
    • La réticence d'un interviewé à apparaître à l'écran
    • Différentes adresses pour le lieu de travail et l'expédition du matériel
    • Hésitation du candidat à répondre à des questions simples concernant ses antécédents et ses qualifications
    • Soyez attentif aux profils de médias sociaux qui ne correspondent pas au curriculum vitæ du candidat, aux multiples profils pour la même identité avec des photos différentes, ou aux profils en ligne sans photo.

Établissez les processus pour renforcer votre posture de sécurité : 

  • Effectuez des vérifications d'antécédents rigoureuses, y compris une vérification biométrique.
  • Lors des entretiens à distance, veuillez exiger que les candidats allument leur caméra.
  • Lors de la vérification des références, recherchez directement les coordonnées des références plutôt que d'utiliser les informations fournies par le candidat ; essayez de vérifier les références (par exemple, par le biais de relations connues dans un réseau professionnel).
  • Exigez des nouveaux employés qu'ils fournissent au moins deux documents pour la vérification de l'identité, tels qu'une pièce d'identité délivrée par le gouvernement et/ou une preuve d'identité notariée.
  • Demandez des chèques annulés ou une documentation certifiée des institutions financières des nouveaux employés indiquant les informations relatives à leur compte ; vérifiez que les numéros de chèque et de routage correspondent à une banque réelle et non à une entreprise de services financiers.
  • Mettez en œuvre un onboarding résistant au phishing de bout en bout. (Consultez mon précédent blog, The weakest link: Securing your extended workforce, pour plus d'informations.)
  • Envisagez d'exiger qu'au moins une partie de vos entretiens ou de votre onboarding se fasse en personne.

Adoptez les technologies pour soutenir vos collaborateurs et vos processus : 

  • Veuillez envisager d'utiliser un service tiers de vérification d'identité, qui peut vérifier les identités des employés potentiels en recoupant plusieurs méthodes d'identification
  • Dans le cadre d'un onboarding sécurisé, expédiez séparément une clé de sécurité hors ligne (p. ex., une YubiKey) et l'ordinateur portable ; assurez-vous que les adresses de destination sont identiques et correspondent au lieu de travail du nouvel employé, et n'autorisez pas l'expédition à une boîte postale. Box.
  • Assurez-vous que l'authentification résistante au phishing est utilisée pour vérifier l'identité avant de donner aux nouvelles recrues l'accès aux outils de l'entreprise

Vérification des identités des collaborateurs en télétravail

Passons maintenant à la deuxième question : Comment vérifions-nous l'identité d'un membre de l'équipe à distance à un moment ultérieur ?

Pour contextualiser, certains cybercriminels exploitent les flux de récupération de comptes vulnérables pour accéder aux environnements informatiques protégés, souvent en appelant le service d'assistance d'une organisation et en se faisant passer pour un membre légitime du personnel.

Habituellement, ces cybercriminels exploitent les flux de récupération de comptes qui reposent sur un seul facteur d'authentification :

  • Les cybercriminels d’aujourd’hui peuvent appliquer des tactiques d’Open Source Intelligence pour découvrir les détails personnels qui servent souvent de facteurs d'authentification basés sur la base de connaissance.
  • Les attaquants peuvent également acquérir des informations personnellement identifiables auprès de services de recherche de personnes, de courtiers en données et de fuites publiées sur le Dark Web.
  • Même les vérifications de « liveness » qui reposent sur l'audio ou la vidéo sont vulnérables en raison des capacités avancées des deepfake.

Pour combattre ces menaces, nous avons utilisé nos propres outils et l'implémentation à l'échelle de notre personnel des YubiKeys pour mettre en place une vérification de l'identité de l'appelant qui est résistant au phishing, vérifiable et conviviale pour les agents du service d'assistance et les appelants légitimes.

Les Organizations qui n'ont pas mis en œuvre de clés de sécurité hors ligne peuvent toujours introduire des mesures de protection pour aider à vérifier l'identité de l'appelant. Par exemple, Okta Workflows permet d'automatiser en grande partie un processus de vérification de l'identité de l'appelant à l'aide de facteurs d'authentification inscrits auprès d'Okta, notamment :

  • Une demande d'authentification push Okta Verify est envoyée au terminal mobile enregistré de l'appelant présumé.
  • Un mot de passe à usage unique (OTP) provenant d'Okta Verify, de Google Authenticator ou d'un canal de confiance similaire est envoyé au numéro de téléphone mobile enregistré de l'appelant présumé.
  • Un mot-clé secret envoyé par e-mail aux adresses principale ou secondaire de l'appelant présumé.

Le résultat : votre formation, votre technologie et vos processus doivent évoluer 

Il est important de revoir régulièrement votre formation et vos procédures pour vérifier l'identité de vos travailleurs à distance, surtout dans le contexte des tactiques, techniques et procédures les plus récentes employées par les cybercriminels. Les adversaires sont fortement motivés à découvrir des solutions de contournement à vos défenses, et une protection qui était très efficace hier pourrait ne pas être aussi fiable demain.

Bien que les technologies puissent jouer un rôle, en particulier pour l'authentification résistante au phishing, les personnes et les processus sont également essentiels. Maximiser notre protection contre la fraude d'identité nécessite que les trois éléments fonctionnent de concert.

Enfin, rien de ce qui précède n'élimine la nécessité d'un programme de menaces d'initiés, qui complète les pratiques décrites ci-dessus en aidant à découvrir les menaces qui ont franchi vos filtres d'embauche (et en détectant le scénario malheureux d'un bon employé qui a mal tourné).

Si vous souhaitez en savoir plus sur la sécurisation de l'ensemble de votre personnel, y compris les prestataires, les fournisseurs et les autres tiers, lisez mon article Le maillon faible : sécuriser votre personnel étendu.

À propos de l’auteur

Charlotte Wylie

Vice-président principal et chef adjoint de la sécurité

Charlotte Wylie, SVP et directrice adjointe de la sécurité chez Okta, dirige les services de cybersécurité technique d'Okta. Cela comprend la supervision des équipes d'ingénierie mondiales d'Okta afin d'améliorer la posture de sécurité et les programmes de l'entreprise qui soutiennent ses près de 19 000 clients. C'est une dirigeante de la sécurité chevronnée avec une vaste expérience mondiale dans les secteurs financiers et des technologies en Australie et aux États-Unis. Charlotte possède une vaste expérience dans la mise en œuvre de programmes de transformation de la sécurité et la direction d'équipes d'ingénierie mondiales afin de créer de la valeur en améliorant la posture de sécurité et en s'alignant sur les objectifs commerciaux des grandes entreprises.

Découvrez notre newsletter sur l'identité

Recevez toute l'actualité d'Okta directement dans votre boîte aux lettres avec Access Granted, une publication mensuelle contenant les annonces d'Okta, des avis d'experts, des analyses et bien plus encore.

Abonnez-vous gratuitement
Image de la newsletter Okta