Corporate Finance News
              


Lundi 12 Juillet 2021

Interview | Laurent Nezot, Sales Director France chez Yubico


Entretien avec Laurent Nezot, Sales Director France chez Yubico



Quels sont, selon vous, les défis de sécurité à long terme du travail hybride et à distance ?

Le travail hybride et à distance ont changé le mode de fonctionnement des entreprises, les exposant à des défis de sécurité imprévus. Notre récente étude a notamment révélé que 42 % des employés français utilisent quotidiennement des appareils professionnels pour accéder à des applications et des données personnelles, et que 34 % partagent des appareils entre membres de leur famille, sans compter sur l’accès aux réseaux d'entreprise via des connexions Wi-Fi non sécurisées. Alors que l’obligation du télétravail à 100 % a été levée le 9 juin dernier, certaines organisations dans le secteur de la finance font progressivement revenir les employés au bureau. D'autres entreprises prévoient d'offrir aux employés des possibilités de travail hybride et à distance à long terme en fonction de leurs fonctions.

Les départements de sécurité informatique et de cyber-risque devront assurer une gestion continue de l'accès sécurisé aux données distribuées, en plus de protéger leurs employés contre les cybermenaces croissantes, telles que les attaques de phishing et les prises de contrôle de comptes.

Dans ce contexte, quel est le rôle de l'authentification forte au cœur du métier de Yubico ?

Le secteur des services financiers est une cible attrayante pour les cybercriminels en raison de son grand volume d'informations sur les clients et les finances, ainsi que de la possibilité d'effectuer des paiements importants. En outre, les employés de ce domaine d’activité travaillent généralement dans des environnements variés, tels que des centres d'appels, des points de vente ou encore des bureaux de négociation, et accèdent aux données par le biais de plusieurs appareils, notamment des postes de travail partagés.

Les institutions financières sont également confrontées à un niveau d'exigences de sécurité et à une charge réglementaire que peu d'autres secteurs doivent supporter. Elles doivent satisfaire à de nombreuses exigences de conformité, ainsi qu'à des lois et règlements essentiels, tels que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) et la nouvelle directive des services de paiement (DSP2), qui comprennent des indications en matière de sécurité des informations, notamment des contrôles d'accès robustes. Dans un paysage environnemental et réglementaire aussi complexe, qu'il s'agisse de travail en présentiel, hybride ou à distance, l'authentification forte est une exigence essentielle.

Pourquoi l'authentification basée sur le mobile n'est pas une authentification forte ?

Les institutions financières ont été les premières à adopter l'authentification à deux facteurs (2FA) et l'authentification multifacteurs (MFA) en utilisant l'authentification basée sur le mobile, comme les codes SMS, les mots de passe à usage unique (OTP) et les notifications push. Aussi, 49 % d’entre elles ont introduit l'utilisation de l'authentification mobile en France. Cependant, cette méthode ne protège pas contre les cyberattaques modernes et peut être compromise par des logiciels malveillants, des échanges de cartes SIM, ou « SIM Swapping » ainsi que des attaques de type « man-in-the-middle », et conduire à un vol d'identifiants ainsi qu’à des prises de contrôle de comptes à l'échelle de l'entreprise.

De plus, les appareils mobiles n'ont pas été conçus pour la sécurité comme une clé de sécurité matérielle, et ne peuvent donc pas offrir aux utilisateurs et aux entreprises le même niveau de sécurité. C'est aussi une question d'accessibilité. Que faire si un membre de l’organisation n'a pas accès à un appareil mobile ou se trouve dans un endroit où il n'y a pas de service ? Cela rend impossible la réception d'un code SMS, par exemple.

Comment la YubiKey répond-elle aux besoins d'authentification forte d’une organisation de travail hybride, entre présenciel et distanciel ?

Yubico propose la YubiKey pour une authentification multifacteurs, sans mot de passe, abordable et facile à utiliser d’un simple toucher. Les YubiKeys garantissent la sécurité la plus forte contre les attaques de phishing et les prises de contrôle de comptes, comme le notent des recherches indépendantes. Les clés de sécurité que nous proposons prennent en charge les protocoles modernes, notamment FIDO2 et WebAuthn, ainsi que les protocoles OTP, SmartCard (PIV), OpenPGP ou encore les versions antérieures de FIDO. Une seule clé peut supporter plusieurs applications, ce qui permet aux YubiKeys de fonctionner avec les applications et les méthodes d'authentification actuelles, ainsi qu'avec les protocoles avancés et émergents en même temps.

En résumé, pourquoi les institutions financières devraient-elles envisager l'adoption de YubiKeys ?

Avec YubiKeys, les organismes du secteur financier protègent les collaborateurs contre les prises de contrôle de comptes et le vol d’identifiants, grâce à une sécurité cryptographique matérielle supérieure, et ce quel que soit l’endroit où ils se trouvent. Elles offrent également une simplicité inégalée aux utilisateurs avec des connexions quatre fois plus rapides qui garantissent une preuve de présence et de possession. En outre, les institutions financières sont en mesure de se conformer aux réglementations existantes et émergentes, telles que DSP2, PCI, FIPS et RGPD, et elles réduisent les coûts de support informatique liés à la réinitialisation des mots de passe. Enfin, et surtout, elles peuvent offrir la confiance aux utilisateurs et gagner en sérénité avec une solution de confiance. Dans le contexte actuel d'augmentation des cybermenaces, disposer d'une forte cyber-résilience peut en fait constituer un avantage concurrentiel, surtout lorsqu'elle est au premier plan des opérations et incarne un engagement envers les clients.