Attrape moi si tu peux: comment protéger votre identité à l’ère du digital

Lorsque Leonardo DiCaprio a interprété le personnage du fameux escroc Frank Abagnale, il est allé très loin dans l’art de la tromperie. Dans le film Attrape moi si tu peux, il trompe successivement des hôtesses de l’air - en prétendant être un pilote -, son futur gendre - en prétendant être un avocat- , et même son père - dans une fraude à la carte de crédit -. Fondementalement, le film montre que les vols d’identités fonctionnent mieux lorsqu’ils sont vraisemblables.

Les pirates vous ciblent car vous êtes une identité vraisemblable. Vous existez. Vous êtes réel.

Avec Internet, - Frank Abagnale utilisait des méthodes traditionnelles - protéger nos identités prend un tout autre sens et nécessite des mesures de protection entièrement nouvelles, qui doivent être activées en continu. A l’heure du partage tous azimuts - qui concerne nos noms, anniversaires, adresses, projets pour le week end, listes de courses, etc. - l’identité en tant que passeport pour des fraudes en tous genres n’a jamais été autant d’actualité.

Ne laissez pas un pirate usurper votre identité.

Notre transparence est devenue notre plus grande faiblesse, et la capacité de prendre l’apparence d’une autre personne - réelle ou fausse - imprègne nos vies. Il suffit d’un clic sur un lien dans un email de phishing, du partage par inadvertance d’une information critique, ou de la divulgation d’un seul mot de passe pour permettre à un pirate de passer sous les radars sous l’identité de quelqu’un d’autre.

Dès lors, comment profiter pleinement de nos identités numériques tout en les protégeant?

Adopter une approche Zero Trust

Zero trust est un concept qui est désormais reconnu dans la communauté des spécialistes de la sécurité. Il s’agit peut être du concept de la décennie, et vous avez probablement déjà entendu cette expression des millions de fois. Mais elle répond bien aux défis de sécurité d’aujourd’hui. Son message de base est le suivant: vous ne pouvez faire confiance à personne.

Dans votre entreprise, ce message doit servir de principe de base, même s’il faudra du temps avant qu’il soit adopté par tous. Avant de donner à quiconque accès à vos informations, vérifiez qu’il est bien ce qu’il prétend être. Et assurez vous que vos informations ne seront partagées qu’avec des personnes autorisées. Vos données sont précieuses, et elles peuvent vous coûter très cher si elles tombent dans de mauvaises mains.

Réfléchir avant de cliquer

Au niveau mondial, les fraudes par email coûtent aux entreprises et aux consommateurs plus de 12 milliards de $ par an. Ce chiffre doit rappeler à tous qu’un simple clic sur un lien malveillant peut avoir des effets dévastateurs. La bonne stratégie est de scruter chaque email reçu, d’examiner les liens avant de cliquer, et de ne pas pas saisir la moindre information dans un formulaire sans être sûr que vous ne livrez pas les clés de votre identité digitale dans l’opération. La diffusion des emails de phishing ne montre aucun signe de ralentissement. Il y a quelques mois, une simulation de phishing conduite par un contributeur à l’enquête DBIR de Verizon a révélé que sur 16 000 personnes, près de 3 fois plus d’individus non seulement cliquaient sur un lien de phishing mais dévoilaient aussi leurs identifiants sur le faux écran d’accès. Les faux emails contenaient des informations sur le coronavirus. Exploiter l’angoisse suscitée par un événement planétaire est une technique communément utilisée par les pirates, et ceci peut arriver à n’importe qui n’importe quand.

Un des plus grands experts du phishing, et acheteur régulier sur Amazon, est même tombé dans le piège d’un message malveillant, car il était fatigué à la réception de l’email et a légitimement pensé que sa carte de crédit était refusée. En fait, elle ne l’était pas, et il a dû prendre un GRAND nombre de mesures pour règler le problème en très peu de temps. Même si vous êtes fatigué, même si vous pensez que le message est sûr, répétez cette maxime après moi: réfléchir avant de cliquer.

Multiplier les couches

Tout comme nous nous protégeons contre les intempéries en multipliant les couches de vêtements, il est vital de protéger son identité digitale pour éviter de devenir une cible. En compliquant la tâche des pirates, vous aurez moins de chances de subir les conséquences d’une attaque réussie.

Ces multiples couches de protection comprennent le maintien de nos logiciels constamment à jour, l’utilisation d’une authentification à au moins deux facteurs, et le respect permanent d’une bonne pratique: réfléchir avant d’agir. Une autre mesure à privilégier est celle adoptée par les serpents: changer de peau. Détruisez régulièrement toutes vos anciennes informations sensibles.

De nos jours, se faire passer pour une autre personne demande peu d’efforts, car les apparences physiques n’ont désormais plus d’importance. En conséquence, désormais plus que jamais, l’identité digitale est déterminante dans nos vies personnelle et professionnelle, et la protéger est crucial. Faites la fierté de Frank Abagnale. Il travaille maintenant pour le FBI - il a remplacé son costume de méchant par celui d’un gentil. 

Charles Poff, CISO, SailPoint​

Le 26  septembre 2020