Les sites e-commerce vendent des biens et des services. De l’affiche de cinéma au lave-vaisselle, le consommateur peut tout acheter en ligne. Si certaines transactions testent les plafonds de carte bancaire, les établissements financiers veillent au grain. Outre la surveillance de l’utilisation de ces cartes bancaires, ils sont également capables de détecter les opérations suspectes et de consigner les achats.
Dans le cadre de transactions entre professionnels (B2B), les montants des commandes peuvent atteindre plusieurs dizaines ou centaines de milliers d’euros. Pour passer commande, les acheteurs se connectent à un portail Web B2B avec leur mot de passe. Or la faiblesse et la vulnérabilité de la méthode d’authentification utilisée sont incohérentes avec les montants en jeu.
L’accès au portail B2B à l’aide d’un mot de passe ou d’une identité fédérée à partir du domaine du client suffit généralement. En effet, l’accès au portail ne révèle que des informations comme le prix, le pourcentage de remise, la liste des produits, etc. C’est lors de la finalisation d’une transaction que le bât blesse puisqu’un mot de passe a tôt fait de tomber dans de mauvaises mains (en interne à l’extérieur).
La confirmation d’une transaction atteignant un seuil défini devrait s’effectuer par défaut dans les règles de l’art. Si le montant d’une transaction excède 5 000 €, la méthode de confirmation utilisée doit être renforcée. L’utilisation d’une méthode de confirmation, ou d’authentification renforcée, empêchant toute divulgation – même par erreur – des identifiants par les responsables des achats constitue un bon moyen de se prémunir des menaces persistantes avancées ou des actes d’ingénierie sociale.
L’envoi par SMS de mots de passe à usage unique représente une méthode d’authentification renforcée simple à utiliser et facile à associer au numéro de mobile du responsable des achats. En combinant l’événement d’authentification, les données de la transaction ainsi que la date et l’heure, vous pouvez créer des entrées parfaitement vérifiables concernant l’accès à votre service B2B en ligne. Cette méthode permet également d’alerter le responsable des achats par SMS en cas d’utilisation frauduleuse de ses identifiants pour passer une commande. Si cette personne n’est pas en train de passer commande, elle sait instantanément que ses identifiants sont tombés dans de mauvaises mains. Les infrastructures PKI vont un cran plus loin dans la protection de la confirmation des transactions en proposant la signature numérique de la transaction.
Les solutions de gestion des identités et des accès (IAM) ne se limitent pas au contrôle des accès. Elles peuvent être utilisées pour protéger vos ressources, mais aussi pour établir des pistes d’audit afin de respecter les exigences de conformité, etc. Découvrez plus d’infos sur la solution IAM de GlobalSign et sur les méthodes de sécurisation renforcée pour confirmer les transactions.
