Digest Digital Trust : L'actualité de la semaine (7-11 novembre)

Le Digital Trust Digest est un aperçu de l'actualité de la semaine en matière de cybersécurité.

Outre tout ce qui se passe dans le monde de la cybersécurité cette semaine, les États-Unis célèbrent aujourd'hui la Journée des anciens combattants. Nous tenons à exprimer notre gratitude aux anciens combattants et à leurs familles pour leur service.

Voici les cinq principales mises à jour en matière de cybersécurité que vous devez connaître cette semaine :

L'American Bankers Association a publié un nouveau rapport qui définit un cadre pour améliorer la gestion de l'identité des clients afin de protéger le secteur financier et ses clients contre la fraude. 

Le rapport décrit comment les vulnérabilités des processus d'identité clés dans le secteur bancaire peuvent donner lieu à des activités frauduleuses. Les recommandations d'actions pour prévenir la fraude et renforcer les processus d'identité numérique sont les suivantes : 

• Établir une identité numérique au sein de l'équipe de direction de la banque.
• L'analyse comparative avec les pairs et les meilleures pratiques du secteur.
• Effectuer une analyse des causes profondes afin d'identifier les faiblesses.
• Cartographie des fournisseurs actuels de produits liés à l'identité.
• Comprendre la feuille de route du fournisseur du système bancaire central en ce qui concerne l'identité du client.
• Évaluer les fournisseurs dans le contexte de l'écosystème de l'identité numérique. 
• S'engager auprès des groupes industriels qui s'intéressent à l'évolution de l'identité numérique.

Pour en savoir plus sur le rapport ici.

Raconteur rapporte que "l'UE se rapproche du déploiement d'un système d'identité numérique à l'échelle du continentmais elle se heurte encore à des obstacles techniques et législatifs". Ce système d'identité numérique est une réponse au passage à la vie numérique pendant la pandémie et à la nécessité de disposer d'un moyen universel de vérifier les identités en ligne.

Bien que ce système doive répondre aux exigences en matière de protection de la vie privée et des données, des groupes industriels et des défenseurs des droits numériques se sont prononcés contre cette initiative. En particulier, les fournisseurs de navigateurs, comme Google et Mozilla, soutiennent que les certificats de confiance supplémentaires proposés dans le mandat sont moins sûrs que les méthodes actuelles d'authentification des sites web et qu'ils nécessiteraient d'importants travaux d'infrastructure web pour s'adapter à ces changements.

Pour en savoir plus sur le nouveau système d'identité numérique de l'UE et ses défis ici.

Matthias Keller, chief scientist et SCP de la technologie chez KAYAK, affirme que le lancement par Apple des passkeys dans le cadre d'iOS 16 a le potentiel de révolutionner la manière dont les entreprises mettent en œuvre l'ouverture de session pour leurs produits. M. Keller note également que les passkeys utilisent une cryptographie forte, ce qui élimine la possibilité de voler de grandes quantités d'informations d'identification à partir de sites web ou de gestionnaires de mots de passe basés sur le cloud.

Les avantages des passkeys sont les suivants

• Les serveurs ne voient jamais les clés privées de l'utilisateur.
• Les utilisateurs n'ont pas d'accès direct à leurs clés privées et ne peuvent y accéder qu'en s'authentifiant à l'aide de données biométriques ou de codes d'accès à l'appareil.
• Simplification de l'expérience utilisateur pour l'enregistrement et l'utilisation des passkeys.
• Il n'est plus nécessaire de mettre à jour les mots de passe, ni même de se souvenir d'un nombre incalculable de mots de passe.

Pour en savoir plus sur les clés USB d'Apple, lisez l'article suivant article de VentureBeat.

L'internet des objets L'internet des objets devient une surface d'attaque massive pour les violations de la cybersécurité en raison des problèmes de sécurité et des vulnérabilités de base de ces appareils. TechRepublic propose ces conseils pour aider les entreprises à réduire les risques IoT :

• Créer un inventaire complet et actualisé des actifs pour aider à remédier aux risques et à supprimer les appareils à haut risque.
• Respectez les meilleures pratiques en matière de sécurité des mots de passe en donnant aux appareils IoT des mots de passe uniques et complexes qui changent régulièrement. 
• Gérer les microprogrammes des appareils en les mettant à jour avec la dernière version et en sachant quand il faut les mettre à niveau pour éliminer une vulnérabilité.
• Désactivez les connexions superflues et limitez l'accès au réseau afin d'atténuer les attaques dues à un accès trop large.
• S'assurer que les certificats sont à jour, bien gérés et validés. 
• Soyez conscient de la dérive environnementale en veillant à ce que les appareils qui ont été sécurisés le restent.

Pour en savoir plus sur les meilleures pratiques en matière de sécurité sur le site IoT ici.

Rapport de Forrester sur la confiance zéro moderne, La définition de la confiance zéro moderneexplique comment ces initiatives ont évolué depuis 2009. Le rapport clarifie également la définition du concept afin d'éliminer la confusion et le scepticisme.

InfoSecurity Magazine met en évidence cinq points à retenir de ce rapport.

• La confiance zéro concerne davantage les données que les réseaux, car les données constituent la valeur réelle des entreprises aujourd'hui.
• Aligner les initiatives "zéro confiance" sur les avantages pour l'entreprise et intégrer progressivement celles qui présentent un intérêt immédiat. 
• Mettez en œuvre les principes clés actualisés de la confiance zéro dans vos initiatives.
• Concentrez vos initiatives de confiance zéro sur les premiers résultats, comme le cryptage des fichiers et les contrôles des données en cours d'utilisation.
• Évitez les initiatives de remplacement et construisez plutôt sur les solutions existantes qui répondent aux besoins de votre organisation dans l'état où elle se trouve aujourd'hui.

Pour en savoir plus sur le rapport de Forrester sur la confiance zéro ici.

Envie de rattraper les gros titres de la semaine dernière ? Lisez-les ici.