Attaques d’ingénierie sociale dans les services bancaires aux entreprises : solutions PKI et WYSIWYS

Attaques récentes d’ingénierie sociale

La fraude par ingénierie sociale dans les services bancaires aux entreprises est le terme utilisé pour un large éventail de manipulations malveillantes conçues pour effectuer des opérations et des transactions numériques frauduleuses dans des domaines tels que la gestion de la trésorerie et du crédit, la gestion des actifs et la souscription pour les petites, moyennes et grandes entreprises.

Ce qui rend les attaques d’ingénierie sociale (basées sur l’ordinateur) particulièrement pernicieuses, c’est qu’elles exploitent l’élément humain sujet à des erreurs telles qu’une mauvaise interprétation, la routine, etc. et une trop grande confiance, plutôt que les vulnérabilités du système.

Les récentes attaques d’ingénierie sociale contre les institutions financières dans le monde numérique visent notamment à :

  • Usurper l’identité de titulaires de comptes et de signataires mandatés pour effectuer des opérations frauduleuses en leur nom,
  • Modifier le contenu ou l’objet des opérations lorsqu’elles sont signées par ces utilisateurs mandatés.

La suite logicielle PKI de Gemalto comprend des solutions complémentaires pour développer des fonctionnalités plus défensives pour les infrastructures PKI héritées.

Authentifier. Chiffrer. Signer. Quels que soient les facteurs de forme. 

Les solutions PKI de Thales Gemalto assurent la sécurité des actifs de votre entreprise.

Ces solutions s’adressent aux services bancaires d’entreprise et complètent les solutions de sécurité de la banque numérique développées pour les clients des banques de détail.

Comprenez ce que vous signez (UWYS)

Gemalto Swat est notre solution haut de gamme pour les banques d’affaires qui souhaitent offrir à leurs clients et à leurs filiales la meilleure sécurité possible pour la gestion électronique des comptes bancaires (eBAM), les activités de la chambre de compensation automatisée (ACH), les virements électroniques et les paiements interbancaires.

Le lecteur Gemalto Swat est un dispositif de signature qui peut s’intégrer dans les systèmes PKI existants pour fournir un contrôle contextuel et une authentification du dispositif pendant toutes les opérations de signature PKI.

La solution permet aux institutions financières de lier toute opération sensible à une description contextuelle garantissant l’intégrité à la fois du contenu (voir : WYSIWYS) et de l’objectif d’une opération (comprendre : UWYS).

Dans le cas ci-dessous : « Vous signez un lot de 52 transactions pour un montant de 350 USD ».

Il offre une expérience UWYS (Understand-What-You-Sign) au signataire, en atténuant les attaques de type MitB (Man in the Browser) et d’ingénierie sociale de pointe, tout en privilégiant la facilité d’utilisation et la mobilité.

    Lecteur Gemalto Swat
    Gemalto Swat Reader

    Lecteur Gemalto Swat

    Ce dispositif de signature peut s’intégrer dans les systèmes PKI existants afin de fournir un contrôle contextuel et une authentification du dispositif pendant toutes les opérations de signature PKI.

    • Élément sécurisé intégré assurant l’authentification du dispositif et la signature du texte affiché
    • Saisie sécurisée du code PIN
    • Grand écran fournissant une description de l’objectif de la signature
    • Connexion USB ou BLE
    • Prise en charge des PC, mobiles et tablettes
    Token Gemalto eToken 5300
    Gemalto eToken 5300

    Token Gemalto eToken 5300

    Une solution idéale pour une entreprise qui cherche à déployer la haute sécurité de la PKI tout en conservant une solution pratique pour les employés.

    • Clé USB compacte et inviolable avec détection de présence, qui crée une authentification à trois facteurs (3FA)
    • Applications avancées basées sur des certificats, telles que la signature numérique, le chiffrement des e-mails et l’authentification avant démarrage
    • Accès à distance sécurisé aux VPN, aux portails web et à la connexion réseau sécurisée
    • Deux tailles possibles : mini ou micro

    Le token Gemalto eToken 5300 est un token intelligent d’authentification à 3 facteurs destiné à améliorer les systèmes PKI existants.

    Ce que vous voyez est ce que vous signez (WYSIWYS)

    WYSIWYS désigne une méthode fonctionnelle qui garantit de manière visible l’intégrité des documents électroniques et de leurs signatures numériques.

    En réalité, le signataire ne voit jamais vraiment ce qu’il signe numériquement.

    Il ne voit qu’une représentation du document électronique et de la signature électronique. Ce processus est dû à la technologie qui sous-tend la mise en œuvre des signatures numériques. Un document et sa signature ne sont qu’un ensemble de bits.

    Comment un signataire peut-il s’assurer que le message lu sur un navigateur est authentique, qu’il provient de la bonne source et qu’il accepte le contenu affiché ?

    Expérience de signature complète « voir et comprendre ».

    Avec Gemalto WebSigner, la nouvelle technologie d’extension Web promue par les principaux fournisseurs de navigateurs, la solution Swat peut fournir une expérience de signature WYSWYS et UWYS entièrement basée sur le Web sur les navigateurs récents Chrome, Firefox et Edge.

    Web Signer

    Le dispositif Swat est doté d’un clavier de saisie du code PIN standard permettant une saisie sécurisée du code PIN (SPE) et d’effectuer les opérations cryptographiques habituelles à l’aide d’une carte à puce PKI.

    En outre, le dispositif Swat permet au signataire de comprendre précisément ce qu’on lui demande de signer afin d’atténuer certaines attaques d’ingénierie sociale.

    Cette fonctionnalité correspond au concept UWYS, qui repose sur trois caractéristiques :

    1. Code PIN sécurisé (contre les logiciels malveillants ciblant le code PIN et les attaques par rejeu)
    2. Contrôle WYSIWYS des détails de l’opération par le signataire en synchronisation avec le contrôle de signature PKI de la banque (contre les attaques MitB et MitM)
    3. Contrôle UWYS du contexte par le signataire (contre l’ingénierie sociale et l’injection HTML pour tromper l’utilisateur).

    Conformité aux normes des services bancaires aux entreprises

    Les solutions présentées sont également entièrement compatibles avec les principales normes exigées par les institutions financières, telles que :

    Parler avec un expert
    PSD2

    IAM Trends

    75% of decision-makers surveyed in our research study conducted by Enterprise Strategy Group said legacy identity tech is holding back innovation.

    Learn the latest IAM trends
    ciam trends bfsi research ebook
    Gemalto Swat Solution

    Ressource en vedette

    Solution Gemalto Swat

    Comment protéger les clients des services bancaires aux entreprises contre l’ingénierie sociale et les attaques technologiques de pointe ?

    Télécharger le document de présentation de la solution
    Partners Resources Blogs Sentinel Drivers