À de nombreux égards, l’identité numérique est une force pour l’entreprise : elle témoigne d’une image de marque bien établie et d’un nom reconnaissable, qu’il s’agisse de vendre des produits/services ou d’échanger des documents. Mais, faute d’être maîtrisée, cette identité immatérielle peut rapidement se transformer en faiblesse, et fragiliser ce que l’organisation a mis des années à forger – le socle de confiance sur lequel repose sa pérennité. Vol de données, modification ou altération de documents, pillage d’informations sensibles ou de secrets de fabrication, manipulation ou usurpation d’identité… Les risques que fait peser la numérisation de l’identité sur l’entreprise sont nombreux et doivent être pris au sérieux. Quels sont-ils ? Comment s’en prémunir ?

 

Identité numérique de l’entreprise : une définition

Dans Qu’est-ce que l’identité numérique ? (OpenEdition Press, 2013), Olivier Ertzscheid définit l’identité numérique comme « la collection des traces (…) que nous laissons derrière nous, consciemment ou inconsciemment, au fil de nos navigations sur le réseau et le reflet de cet ensemble de traces, tel qu’il apparaît “remixé” par les moteurs de recherche ». À cela, il faut ajouter une autre dimension liée à la dématérialisation des échanges : l’identité numérique désigne l’identité assumée, en ligne, par l’émetteur d’un document ou d’un ordre de décision. Cela fonctionne de la même manière pour les personnes physiques et morales. Par exemple, un DRH qui signe un contrat d’embauche et l’envoie par email à la personne recrutée utilise son identique numérique – à ceci près que, dans une entreprise, chaque collaborateur est garant de l’intégrité de l’identité de l’ensemble de la structure.

 

Les différentes couches de l’identité numérique

L’identité numérique est constituée d’une succession de trois couches informatives :

  • La 1ère couche est l’identité déclarative. Elle englobe les données qui sont partagées par l’entreprise sur les réseaux, de façon volontaire : sur ses supports web (site internet, blog, profils sociaux), sur des supports tiers (sites d’actualités, annuaires professionnels, forums, sites informatifs…), via des photos ou des vidéos, etc. Tous les collaborateurs de l’entreprise participent à la constitution de l’identité numérique déclarative, directement ou indirectement (par exemple, en indiquant sur leur profil LinkedIn qu’ils travaillent pour telle société).
  • La 2e couche est l’identité agissante. Elle regroupe toutes les traces laissées par les individus sur les réseaux, à l’exemple de la géolocalisation, des habitudes de navigation sur Internet (via les cookies), des échanges personnels et professionnels (par mail, via une messagerie instantanée, etc.), ou des ressources consultées sur le web (musique, vidéo, etc.). Cette facette de l’identité numérique est uniquement le fait des personnes physiques, mais l’ « empreinte digitale » ainsi laissée peut impacter la notoriété de l’entreprise.
  • La 3e couche est l’identité calculée. Elle est forgée par des algorithmes qui interprètent les données collectées pour recomposer les différentes facettes d’une identité individuelle ou collective. Ces outils extrapolent dans le but de prévoir les besoins et d’y répondre de façon anticipée.

Là encore, il est possible d’ajouter une pierre à l’édifice et de compléter le mille-feuille avec une 4e couche : l’identité légale. Elle désigne à la fois l’identité dématérialisée d’un individu ou d’une entreprise (nom et prénom, ou dénomination sociale) et les outils utilisées pour la justifier légalement (certificat électronique, signature électronique, authentification forte, etc. – voir plus bas).

 

Les enjeux liés à l’identité numérique des entreprises

Les problématiques qui entourent l’identité numérique de l’entreprise ne peuvent plus être ignorées. Tous les secteurs d’activité sont touchés, ainsi que toutes les tailles d’entreprises. Toutes les organisations laissent des traces sur le web et sont susceptibles d’envoyer ou de recevoir des documents sensibles. Pour cette raison, toutes sont concernées par les enjeux liés à l’identité digitale, qui se déploient à trois niveaux : branding, notoriété et cybersécurité.

Le branding. L’image que l’entreprise projette d’elle-même à travers ses ressources propres (logo, site web, visuels, publicités) est dépassée par l’image bâtie par les utilisateurs (prospects, clients, partenaires, fournisseurs, concurrents, détracteurs…). Résorber ou, du moins, contrôler l’écart qui existe entre ces deux images est l’un des enjeux majeurs de ce début de XXIe siècle en termes de maîtrise de l’identité numérique. Le risque étant de laisser la parole aux utilisateurs et de négliger les contenus malveillants et les erreurs d’interprétation.

La notoriété. Si la réputation a toujours été un enjeu déterminant pour les entreprises, l’essor du web a accentué son importance. Avec les réseaux sociaux, notamment, un bad buzz est vite arrivé. Les mauvaises nouvelles se répandent comme une traînée de poudre, et la prolifération des fake news fait qu’il n’est même plus nécessaire qu’une information soit vraie pour convaincre une large audience. Internet est soumis à la puissance de la rumeur, avec, à la clé, des dégâts potentiellement irréversibles sur l’entreprise – son e-réputation étant le socle sur lequel est édifiée la confiance des tiers. Malheureusement, la notoriété ne dépend pas du bon vouloir des organisations, mais de la communauté de leurs défenseurs et de leurs détracteurs. Il est donc essentiel de suivre l’évolution de cette image de marque et d’être prêt à intervenir en cas de situation de crise.

La cybersécurité. Les risques pesant sur la sécurité des systèmes d’information ne cessent d’augmenter, mettant en danger à la fois les entreprises et leurs utilisateurs. Le nombre de cyberattaques contre les organisations a augmenté de 25 % en 2019 (1), et quatre sociétés sur cinq en France sont mal préparées à se défendre contre ces risques (2). Partout dans le monde, les attaques contre les grandes entreprises se multiplient. Les hackers profitent de failles de sécurité pour dérober des données personnelles ou lancer des logiciels malveillants, comme par exemple :

  • Le vol des données personnelles de 106 millions de clients de la banque américaine Capital One – données d’identification, informations financières, données de transaction, numéros de sécurité sociale, numéros de comptes.
  • Plus récemment, l’infection du SI d’Edenred (éditeur des Tickets Restaurants) par un malware. L’annonce de l’attaque a fait chuter le titre de 6 % à la Bourse en quelques heures.

Sachant qu’un vol de données, en France, coûte en moyenne 3,54 millions d’euros (3)… et que son impact sur l’image de l’entreprise peut revenir bien plus cher à long terme. Sans même parler d’un autre problème, systématiquement sous-estimé : le vol de données des employés. Alors que l’accès d’une personne malveillante à des informations internes (adresses mail, conversations, fiches de paie, numéros de sécurité sociale….) peut avoir des conséquences majeures, notamment en donnant par la suite accès aux SI lui-même via les mots de passe dérobés (4).

 

Les risques cyber qui pèsent sur les entreprises

Les institutions montent au créneau pour contraindre les organisations à prendre les mesures qui s’imposent. C’est le cas à travers deux directives européennes : le RGPD (règlement général sur la protection des données) qui encadre la gestion des données personnelles des utilisateurs, donc leur sécurité ; et le règlement eIDAS (electronic Identification, Authentification and trust Services) qui régit l’identification électronique et les services de confiance à travers un socle sécuritaire commun.

Les risques ? Ils sont de trois ordres :

  • La manipulation de l’information (avis négatifs, diffusion de fausses informations, rumeurs, campagnes de dénigrement dirigées contre une entreprise spécifique, etc.)
  • La manipulation de l’identité numérique de l’entreprise (détournement du logo ou du slogan, usurpation ou détournement de marque, usurpation d’identité, fabrication de contrefaçons, vol de données, altération de documents, etc.)
  • Le vol de données (souvent) sensibles via l’utilisation de brèches de sécurité (manipulation technique).

 

Les solutions à adopter pour protéger l’identité numérique de l’entreprise

Les enjeux liés à l’identité numérique et les risques relatifs à sa non-maîtrise contraignent les entreprises à prendre des mesures concrètes pour se protéger. On peut distinguer deux grandes familles de solutions à adopter :

  1. Les bonnes pratiques à faire appliquer au quotidien par les collaborateurs de l’entreprise (sous la houlette de la DSI). Garants de l’image de marque de leur employeur, les salariés sont les premiers concernés par les bons gestes à adopter, à la fois pour conserver le contrôle de l’identité numérique de l’entreprise (attention portée aux publications et aux échanges, maîtrise de l’empreinte numérique, utilisation d’outils sécurisés pour se connecter aux réseaux, veille stratégique pour repérer les contenus négatifs et malveillants) et pour garantir l’intégrité de cette identité lors des échanges (utilisation de mots de passe complexes changés régulièrement, connexions uniquement depuis des réseaux sécurisés, soin porté aux échanges de documents sensibles, etc.).
  2. Les solutions logicielles et applicatives à implémenter. Par exemple : les certificats SSL pour sécuriser l’accès au site web et aux serveurs, et ainsi garantir la confidentialité des données échangées entre les utilisateurs et l’entreprise. Les outils de signature électronique qui authentifient les émetteurs et confèrent une valeur légale aux documents digitalisés, en supprimant les risques d’altération de ces documents ou d’usurpation d’identité. Ou encore l’utilisation d’un mécanisme d’authentification forte, qui requiert la consécution d’au moins deux facteurs d’identification afin de renforcer la sécurité des accès aux SI de l’entreprise. Tous ces outils sont rattachés à des certificats électroniques délivrés par des tiers de confiance (à l’image de CertEurope).

En somme, l’identité numérique de l’entreprise doit s’appuyer en simultané sur un ensemble de bonnes pratiques internes et sur l’utilisation d’outils sécurisés et 100 % fiables, adaptés au niveau de risque. C’est la seule façon qu’ont les organisations de reprendre le contrôle de leur identité digitale – pierre angulaire de leur pérennité.

Sources :

(1) https://www.accenture.com/fr-fr/insights/security/invest-cyber-resilience
(2) https://www.globalsecuritymag.fr/Cybersecurite-les-entreprises,20190423,86425.html
(3) https://www.lebigdata.fr/vol-de-donnees-france-cout
(4) https://www.zdnet.fr/actualites/le-vol-des-donnees-des-employes-pourrait-etre-votre-plus-grand-risque-de-securite-39892509.htm

 

Luc Andriana

Luc Andriana
Product Marketing Manager

Commander un certificat

User
Certificat électronique de personne physique
Corporate
Certificat électronique pour serveur
(authentification, chiffrement, cachet)

#COVID19 : CertEurope vous accompagne

Face aux différentes mesures gouvernementales relatives au COVID-19, CertEurope se mobilise pour permettre aux entreprises d’assurer une continuité de service.

Nos équipes sont toujours disponibles pour vous fournir vos certificats électroniques dans les plus brefs délais, commandez vos certificats dès maintenant.

Je commande