Voici le résumé le plus bref possible du dernier flash DGSI dédié aux risques associés à l’usurpation d’identité.
Evidemment, le document se focalise sur des tentatives d’escroquerie ciblant des entreprises, mais cette règle simple se retrouve également dans la jurisprudence des autorités de protection des données.
En matière de télécom, plusieurs condamnations ont ainsi été prononcées par la « CNIL espagnole » à l’encontre d’opérateurs de télécommunication qui délivrait des copies de carte SIM à des escrocs (AEPD, 23 janvier 2024, Orange Espagne, n° EXP202210101; AEPD, Digi Spain Telecoma, n° 00636-2022). Le manquement à la sécurité tenait alors classiquement à l’absence de vérification d’identité. Classique et déjà évoqué dans ces colonnes, malheureusement.
En Italie, c’est une problématique un petit peu différente qui a été abordée par la Guarante : celle de la confiance à accorder aux données d’identification – en l’occurrence, une sorte d’annuaire d’identification des notaires – fournie par un tiers (GPDP, 11 janvier 2024, n° 9993548). Concrètement, une erreur dans le listing peut ainsi compromettre la sécurité de tout un système.
Alors, en plus de suivre les recommandations de la DGSI, que faire pour se prémunir de ce risque?
1) Etablissez une procédure encadrant l’authentification et l’identification (les deux termes ne se valent pas, dixit Crim., 12 avril 2023, n° 22-85944) des personnes concernées
2) Formez votre personnel pour qu’il maîtrise et applique cette procédure
3) Si vous recevez une liste de personnes à enrôler :
– Assurez-vous qu’elle contient un élément connu de la seule personne permettant une vérification d’identité
– Vérifiez l’intégrité de la liste à réception
Avez-vous été confronté à des tentatives d’usurpation? Comment les avez-vous détectées, puis gérées? Partagez vos retours en commentaires.
Des interrogations sur la façon de rédiger votre politique d’authentification et d’identification ? Besoin d’aide pour sensibiliser votre personnel ? N’hésitez pas à me contacter.