Essai gratuit

conseil de sécurité pour la signature électronique : comment protéger vos URL de signature contre les cyberattaques

eSignature
Will LaSala,
How to protect signing URLs against cyberattacks blog

Aujourd'hui, les violations de données ne sont que trop fréquentes et les entreprises ne peuvent plus se permettre de négliger les failles de sécurité dans leurs processus numériques. Alors que les équipes informatiques et InfoSec se concentrent sur les défenses périmétriques et la détection des menaces, une vulnérabilité critique passe souvent inaperçue : l'authentification des signatures électroniques.

Pour les responsables juridiques et de la conformité, les implications sont sérieuses. Sans l'authentification du signataire, les organisations risquent de ne plus pouvoir prouver l'identité du signataire. Cela compromet l'applicabilité des accords juridiquement contraignants.

Mais ce n'est pas le seul problème. L'absence d'authentification du signataire expose également votre organisation à une violation de données.

Les cybercriminels ciblent de plus en plus les flux de travail de signature électronique pour accéder aux accords et contrats numériques tels que les demandes d'hypothèque, d'assurance et d'ouverture de compte. Ces documents - et bien d'autres qui nécessitent des signatures - sont riches en informations personnelles identifiables (PII) et autres données qui peuvent ensuite être utilisées pour l'ingénierie sociale et les escroqueries d'usurpation d'identité.

Aujourd'hui, avec des robots dotés d'intelligence artificielle capables d'analyser les URL de signature exposées à grande échelle, le paysage des menaces a évolué. Si votre processus de signature électronique n'inclut pas l'authentification, vous laissez la porte grande ouverte aux attaques.

Dans cet article, nous expliquons comment renforcer les protections de cybersécurité et sauvegarder les données en ajoutant l'authentification aux flux de travail d'eSignature.

Que sont les URL de signature et comment fonctionnent-elles ?

Lorsque les entreprises demandent à un client ou à un partenaire de signer des documents, le service de signature électronique prépare une transaction et envoie une notification.

Les organisations disposent de différentes méthodes pour informer les signataires qu'un document attend leur signature. L'utilisation d'une URL de signature publique pour ces notifications dépend de ces scénarios :

  1. 1. Entreprise à employé (B2E) utilisant l'authentification interne : Dans ce cas d'utilisation, la protection ne s'applique que si une méthode d'authentification est utilisée. Plus précisément, les utilisateurs doivent se connecter au VPN de l'entreprise et utiliser soit la liste blanche des adresses IP, soit l'authentification unique du signataire. Cela signifie que l'URL de signature n'est accessible que par le biais du VPN et des technologies de sécurité du réseau de l'entreprise, ou en tirant parti des contrôles de sécurité propres à l'entreprise dans ses systèmes de fournisseurs d'identité.
  2. 2. Entreprise à client (B2C) ou partenaire : Il existe deux distinctions dans les scénarios de signature B2C.
    1. a. Transaction incorporée ou intégrée : Dans ce scénario, l'expérience de signature est intégrée dans une application web ou mobile. L'utilisateur est d'abord authentifié auprès de l'application mobile et la transaction de signature électronique n'est accessible que par le biais de cette même application. Il n'y a pas d'URL de signature à protéger car lorsque vous envoyez une notification aux signataires, vous envoyez un lien qui redirige le client ou le partenaire vers l'application mobile où il doit d'abord s'authentifier. Si tel est votre cas d'utilisation, l'URL de signature n'est pas exposée publiquement et n'est donc pas soumise aux conseils de ce blog.
    2. b. Lien public : La majorité des notifications envoyées par le service de signature utilisent l'email ou le SMS. Il est important de savoir que ces notifications ne contiennent jamais de documents en pièces jointes. Elles contiennent plutôt un lien vers la cérémonie de signature où les documents sont hébergés. Ce lien est l'URL de signature et, par défaut, il n'est protégé par aucune méthode d'authentification requise. Vous devez utiliser une méthode d'authentification pour le protéger.
The signing URL is embedded in the email or SMS notification with a link or button to the documents that need signing. The link is visible in the address bar.

Les URL de signature sont comme n'importe quel autre lien web standard : toute personne ayant accès à l'URL peut en voir le contenu. Lorsque les URL de signature sont partagées par courrier électronique ou SMS entre une entreprise et ses clients ou partenaires, elles peuvent être captées par les systèmes et outils qui accèdent généralement aux courriers électroniques et aux messages SMS. Il s'agit notamment des passerelles e-mail/SMS, des pare-feu SMS, des solutions de surveillance des opérateurs et d'autres outils qui accèdent au contenu des messages, ce qui rend les URL potentiellement accessibles à d'autres personnes que les destinataires prévus.

En tant qu'organisation utilisant les signatures électroniques, vous êtes responsable de la sécurisation de l'URL de signature afin que seuls les destinataires prévus puissent y accéder. Pour que l'URL de signature soit considérée comme sécurisée, elle doit inclure l'authentification du signataire. La meilleure pratique consiste à choisir la méthode d'authentification la plus forte qui corresponde à vos cas d'utilisation spécifiques, à vos exigences en matière de risques et de conformité, et qui offre une expérience utilisateur fluide.

Image shows a cell phone screen on the OneSpan Sign page asking the user to authenticate before accessing the documents.

Meilleures pratiques en matière d'authentification du signataire

Il est important de trouver le bon équilibre entre l'expérience client et la sécurité lors de la sélection des méthodes d'authentification de l'utilisateur pour les transactions de signature électronique. L'approche idéale dépend de votre cas d'utilisation spécifique et de votre tolérance au risque.

Pour optimiser à la fois la sécurité et les taux d'achèvement, adaptez l'authentification au niveau de risque associé à la transaction de signature. Cela permet de réduire le nombre d'abandons tout en maintenant la conformité.

OneSpan Sign : un large éventail d'options d'authentification

OneSpan Sign offre un large éventail de méthodes d'authentification pour vérifier l'identité d'une personne et créer une transaction fiable. Plusieurs approches d'authentification peuvent être mises en œuvre individuellement ou en couches successives pour confirmer l'identité du signataire et établir l'intégrité de la transaction. Ces méthodes sont les suivantes

  • Questions de sécurité (Q&R) : Le signataire doit répondre correctement à une ou plusieurs questions. Cela nécessite que les deux parties établissent à l'avance les questions et les réponses.
  • L'authentification dynamique basée sur les connaissances (KBA) : L'intégration avec des fournisseurs de vérification d'identité, tels que Lexis Nexis, permet de poser des questions dynamiques basées sur des informations personnelles. Ces questions générées spontanément, tirées de bases de données de consommateurs, font qu'il est très difficile pour un imposteur de répondre puisque les questions reposent sur des informations que seule la personne légitime devrait connaître (par exemple, dans quelle rue habitiez-vous en l'an 2000 ?).
  • SMS OTP: OneSpan Sign envoie un OTP au signataire par message texte. Après avoir saisi ce code sur l'écran d'authentification, le signataire a accès au(x) document(s).
  • Authentification par certificat : Lorsque les autorités de certification et les fournisseurs de services de confiance (TSP) délivrent un certificat numérique à une personne, celui-ci peut être utilisé pour l'authentification. Dans ce cas, les signataires s'authentifient à l'aide de leur certificat numérique et du code PIN ou du mot de passe qui l'accompagne avant de signer, ce qui donne lieu à une signature électronique qualifiée.
  • Systèmes d'accréditation gouvernementaux : De nombreux fonctionnaires et sous-traitants s'authentifient à l'aide de la technologie des cartes à puce ou d'informations d'identification dérivées de la téléphonie mobile. Des solutions telles que les cartes d'accès communes (CAC) et les cartes de vérification de l'identité personnelle (PIV) contiennent des certificats numériques intégrés, créant ainsi une authentification multicouche par le biais de facteurs de connaissance (PIN), de facteurs de possession (carte physique) et parfois d'identifiants biométriques.
  • Vérification de l'identité numérique des documents d'identité délivrés par le gouvernement: La technologie de vérification de l'identité numérique scanne, extrait et valide les informations d'identification des pièces d'identité émises par l'État. Elle peut également inclure la biométrie, lorsque les signataires prennent un selfie et que la technologie de vérification de l'identité compare leur selfie à la photo d'identité officielle figurant sur leur passeport, leur permis de conduire ou leur carte d'identité nationale.
  • Jetons de sécurité matériels : OneSpan Sign s'intègre aux clés de sécurité Digipass® pour permettre une authentification forte à l'aide de codes de passe temporels ou événementiels.

  • Clés de sécurité FIDO: Les passkeys permettent une authentification forte, multifactorielle et résistante au phishing, grâce à des données biométriques basées sur des appareils mobiles et peuvent fonctionner sans connexion internet après la configuration initiale. Grâce à une large compatibilité entre les plateformes, les navigateurs et les appareils, ainsi qu'à des capacités de synchronisation, les passkeys fonctionnent exceptionnellement bien pour les personnes qui signent fréquemment.

    Image shows a cell phone screen on the OneSpan Sign page with a popup telling the user they can create a passkey to access the documents faster next time.

Comment protéger les URL de signature des signatures électroniques ?

Négliger l'authentification du signataire dans les flux de travail de signature électronique est un risque que les organisations ne peuvent plus se permettre dans le paysage actuel des menaces. La possibilité qu'un cybercriminel exploite des URL de signature exposées et recueille des données sensibles sur des accords numériques est en augmentation, ce qui fait de l'absence d'authentification une vulnérabilité.

Que vous configuriez un flux de travail d'eSignature automatisé via API ou que vous envoyiez manuellement une demande de signature ponctuelle, l'ajout de l'authentification est une étape simple mais puissante pour sécuriser vos accords numériques, vos données et votre réputation.

Contactez-nous pour en savoir plus ou pour acheter une authentification pour vos transactions OneSpan Sign.

authentication for electronic signature
Infographic

10 authentication methods for eSignature

Used alone or in combination, authentication methods verify a person's identity before they access the signature transaction. Learn the 10 authentication methods at a glance.

View now
Will LaSala
Will LaSala

Will LaSala est le directeur des solutions de sécurité chez OneSpan.Il a rejoint l'entreprise en 2001 et apporte plus de 25 ans d'expérience dans les logiciels et la cybersécurité. Depuis qu'il a rejoint OneSpan, Will a été impliqué dans tous les aspects de la mise en œuvre des produits et de la direction du marché au sein des institutions financières.

Inscrivez-vous pour recevoir les mises à jour OneSpan
Partager