SFR renforce la sécurité de ses points de vente avec CA Arcot

SFR a repensé, courant 2010, son approche de la sécurité de ses points de vente et, plus globalement, des accès aux applications de gestion de la relation client de son système d’information. Jean-Yves Poichotte, Directeur de la sécurité et de la lutte contre la fraude chez SFR, détaillait, lors des Assises de la Sécurité, début octobre dernier, un choix motivé par la fraude et par un contexte légal renforcé : « SFR engage la relation avec ses clients à travers des espaces de vente propres mais aussi la grande distribution, la distribution spécialisée, ou les vendeurs de téléphonie mobile indépendants. En tout, ce sont 2 500 points de vente et 25 000 vendeurs qui accèdent quotidiennement aux outils de CRM et de commercialisation de SFR. Et nos outils de CRM contiennent beaucoup d’informations intéressantes - données personnelles, données d’usage, etc.» Autant de données visées par les attaquants et les fraudeurs. L’ouverture croissante de l’entreprise sur l’extérieur - partenaires français mais aussi étrangers comme des centres d’appel, outils clients de selfcare, etc... - contribue à rendre la sécurisation des outils CRM de l’opérateur plus complexe, «alors que la valeur de nos données croissaient aux yeux des attaquants», souligne Jean-Yves Poichotte. En outre, est venu s’ajouter à cela «une ordonnance qui nous oblige, nous opérateurs et rien que nous, à déclarer à la CNIL toute fuite d’information personnelle ».

Les intrusions, une réalité

Et les intrusions ne manquaient manifestement pas, même si aucun chiffre n’est avancé : «toutes les semaines, on constatait des intrusions alors même que les boutiques étaient fermées. On s’est rendu compte qu’une équipe de fraudeurs déterminait une boutique à utiliser comme point d’entrée, volait les codes de sécurisation - code tournant, code magasin et code personnel -, les communiquait à un complice qui ouvrait 10 sessions en parallèle pour trafiquer tout le week-end dans le système.» Et parfois même depuis un ordinateur connecté à Internet en... Europe de l’Est, raconte le directeur sécurité et lutte contre la fraude de SFR.

Avant de déployer les outils CA Arcot, SFR s’appuyait sur «une solution classique avec une clé physique qui affiche un code tournant. L’utilisateur saisit ce numéro synchronisé avec une horloge pour se connecter. Cela permet de vérifier que la personne qui se connecte est celle qui possède la clé ». Enfin presque, puis Jean-Yves Poichotte reconnaît qu’il n’y avait pas une clé par utilisateur potentiel - les clés physiques étaient donc partagées par plusieurs utilisateurs. De toutes façons, selon lui, «la solution était fragile face au risque de perte ou de vol de l’agent physique. Et il nous a fallu un certain temps pour détecter que les meilleurs fraudeurs ne le volaient même pas : ils se contentaient de lire le code affiché... car cela finit toujours par traîner sur un bureau ». Et puis la solution était coûteuse, notamment sur le plan logistique, pour la gestion du remplacement des clés volées, perdues, ou tout simplement arrivées à bout de piles.

Individualiser l’authentification

Pour lutter contre les créations de lignes frauduleuses ou les détournements de lignes, SFR dispose d’outils de surveillance dédiés - «mais c’est une course contre la montre avec les fraudeurs.» Avec CA Arcot, Jean-Yves Piochotte estime s’attaquer «à la cause ». Car désormais, «un agent logiciel est installé sur le PC, en télédistribution, pour identifier la machine. L’agent prend une empreinte physique de la machine et si n’importe quel composant de celle-ci est modifié, l’agent ne fonctionne plus; il devient invisible ». En outre, SFR a interdit l’accès depuis un poste dont l’agent CA serait absent et l’opérateur peut repérer et tracer les portables volés ou perdus. Un point important car, «pour s’introduire dans notre SI, il faut désormais récupérer un PC ». SFR gère en interne l’ensemble de la solution, depuis l’enrôlement des machines jusqu’à la gestion des identités et des accès. Et Jean-Yves Piochotte souligne que la solution «simplifie l’usage : dorénavant, l’utilisateur n’a plus besoin que d’un login et d’un mot de passe pour s’identifier. La conduite du changement c’est très bien déroulée dans les points de vente.» Surtout, l’authentification s’individualise, ce qui peut aider à améliorer la traçabilité des actions dans le SI de l’opérateur et, le cas échéant, lui permettre d’identifier le responsable de malversations. Avec certaines limites, toutefois, que certains participants de l’atelier, organisé par CA pour évoquer ce témoignage, n’ont pas manqué de relever : «il est assez facile de piquer un mot de passe» en le lisant par dessus-l’épaule ou s’il traîne sur un bout de papier. Bref, la solution ne règle pas la question de l’opposabilité de l’identification.