COMPÉTENCE B3.

2
SÉQUENCE 1 - CARACTÉRISER L'IDENTITÉ NUMÉRIQUE
D'UNE ENTREPRISE ET ÉVALUER CE QUI PEUT LA MENACER

SYNTHÈSE

Contenu
1. Rappels théoriques���������������������������������������������������������������������������������������������������������������������������������� 1
2. Applications pratiques������������������������������������������������������������������������������������������������������������������������������ 4
3. Conseils���������������������������������������������������������������������������������������������������������������������������������������������������� 9

NOTIONS CLÉS
— E-réputation
— Identité numérique
— Risque

1. Rappels théoriques

Introduction
Dans une société de plus en plus numérique, les données personnelles sont devenues une nouvelle
forme de monnaie. Le plus grand défi pour les dirigeants politiques et économiques est d'établir la
confiance qui permet à cette monnaie de continuer à circuler.
L’identité numérique est la somme de toutes les informations numériques disponibles sur un individu.
Elle devient de plus en plus complète et traçable, en raison de la croissance exponentielle des données
disponibles et des grandes capacités de traitement des données. Tout organisme, quels que soient sa
taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute
organisation, publique et privée, qui traite des données personnelles pour son compte ou non.
La manière dont l'identité numérique se développe est une préoccupation importante pour les
consommateurs et les entreprises.

CNED – BTS SIO – BLOC 3 – B3.2 – SÉQUENCE 1 – Synthèse – –1

Définition de l'identité numérique
L'UIT (Union internationale des télécommunications) définit le concept d'identité comme une
"représentation d'une entité sous la forme d'un ou plusieurs attributs qui permettent de distinguer
suffisamment l'entité ou les entités dans leur contexte".
Sur la base de cette définition, on peut donner à l’identité numérique la définition suivante : il s’agit de la
représentation numérique d'une entité, suffisamment détaillée pour que l'individu puisse être distingué
au sein de l’environnement numérique.
L'identité est un élément crucial pour chaque individu, car elle définit et identifie les principaux traits de
chacun. Il est évident qu'une identité numérique suffisante est tout aussi importante. Elle conserve les
caractéristiques intrinsèques qui font de l'identité un tel facteur de définition et, en même temps, elle
peut être considérée comme un outil sur lequel les États et les gouvernements peuvent s'appuyer pour
répondre aux demandes de leurs citoyens ou pour améliorer leur efficacité globale.

Éléments de l'identité numérique

Comme indiqué dans la définition ci-dessus, une entité est représentée par un ou plusieurs "attributs".
Au sens strict, un attribut peut être défini comme une "donnée spécifique concernant un individu".
Ces attributs peuvent être divisés en différentes catégories.

CNED – BTS SIO – BLOC 3 – B3.2 – SÉQUENCE 1 – Synthèse – –2

Catégorisation de l'identité numérique
Bien que le concept d'identité numérique identifie une entité spécifique, celui-ci peut être classé en trois
grandes catégories qui peuvent aider à isoler des traits spécifiques.

CNED – BTS SIO – BLOC 3 – B3.2 – SÉQUENCE 1 – Synthèse – –3

2. Applications pratiques
Aujourd'hui, nous sommes reconnus par notre réputation sur le web et notre identité numérique.
La fiabilité et le succès personnel ou professionnel dépendent de la première impression que les
utilisateurs ont en surfant sur internet.
Comment ? Par des commentaires négatifs et positifs, en décrivant l'identité numérique avec des
nouvelles, des opinions, des contenus numériques partagés sur le web et les médias sociaux. Souvent,
l'identité numérique ne correspond pas à l'identité réelle, mais aujourd'hui, le plus important est le
contenu numérique du web et sa position sur les moteurs de recherche. Une mauvaise réputation sur
le web, ou toute réputation sur le web, peut être un problème pour l'identité d'un individu ou d'une
organisation.

La vulnérabilité de l'identité numérique

Le vol d'identité est bien plus répandu qu'on ne le pense. Des comptes Facebook et d'autres réseaux
sociaux ou de sites de communication sont piratés tous les jours. Les voleurs d'identité piratent les sites
de médias sociaux et obtiennent de nombreuses informations, quel que soit le niveau de sécurité.

CNED – BTS SIO – BLOC 3 – B3.2 – SÉQUENCE 1 – Synthèse – –4

Les sites sociaux sont particulièrement vulnérables au vol d'identité et la plupart des gens en ont été
victimes à un moment ou à un autre.
Une protection efficace de l’identité numérique nécessite une surveillance continue et des mesures
correctives des menaces pesant sur l’image de marque d'une organisation, qu'elles proviennent de
réseaux sociaux, de téléphones portables, de sites web ou d'autres sources externes. Cette approche
nécessite souvent l'implication des équipes chargées de la sécurité, du marketing, de la marque et du
droit.
Si les approches de la protection de l’image de marque en ligne se résumaient autrefois à un suivi des
sentiments négatifs sur Twitter, cela ne suffit plus.
L'atteinte à l’image de marque se produit lorsqu'il y a une perte de confiance des clients ou lorsque
l'image de l’organisation est ternie. Un tel résultat peut être provoqué par des produits contrefaits, une
publicité négative et plus importante encore, des infractions.

L'usurpation d'identité

Usurpation d'identité de domaine

La forme la plus connue d'usurpation d'identité est l’usurpation du nom de domaine, qui voit un pirate
utiliser un domaine pour imiter une marque. Dans sa forme la plus élémentaire, un domaine frauduleux
peut simplement consister à utiliser le nom de l’organisation ou à mettre en ligne un site qui imite
l’organisation (exemple site de phishing se faisant passer pour un fournisseur d’accès à internet ou un
établissement financier).
Les attaquants utiliseront une telle tactique pour amener l'utilisateur final à penser que le contenu est
légitime. Une usurpation de domaine peut être créée pour n'importe quoi, même de faux sites d’homme
politique, mais ce qui est peut-être plus connu - les usurpations de domaine sont largement associées
aux organisations et créées pour usurper leur identité, quelle que soit la renommée de la marque.

CNED – BTS SIO – BLOC 3 – B3.2 – SÉQUENCE 1 – Synthèse – –5

Si toute marque peut être usurpée, certaines marques le sont plus que d'autres surtout à des fins
malveillantes, en raison de la présence du secteur et de la marque, ainsi sur les forums et les marchés
criminels, du DarkWeb, on constate que les modèles de phishing, pour les sociétés d'investissement,
ont les tarifs les plus élevés - ce qui prouve que certaines industries sont plus précieuses que d'autres.
Ainsi Paypal reste l'une des marques les plus piratées par le phishing, ce qui suggère que les marques
de portée mondiale sont confrontées à une attaque sans précédent. On peut donc considérer que le type
d’organisation et le secteur d'activité dans lequel elles se trouvent sont susceptibles de déterminer la
probabilité d'usurpation d'identité.

Imitation de compte dans les médias sociaux

Les organisations voient leurs identités utilisées sur des réseaux sociaux par des pirates qui attirent les
clients en leur promettant des offres trop belles pour être vraies. Tout comme pour un domaine, le profil
de ces fausses pages de réseaux sociaux utilisera le nom de la marque et/ou le logo, mais l'ampleur de
l'usurpation d'identité dépend de la volonté de l'acteur de la menace de faire de l'usurpation d'identité
un "like-for like". Ce type d'usurpation d'identité n'est que trop courant ; les pirates imitent les comptes
de soutien sur Twitter pour tenter de rediriger les clients vers des sites malveillants.

Usurpation de l'identitté d'un dirigeant d'organisation ou d'un salarié

Ce type d'usurpation d'identité repose sur un cadre de l’organisation qui incite les employés de niveau
inférieur à débloquer des fonds ou des documents sensibles. Cela dit, il n'est même pas nécessaire qu'il
s'agisse d'un cadre de l’organisation ; même les fournisseurs peuvent se faire passer pour des cadres.
Une illustration notable et récente des dommages qu'une organisation peut subir, suite à l'usurpation
de l'identité d'un cadre, est le cas du Nikkei. En 2019, le Nikkei a perdu 29 millions de dollars à cause
d'escrocs qui ont fait croire à un employé que l'expéditeur était un cadre de l'entreprise. L'usurpation
d'identité peut arriver à n'importe quelle organisation, ainsi des pirates et des fraudeurs enregistrent
souvent de faux profils sur les médias sociaux, ce qui peut être très utile pour cibler les employés et les
clients.

La protection des organisations ?

Jusqu'à présent, nous avons identifié les impacts potentiels et les menaces les plus courantes
concernant la protection des organisations en ligne. Cependant, quelles parties prenantes devraient être
propriétaires de la protection de l’organisation, les professionnels de la sécurité de l'information ou les
gourous du marketing ? Pour le savoir, il est utile de comprendre les véritables objectifs de chaque partie
prenante.

CNED – BTS SIO – BLOC 3 – B3.2 – SÉQUENCE 1 – Synthèse – –6

Bien que chaque organisation ait une composition différente, le fait d'identifier les objectifs de chaque
département, comme nous l'avons fait plus haut, permet d'avoir une image plus claire de qui devrait
s'occuper de la protection des marques. Étant donné que la protection de l'organisation relève de la
sécurité et que la protection de la marque est désormais considérée comme une question de sécurité,
la tâche de protéger la marque peut être confiée aux membres du service de sécurité. Cela dit, ces
responsabilités ne doivent pas être confiées au département de la sécurité, mais plutôt à l'équipe
marketing – qui sera chargée d'accroître la visibilité, par le biais de campagnes de marketing – qui doit
travailler avec le département de la sécurité. La collaboration et le travail d'équipe interfonctionnel sont
essentiels.

CNED – BTS SIO – BLOC 3 – B3.2 – SÉQUENCE 1 – Synthèse – –7

PHASE 1 : planification
Pour illustrer les meilleures pratiques de protection des organisations, considérons le scénario
hypothétique suivant. L'équipe marketing d’une organisation lance une campagne mondiale de publicité
et de communication sur les médias numériques pour faire connaître le lancement du nouveau produit.
Quelques mois avant le lancement de ce produit, l'équipe marketing lance un communiqué de presse,
ainsi que plusieurs publicités dans les médias numériques et à la télévision. Pour promouvoir ce produit,
un nouveau site web sera mis en place.
En conséquence, l'exposition de l’organisation a augmenté, tout comme sa surface d'attaque. Les
campagnes de marketing ont permis de googler la marque et le trafic sur le site web de l’organisation
a fortement augmenté. En outre, il faut tenir compte de la période de cette campagne puis par exemple
lors des fêtes de fin d'année, les clients achètent plus que d'habitude. Cela signifie que le nombre de
visiteurs sur la page des produits augmente pendant certaines périodes et que les commandes en ligne
vont suivre cette courbe.
L'équipe marketing se doit alors d’informer le service de sécurité IT des prochaines campagnes, des
réunions mensuelles sont organisées pour informer les différents acteurs des différentes activités.
En retour, les équipes de sécurité se réunissent pour s'informer mutuellement des différents
développements.

PHASE 2 : l'équipe de sécurité surveille l'environnement extérieur

Une fois que le département de la sécurité est conscient de la campagne à venir et des résultats
souhaités, il va s’attacher à surveiller l'environnement extérieur, en utilisant des outils de gestion des
risques numériques, digitaux. Pour que ces outils soient efficaces, les actifs de l'entreprise sont ajoutés,
ce qui augmente la couverture.
L'équipe de sécurité examine les actifs en interne, en discutant de ce que l’équipe souhaite surveiller,
mais consulte également l'équipe de marketing pour les actifs qu'elle souhaite surveiller. Les actifs de
l’organisation comprennent les domaines (y compris les domaines de test et de mise en scène), les IP,
les noms de marque, les extraits de code.
L'équipe de marketing s'assure que les noms de marque sont renseignés, mais fait également une
demande spéciale pour ajouter un domaine de test et un nom de projet secret en fonction de la
campagne de marketing à venir. Le domaine de mise en scène est utilisé par le développeur web interne
de l'équipe marketing. Selon le département marketing, ce site ne devrait pas être accessible au public -
il est donc essentiel de le surveiller.

PHASE 3 : détection
Tous les actifs sont examinés et intégrés dans la solution numérique de gestion des risques : la
surveillance 24 heures sur 24 et 7 jours sur 7 peut commencer. Dans les premières semaines de la
surveillance, les alertes se répandent et les analystes internes des opérations de sécurité observent et
trient. La fonction intégrée de notation des risques permet aux analystes internes du SOC (plateforme
permettant la supervision et l'administration de la sécurité du système d’information) de hiérarchiser et
d'évaluer les risques.
Lorsque les analystes du SOC détectent un incident, ceux-ci vont enquêter sur l'incident détecté,
ils s'assurent que des informations du système, pouvant contenir des informations personnelles ou
confidentielles ne sont pas divulguées. En cas de présence de ces informations, les analystes du SOC
saisissent leur responsable et l'informent de l'évolution de la situation, ce qui entraîne une escalade vers
les équipes marketing, juridique et de conformité.

PHASE 4 : réagir
L'équipe marketing après analyse estime si l’incident est effectivement ou non une attaque.
S’il s’agit d’une réelle attaque, immédiatement les analystes du SOC se concentrent sur la mise en place
d’une contre-mesure.

CNED – BTS SIO – BLOC 3 – B3.2 – SÉQUENCE 1 – Synthèse – –8

En attendant, le responsable de la sécurité de l'information travaille avec les équipes marketing,
juridique et de conformité pour discuter des implications plus larges de l'exposition, y compris les
informations du système, qui pourraient être utilisées pour accéder à l'infrastructure de l’organisation.

3. Conseils
Avec la prolifération de l'économie numérique, qui voit les marques se développer en ligne, il est
essentiel d'avoir une protection de l’identité numérique.

CNED – BTS SIO – BLOC 3 – B3.2 – SÉQUENCE 1 – Synthèse – –9

Les cours du CNED sont strictement réservés à l’usage privé de leurs destinataires et ne sont pas destinés à une utilisation collec-
tive. Les personnes qui s’en serviraient pour d’autres usages, qui en feraient une reproduction intégrale ou partielle, une traduc-
tion sans le consentement du CNED, s’exposeraient à des poursuites judiciaires et aux sanctions pénales prévues par le Code de la
propriété intellectuelle. Les reproductions par reprographie de livres et de périodiques protégés contenues dans cet ouvrage sont effec-
tuées par le CNED avec l’autorisation du Centre français d’exploitation du droit de copie (20, rue des Grands-Augustins, 75006 Paris).
CNED, BP 60200, 86980 Futuroscope Chasseneuil Cedex, France
© CNED 2022 87631FSWB2122