Ce livre blanc met en avant les raisons de faire évoluer sa stratégie d'authentification informatique.
"Lorsque la nouvelle a été révélée que la société de sécurité informatique RSA avait été victime d’une cyber-attaque, de nombreux bruits de couloir ont circulé sur les conséquences catastrophiques que cette attaque allait avoir sur la société.
Les nombreuses violations de sécurité ayant eu lieu récemment indiquent clairement qu’aucun réseau n’est plus à l’abri d’une attaque. D’abord, il a été difficile de savoir quelles informations avaient été dérobées et si elles étaient chiffrées ou non.
Lorsque Lockheed Martin a annoncé que la récente violation dont ils avaient été victime était directement imputable à celle dont avait été victime RSA auparavant, les règles du jeu ont changé de manière irréversible.
Ce qui se passe actuellement semble se rapprocher d’un rappel de produit. Tout fabricant qui a fait l’expérience d’un rappel de produit comprendra ce qui arrive à la société RSA car c’est un processus coûteux qui prend beaucoup de temps et qui bien sûr dérange ses clients. Il a été estimé qu’il faut compter au moins 9 mois pour qu’une entreprise mène à bien un tel processus chez tous ses utilisateurs.
Il est donc surprenant de voir que RSA semble avoir fixé une limite à laquelle les clients sont éligibles à l’attribution de tokens de remplacement. Seuls leurs plus gros clients avec des ‘bases d’utilisateurs concentrés’, ou qui sont ‘axés sur le marché des consommateurs’ sont éligibles au ‘rappel’ automatique des tokens ou à leur remplacement.
Cette déclaration semble un peu vague et ne précise pas ce qu’ils entendent faire au sujet de la vaste majorité de leurs clients qui ne répondent pas à ces critères d’admissibilité.
Avant de nous précipiter et de simplement remplacer les tokens à l’identique (même s’il s’agit d’un token identique d’un autre fournisseur), nous devons, en tant que service de base fourni à nos entreprises, procéder à une vérification préalable pour décider s’il s’agit de la bonne marche à suivre - sans se soucier de savoir si vous allez remplacer vos tokens à l’identique ou non.
En fait, la majorité d’entre nous qui sommes responsables de cette infrastructure peuvent ainsi être interrogés pour vérifier que nous avons bien appliqué ce processus."
