Les attaques les plus efficaces du service d'assistance n'exploitent pas les vulnérabilités des logiciels. Elles exploitent une lacune dans le processus : l'utilisateur en ligne qui ne peut pas produire un authentificateur enregistré. Un entrepreneur au premier jour. Un partenaire qui appelle pour réinitialiser son accès. Ces utilisateurs ont toujours existé à la limite de la couverture de la vérification d'identité, et les attaquants les ont systématiquement ciblés.
Pour les agences gouvernementales, les services financiers et d'autres organisations à haut niveau d'assurance, il s'agit d'un risque inacceptable.
La dernière mise à jour de RSA Help Desk Live Verify comble cette lacune.
L'original RSA Help Desk Live Verify a abordé l'une des surfaces d'attaque les plus dangereuses en matière de sécurité d'entreprise : l'appel au service d'assistance. L'ingénierie sociale, les attaques de contournement du MFA et les escroqueries au support technique ciblant les services d'assistance informatique ont coûté aux organisations des centaines de millions de dollars en pertes et en amendes. La version initiale de RSA Help Desk Live Verify s'est attaquée à ces risques grâce à un modèle de vérification bidirectionnelle en instance de brevet qui pouvait confirmer les identités de l'utilisateur et de l'agent sans qu'aucune des parties ne partage un code PIN, un mot de passe ou des détails personnels.
Mais il exigeait que les utilisateurs disposent d'un authentificateur RSA enregistré. Cela laissait une catégorie d'utilisateurs totalement en dehors du modèle de protection : les sous-traitants sans dispositif provisionné, les employés dont le dispositif d'authentification a été perdu ou volé, les travailleurs temporaires et les partenaires externes. Pour ces utilisateurs, les organisations devaient recourir à des approches plus anciennes, notamment poser des questions de sécurité, relire les détails du compte ou ignorer complètement la vérification.
Avant d'aborder les nouveautés de RSA Help Desk Live Verify, il est utile de comprendre le mécanisme sous-jacent :
- Lorsqu'un utilisateur contacte le service d'assistance, l'agent lance une session RSA Help Desk Live Verify et dirige l'utilisateur vers un site Web appartenant à l'entreprise.
- L'utilisateur se voit alors proposer une série d'options de vérification sans mot de passe (y compris des clés d'accès). Ces options résultent des politiques d'accès adaptatives de l'organisation et des signaux de risque en temps réel de l'utilisateur.
- L'utilisateur vérifie son identité en utilisant l'option la plus pratique à sa disposition
- Lorsque la vérification est réussie, l'utilisateur reçoit un code de vérification qu'il communique à l'agent du service d'assistance.
- L'agent du service d'assistance saisit ensuite le code dans la console d'administration, vérifie l'identité de l'utilisateur et continue à répondre à la demande.
Aucune des deux parties ne parle d'un justificatif d'identité ou ne fournit d'informations personnelles. Il est important de noter que la vérification est bidirectionnelle de par sa conception : le processus confirme également l'identité de l'agent à l'utilisateur, éliminant ainsi le type d'attaque classique ‘Je suis de votre service d'assistance - réinitialisons votre mot de passe’.
L'accès aux applications et ressources sensibles ou restreintes déclenche automatiquement une authentification renforcée en fonction de la personne qui pose la question, de l'endroit où elle se trouve et de ce à quoi elle accède. L'authentification renforcée est automatiquement appliquée lorsque le contexte et le comportement de l'utilisateur indiquent un risque.
Les organisations peuvent également ajouter des couches RSA® Serrure mobile et RSA® Risque IA pour rendre RSA Help Desk Live Verify encore plus performant. Mobile Lock surveille l'environnement d'authentification mobile et peut bloquer les demandes de vérification si l'appareil présente des signes de compromission (chevaux de Troie, logiciels malveillants de partage d'écran ou autres indicateurs d'observation ou d'interception du flux d'authentification). Risk AI évalue dynamiquement le comportement de l'utilisateur et les signaux de risque, en automatisant les défis d'authentification de niveau supérieur si cela est justifié.
RSA Help Desk Live Verify introduit un chemin de vérification parallèle pour les utilisateurs qui n'ont pas accès à un authentificateur enregistré, alimenté par ID Dataweb. Au lieu de s'authentifier avec un authentificateur RSA, ces utilisateurs passent par un flux de vérification d'identité : ils soumettent une pièce d'identité émise par le gouvernement (permis de conduire, passeport ou autre pièce d'identité) qui est vérifiée en temps réel par rapport à des sources de données d'identité faisant autorité. L'agent voit le résultat de la vérification dans la même interface de console d'administration. Aucune pièce d'identité n'est communiquée à haute voix. Le modèle d'assurance bidirectionnelle s'applique toujours.
Le flux de vérification peut être contrôlé par les politiques d'accès adaptatives de RSA. Les administrateurs peuvent configurer les populations d'utilisateurs qui sont acheminées vers la vérification basée sur l'authentification par rapport à la vérification de l'identité et peuvent incorporer Identity Confidence avec Risk AI pour ajouter des signaux de risque contextuels à la décision. Une demande à haut risque (par exemple, un utilisateur qui se connecte depuis un lieu inhabituel, en dehors des heures de bureau, qui demande certains flux de travail ou qui présente une autre anomalie comportementale) peut déclencher une procédure de vérification plus stricte.
La mise à jour RSA Help Desk Live Verify a été conçue pour couvrir tout flux de travail sensible, et pas seulement les appels au service d'assistance. Le même moteur de vérification qui protège une réinitialisation des informations d'identification peut protéger une autorisation de virement bancaire, une demande d'escalade des privilèges, un flux de travail de récupération VPN ou une action RH impliquant des données sensibles sur les employés. Dans les services financiers, cela est important pour l'autorisation de paiement en temps réel et l'approbation des transactions de grande valeur, où les exigences en matière d'assurance de l'identité sont réglementaires et non facultatives. Dans l'administration et la défense, cela répond aux exigences de vérification de l'identité aux limites d'accès qui s'étendent aux sous-traitants et aux partenaires qui ne recevront peut-être jamais d'authentificateur géré par l'agence.
L'impact pratique est simple : tout flux de travail dans lequel une organisation doit confirmer l'identité de son interlocuteur avant d'entreprendre une action sensible peut désormais utiliser RSA Help Desk Live Verify, pour n'importe quel utilisateur de son personnel étendu.
Du point de vue du déploiement, RSA Help Desk Live Verify est un ajout aux environnements RSA ID Plus existants. Il n'y a aucun changement à apporter aux déploiements existants. Les organisations qui utilisent déjà RSA Help Desk Live Verify peuvent étendre la couverture aux utilisateurs sans authentificateurs en activant le module complémentaire ID Verification via ID Dataweb. Les administrateurs configurent les flux de travail et les populations d'utilisateurs qui peuvent utiliser le module complémentaire de vérification d'identité. Vérification de l'identité par le biais du même cadre politique que celui utilisé pour le reste de l'UE. RSA® ID Plus l'environnement.
Pour les équipes de sécurité qui évaluent la couverture, la question clé à poser concernant tout déploiement de RSA Help Desk Live Verify est la suivante : que se passe-t-il lorsqu'un utilisateur n'a pas accès à son authentificateur ? Avant cette dernière mise à jour, la réponse honnête de la plupart des organisations était que la vérification échouait. Avec ID Verification, ce scénario est remplacé par un flux de vérification structuré, vérifiable et résistant à l'hameçonnage. Chaque interaction de vérification, que ce soit par le biais d'un authentificateur ou d'un identifiant gouvernemental, est enregistrée et disponible pour les rapports d'audit et de conformité.
RSA Help Desk Live Verify s'adresse à un ensemble spécifique d'environnements et de cas d'utilisation. Il est plus pertinent pour :
- Organisations à main-d'œuvre élargie. Si des contractants, des partenaires ou des travailleurs temporaires interagissent avec votre service d'assistance ou sont impliqués dans des flux de travail sensibles, ils ont toujours représenté une lacune en matière de vérification. RSA Help Desk Live Verify est conçu pour cela.
- Institutions financières. L'autorisation de virement, l'approbation des paiements en temps réel et les demandes d'accès aux comptes sont autant d'interactions sensibles pour lesquelles l'assurance de l'identité réduit directement le risque de fraude.
- Gouvernement et environnements à haut niveau d'assurance. Les agences et les contractants opérant dans des environnements où les exigences en matière d'assurance de l'identité sont strictes bénéficient d'un modèle de vérification qui fonctionne pour les utilisateurs sur l'ensemble de la frontière de l'identité, et pas seulement pour ceux qui possèdent des appareils gérés par le gouvernement.
- Toute organisation utilisant RSA Help Desk Live Verify aujourd'hui. Si vous avez déjà déployé RSA Help Desk Live Verify pour les utilisateurs équipés d'un authentificateur, cette version vous permet d'étendre la même protection aux utilisateurs actuellement exclus de cette couverture, sans modifier votre configuration existante.
RSA Help Desk Live Verify avec ID Verification entre en Private Preview dans le cadre de la version de juin 2026, avec une disponibilité générale prévue pour la fin de l'été 2026. L'aperçu privé est disponible dès maintenant dans certaines régions, avec un déploiement plus large jusqu'à la mi-juin. Les organisations doivent activer ID Verification pour intégrer le flux de travail mis à jour dans leur environnement RSA ID Plus.
Si votre organisation a des sous-traitants, des partenaires ou des employés qui n'ont pas d'authentificateur enregistré et que vous souhaitez combler les lacunes en matière de vérification avant l'AG, l'aperçu privé est ouvert dès maintenant. Contactez votre responsable de compte RSA pour activer votre environnement.
Si vous n'êtes pas encore client de RSA, demander une démonstration pour voir RSA Help Desk Live Verify en action.
