Guide de gestion des risques liés aux transactions en ligne

Important

En tant que partenaire Microsoft dans le programme fournisseur de solutions Cloud (CSP), vous êtes responsable des achats et de l’utilisation de nos services par vos clients. Il est important que les partenaires surveillent et traitent les activités anormales de leurs clients. Microsoft peut envoyer des notifications de partenaires si nous détectons des activités suspectes, mais il est essentiel que les partenaires utilisent des méthodes de supervision supplémentaires pour détecter le comportement anormal des clients.

Microsoft prend au sérieux la gestion des risques de transaction en ligne, et les partenaires doivent faire de même pour atténuer les risques métier. Pour prendre en charge les partenaires, Microsoft partage un ensemble de recommandations pour gérer les risques lors de l’utilisation des clients en ligne. Bien que Microsoft s’engage à soutenir les partenaires, les partenaires restent financièrement responsables des achats frauduleux effectués par leurs clients et/ou de l’absence de paiement des services achetés par leurs clients.

Bonnes pratiques de gestion des risques en ligne

Cette section fournit des informations sur les aspects fondamentaux de la gestion des risques dont vous devez être informé, ainsi que des suggestions pour les meilleures pratiques.

Consultez le tableau suivant pour atténuer l’exposition aux risques :

Exposition au risque	Définition	Exemples
Abus de service	Clients ou acteurs malveillants qui utilisent des services cloud en violation de la stratégie d’utilisation acceptable de Microsoft	-Spamming -Piratage - Attaques DDOS - Exploration de données de chiffrement - Distribution des programmes malveillants - Revente d’abonnements piratés
Vol de service*	Les clients qui démontrent qu’ils n’ont pas l’intention de payer pour les services consommés, d’utiliser des instruments de paiement volés, de fournir de fausses informations de facturation et/ou de défaut sur les soldes impayés	- Transactions qui ne se produisent pas en personne - Identités incorrectes - Services approvisionnés et utilisés sans intention de paiement - Création et achat automatisés de comptes par des acteurs incorrects

*Le vol de service peut être plus élevé dans les marchés émergents et les régions à haut risque.

Bonnes pratiques

Microsoft recommande aux partenaires d’implémenter les protocoles suivants tout au long du cycle de vie de la relation client :

• Intégrer de nouveaux clients
  • Établir des relations personnelles avec les clients, si possible (par exemple, contacter par téléphone).
  • Recherchez de meilleures façons de vérifier les informations d’identification et l’arrière-plan des clients (Agences de rapports commerciaux de crédit/Bureau de crédit).
  • Utilisez l’authentification multifacteur (MFA) pendant l’inscription pour réduire l’exposition à la création et à l’achat de comptes robotisés.
  • Demandez aux clients de surveiller et de sécuriser leurs locataires** en suivant les bonnes pratiques de sécurité.
  • Gérez et suivez les identités à l’aide de services tels que les services d’identité numérique.
  • Évaluez la force financière des clients par le biais de systèmes rigoureux de détection des fraudes par carte de crédit.
  • Établissez une stratégie de recouvrement claire. Processus de regroupements de détails et lorsque l’accès aux abonnements est affecté par un non-paiement.
• Gérer les comptes des clients
  • Implémentez un processus pour recevoir, examiner, agir et répondre rapidement aux notifications Microsoft.
  • Collaborez avec les clients pour comprendre leurs besoins métier d’utilisation du cloud et définir les seuils de surveillance appropriés. (Par exemple, les partenaires peuvent définir un budget mensuel de dépense Azure dans l’Espace partenaires.
  • Surveillez régulièrement les journaux d’activité des clients pour vous aider à détecter les fraudes tôt.
  • Agissez rapidement lorsque des activités suspectes sont détectées.
  • Évitez de donner aux clients un accès administratif complet aux abonnements sans d’abord implémenter de contrôles d’atténuation des risques.
• Gérer la facturation des clients
  • Demandez un prépayement avant les transactions initiales et la facturation.
  • N’acceptez pas les instruments de paiement à haut risque (tels que les cartes prépayées ou les cartes à valeur stockée).
  • Surveillez les paiements des clients et les comptes vieillissants. Appliquez de manière agressive des processus de relance standardisés en cas de retard ou de non-paiement.

Suggestions pour les meilleures pratiques d’intégration des clients

Cette section fournit les meilleures pratiques pour l’intégration des clients. Les sections incluent des informations sur la vérification sms (Short Message Service), la gestion des identités des utilisateurs finaux et la connaissance de votre client lors de l’intégration.

Vérification SMS (texte)

Pendant le processus d’inscription, les clients finaux sont présentés avec une page « Preuve que vous n’êtes pas un robot », qui lance une vérification du client via SMS (texte) :

• L’utilisation d’une solution de vérification SMS permet aux partenaires d’atténuer le risque d’inscription des clients par le biais de méthodes robotiques. La vérification SMS permet également d’empêcher les acteurs malveillants de créer facilement plusieurs comptes (par exemple, des faux inscriptions).
• Pendant le processus d’inscription, les partenaires peuvent choisir de confirmer si une personne se trouve à l’autre extrémité de la transaction. La vérification est effectuée en demandant au client de fournir un numéro mobile auquel un code secret à usage unique est envoyé via SMS.
• En outre, la vérification SMS peut également être utilisée dans le cadre d’un processus de connexion multifacteur (MFA) pour les clients établis.

Gestion des identités des utilisateurs finaux

Les meilleures pratiques pour atténuer le risque d’identification des fraudes sont les suivantes :

• Une façon de gérer et de suivre l’identité d’un client consiste à utiliser un service d’identité numérique.
• Une identité numérique est une signature unique d’un utilisateur individuel et/ou d’un appareil à l’autre extrémité d’une transaction en ligne.
• Digital Identity Services permet aux partenaires d’identifier mieux les clients au-delà de simples identificateurs tels qu’une adresse e-mail, une adresse physique, etc.
• Les partenaires peuvent valider l’identité des clients et identifier les acteurs malveillants potentiels à l’aide d’outils tiers.

Connaître votre client lors de l’intégration

Il est important que les partenaires prennent des mesures supplémentaires pour vérifier l’identité et la force financière, lorsque cela est possible, des particuliers et des entreprises qui souhaitent acheter services en ligne. Les meilleures pratiques sont les suivantes :

• Créez des relations personnelles avec les clients, par exemple, contactez par téléphone, rencontrez-vous en personne, et ainsi de suite.
• Exiger une carte de crédit pendant l’inscription ; n’acceptez pas les cartes stockées ou les cartes de crédit prépayées comme mode de paiement.
• Implémentez des systèmes rigoureux de détection des fraudes de carte de crédit pour s’assurer que le client présentant l’instrument de paiement est un utilisateur autorisé ; examinez les rapports financiers des bureaux de crédit.
• Validez les informations d’identification et l’arrière-plan des clients dans des endroits approuvés tels que les agences de rapports commerciaux d’entreprise.

Suggestions pour les meilleures pratiques post-achat des clients

Connaître votre client

Il est recommandé d’implémenter la surveillance de l’utilisation pour les services, même si ces services ne sont pas facturés par la consommation. Toutefois, cette pratique est particulièrement vraie pour le service facturé à la consommation, tel qu’Azure, où la facturation se produit après l’utilisation.

• En s’appuyant sur la stratégie « connaître votre client », les partenaires doivent travailler en étroite collaboration avec les clients pour comprendre les besoins métier fondamentaux de leur utilisation des services cloud.
• Évitez de donner aux clients un accès administrateur complet aux abonnements sans d’abord implémenter des contrôles d’atténuation des risques, tels que les meilleures pratiques de ce guide.
• Pour surveiller l’utilisation au niveau du client pour les différents besoins métier du client, utilisez le portail de gestion Microsoft Azure et les fonctionnalités de création de rapports d’utilisation disponibles.
• Abonnez-vous à de nouvelles alertes de sécurité qui constituent l’une des nombreuses façons dont Microsoft prend en charge les partenaires pour sécuriser les locataires de leurs clients. Les alertes doivent être examinées et corrigées rapidement si nécessaire, les partenaires peuvent suspendre les ressources Azure affectées ou les abonnements Azure pour atténuer un problème.

Billing

Dans le programme fournisseur de solutions Cloud, Microsoft ne facture pas le client final. Le partenaire est tenu de configurer et de traiter la facturation.

Les partenaires doivent implémenter les protocoles suivants dans leur processus de facturation :

• Sécurisez les paiements avant la facturation en demandant aux clients de soumettre des paiements anticipés pour financer leur activité de compte.
• Évitez d’accepter des instruments de paiement à haut risque tels que des cartes prépayées ou stockées, car le montant des cartes ne peut pas être vérifié et peut ne pas être suffisant pour couvrir les coûts d’achat des clients.
• Surveillez étroitement les paiements des clients et les comptes vieillissants, appliquez de manière agressive les processus de paiement normalisés pour les retards ou les paiements non payés, y compris la suspension des abonnements et des services jusqu’à ce que les paiements sur les soldes impayés soient reçus.

Notifications Microsoft

Microsoft a implémenté un service de notification et il est essentiel que les partenaires conservent régulièrement les adresses e-mail associées aux administrateurs d’abonnements :

• Les partenaires doivent développer et implémenter des processus pour recevoir, examiner, agir et répondre rapidement aux notifications Microsoft si nécessaire.
• Si Microsoft détecte une activité inhabituelle, Microsoft envoie des notifications aux partenaires dans les scénarios suivants :
  • Lorsque des abonnements sont soupçonnés ou déterminés à violer la stratégie d’utilisation acceptable pour les services en ligne et/ou
  • Lorsque les abonnements sont associés à des activités suspectes (telles que la fraude/piratage) et présentent un risque immédiat pour Microsoft, les partenaires et/ou les clients.
• Les notifications des clients sont envoyées dans le Portail Azure via le panneau Azure Service Health. Découvrez comment configurer des alertes dans l’article Créer des alertes de journal d’activité sur les notifications de service à l’aide du Portail Azure.
• Abus général Notifications par e-mail : les e-mails sont envoyés des azsafety@microsoft.com administrateurs d’abonnement et des propriétaires. Il est suggéré d’ajouter l’adresse azsafety@microsoft.com e-mail à votre liste d’expéditeurs approuvés pour empêcher les e-mails importants d’accéder à votre dossier de courrier indésirable.

Remarque

Les partenaires doivent utiliser des méthodes supplémentaires pour détecter l’utilisation anormale et les activités suspectes et ne pas s’appuyer uniquement sur les notifications Microsoft.

Application acceptable de la stratégie d’utilisation

• Dans le cadre de leur contrat avec Microsoft, les partenaires et leur client sont censés se conformer à la stratégie d’utilisation acceptable, comme décrit dans les conditions des services en ligne.
• Lorsque Microsoft détecte ou est informé, partenaire ou activité client que nous confirmons ou suspectons de violer la stratégie d’utilisation acceptable, Microsoft prend des mesures d’application.
• Les violations de la stratégie d’utilisation acceptable peuvent entraîner la suspension des services en ligne : la suspension peut être immédiate, si nécessaire. Sinon, Microsoft avertit les partenaires demandant une action et/ou des mesures d’application déjà prises par Microsoft.

Notifications et actions attendues

Remarque

Microsoft fait des efforts raisonnables pour avertir les partenaires si un abonnement associé à leur client affiche des activités risquées ou suspectes ; toutefois, les partenaires ne doivent pas s’appuyer exclusivement sur les notifications Microsoft. Utilisez d’autres méthodes de supervision pour détecter le comportement anormal des clients.

Les partenaires doivent évaluer les clients qui sont jugés en violation de la stratégie d’utilisation acceptable pour déterminer s’ils présentent des risques supplémentaires pour leur entreprise.

Événement à risque	Notifications et/ou actions attendues*
Activités qui présentent un risque immédiat pour Microsoft, les partenaires et/ou les clients	Microsoft notifiera le partenaire via Portail Azure ou le portail de l’Espace partenaires de l’abonnement à haut risque Le partenaire doit EXAMINER et SUSPENDRE tous les autres abonnements clients du compte client s’il est déterminé par le partenaire pour être frauduleux Microsoft peut désactiver immédiatement les abonnements à haut risque **
Activités de sécurité suspectes en cours	Bien qu’il incombe au partenaire d’implémenter et de maintenir des contrôles de risque de prévention et de détection des fraudes, Microsoft peut notifier le partenaire, par e-mail, de l’activité suspecte Microsoft peut désactiver les abonnements à haut risque si aucune action n’est effectuée par le partenaire À l’avenir, Microsoft peut proposer d’autres outils et/ou fonctionnalités de détection pour les partenaires
Violation de la stratégie d’utilisation acceptable	Microsoft notifiera le partenaire par e-mail de la violation Le partenaire suspend l’actif incriminé et répond à la notification de Microsoft dans les 48 heures ou le jour ouvré suivant Microsoft peut désactiver les abonnements à haut risque si aucune action n’est effectuée par le partenaire

*Les notifications par e-mail sont envoyées aux administrateurs répertoriés de l’abonnement. Les partenaires doivent s’assurer que les informations de contact par e-mail sont mises à jour régulièrement.
**Certaines violations peuvent entraîner une suspension immédiate et/ou une désactivation de l’abonnement incriminé.

Quand les partenaires détectent une utilisation suspecte

Les partenaires sont financièrement responsables des achats frauduleux de leurs clients et du non-paiement des services achetés. Les partenaires doivent implémenter des contrôles de prévention des fraudes et de détection des risques tels que les suggestions décrites dans ce guide.

• Si un partenaire détecte de manière proactive les activités suspectes, il doit immédiatement examiner et prendre les mesures appropriées pour atténuer les risques :
  • L’examen peut inclure l’examen de l’activité de connexion au compte du client, de l’historique des paiements de facture, des modifications fréquentes des instruments de paiement et/ou des modèles d’utilisation d’abonnement précédents, comme indiqué précédemment.
  • Les actions d’atténuation peuvent inclure la correction des identités compromises, le nettoyage des ressources compromises et le renforcement de la posture de sécurité. Pour plus d’informations, consultez Que devez-vous faire si un abonnement Azure a été compromis ?.
• Les partenaires peuvent également envoyer une demande de service dans l’Espace partenaires s’ils ont d’autres questions ou préoccupations concernant les activités suspectes.

Contenu connexe

• Bonnes pratiques en matière de sécurité des clients
• Étapes essentielles pour confirmer, contenir et sécuriser une compromission
• Non payé, fraude et utilisation abusive
• Notification de fraude Azure