Ah, nos chers mots de passe ! Ces petites phrases secrètes qui, censées protéger nos données, sont souvent les premiers vecteurs d’attaque pour les cybercriminels. Selon une étude de 2021 de Verizon, 81 % des violations de données en entreprise sont liées à des mots de passe faibles ou volés. Voilà une statistique qui fait réfléchir ! Alors pourquoi les mots de passe ne suffisent plus, et comment les nouvelles méthodes d’authentification « passwordless » peuvent transformer la protection de vos données ?
L’évolution de l’authentification en entreprise
Depuis l’aube de l’informatique, les mots de passe ont été le moyen principal pour sécuriser l’accès aux systèmes et aux données. Souvenez-vous des premiers PC avec leurs simples mots de passe à quatre chiffres ! Avec le temps, les systèmes sont devenus plus complexes et les méthodes d’authentification ont évolué. Nous sommes passés des mots de passe à des systèmes plus sophistiqués tels que les tokens de sécurité et l’authentification à deux facteurs (voir plus bas).
Mais voilà, les mots de passe (inventés par Fernando Corbato, ingénieur du MIT, si vous souhaitez briller au prochain barbecue) présentent de nombreuses limites. D’une part, à moins d’utiliser un coffre-fort type Dashlane ou Keepass, ils doivent être mémorisés, et plus ils sont complexes, plus ils sont difficiles à retenir. De plus, leur gestion peut devenir un véritable casse-tête avec les politiques de rotation et les exigences de complexité. Et ne parlons même pas des risques de sécurité : les mots de passe sont vulnérables aux attaques de phishing, aux enregistreurs de frappe (keyloggers) et aux violations de données.
Bref, désolé mais les mots de passe, c’est dépassé !
La sécurité en entreprise : point sur les problématiques actuelles
Gérer les mots de passe en entreprise, c’est un peu comme jongler avec des balles de feu (vous avez l’image ?). Il faut mettre en place des politiques de rotation régulières, s’assurer que les mots de passe sont suffisamment complexes et uniques pour chaque application, et former les employés à adopter de bonnes pratiques. Ce n’est pas seulement compliqué, c’est aussi extrêmement chronophage.
Autre problématique,la gestion des mots de passe n’est pas gratuite. Elle entraîne des coûts en termes de temps perdu, de support informatique et de formation des équipes.
Enfin, je le répète,les mots de passe sont une cible toute trouvée pour les cybercriminels. C’est dire à quel point il est urgent de trouver des alternatives plus sécurisées.
Quid de l’authentification sans mot de passe
L’authentification sans mot de passe, comme son nom l’indique, permet de se connecter à des systèmes sans avoir à saisir…de mot de passe, et repose sur des méthodes d’authentification alternatives que nous détaillerons plus bas.
Elle offre une sécurité renforcée en éliminant les risques associés aux mots de passe (évidemment !). Elle est également plus simple d’utilisation pour les utilisateurs finaux, réduisant ainsi l’utilisation d’outils tiers comme les coffre-forts ou les appels au support technique. Enfin, elle permet de réaliser des économies en réduisant les coûts liés à la gestion des mots de passe et de ses contraintes.
Les technologies derrière l’authentification sans mot de passe
La biométrie, séduisante mais pas (encore) totalement convaincante
- Reconnaissance faciale : La reconnaissance faciale est une méthode d’authentification rapide et pratique qui utilise les traits du visage pour identifier les utilisateurs. Précisons qu’elle soulève encore des questions de confidentialité et de précision en fonction des conditions d’éclairage et de l’environnement.
- Empreintes digitales : L’authentification par empreintes digitales est couramment utilisée dans les smartphones et les ordinateurs portables. Elle est précise et facile à utiliser, mais nécessite des capteurs spécifiques et peut être contournée avec des empreintes fausses.
- Analyse vocale : L’analyse vocale utilise les caractéristiques uniques de la voix d’une personne pour l’authentifier. Elle peut être utilisée dans des environnements où les autres méthodes biométriques ne sont pas pratiques. Petit bémol, elle peut être sensible aux bruits de fond et aux enregistrements vocaux.
Clés de sécurité physiques, une très bonne option…si on ne l’égare pas
Les clés de sécurité physiques, comme la Winkeo (recommandée par l’ANSSI) ou la YubiKey, offrent une méthode d’authentification sécurisée et pratique. Elles fonctionnent en générant un code unique à chaque utilisation, rendant le piratage pratiquement impossible. De plus, elles sont faciles à utiliser et ne nécessitent pas de mémorisation.
Authentification à deux facteurs (2FA) et multi-facteurs (MFA), du bon et du moins bon
- Tokens et applications mobiles : Les tokens et les applications mobiles comme Google Authenticator et Authy fournissent des codes temporaires pour vérifier l’identité de l’utilisateur. Ils sont faciles à déployer et augmentent considérablement la sécurité.
- Authentification par SMS et email : Bien que l’authentification par SMS et email soit couramment utilisée, elle présente des risques. Les SMS peuvent être interceptés et les emails compromis. Nous ne conseillons donc pas spécialement cette méthode…
Protocoles et standards modernes, l’avenir sans aucun doute
- FIDO2 et WebAuthn : ces standards, ouverts pour l’authentification sans mot de passe, permettent aux utilisateurs de se connecter de manière sécurisée en utilisant des dispositifs biométriques ou des clés de sécurité physiques. Ces protocoles sont supportés par de nombreux navigateurs et plateformes, facilitant leur adoption.
- OAuth 2.0 et OpenID Connect : deux protocoles qui simplifient l’intégration de l’authentification avec les services existants. Ils permettent aux utilisateurs de se connecter à plusieurs services avec un seul ensemble de données d’identification, réduisant ainsi la complexité et les risques de sécurité.
A noter que ces protocoles et standards doivent obligatoirement être couplés à des services/clés de connexions (comme une clé FIDO2 par exemple).
Dans tous les cas, malgré quelques relative faiblesses peu critiques, n’en doutez pas, ces méthodes d’authentification passwordless sont aujourd’hui beaucoup plus sûres que les méthodes traditionnelles.
Cas d’utilisation en entreprise
Scénarios d’application
- Accès aux systèmes internes : Les entreprises peuvent utiliser l’authentification sans mot de passe pour sécuriser l’accès à leurs systèmes internes, y compris les applications métiers et les VPN. Cela permet de renforcer la sécurité tout en simplifiant l’expérience utilisateur.
- Gestion des identités et des accès : Les solutions type IAM ou PAM peuvent intégrer des méthodes d’authentification sans mot de passe pour améliorer la sécurité et la gestion des identités.
- Accès aux applications cloud et SaaS : Les entreprises adoptent de plus en plus des environnements hybrides comprenant des applications cloud et SaaS. L’authentification sans mot de passe peut sécuriser ces environnements en réduisant les risques associés aux mots de passe.
Mise en œuvre de l’authentification sans mot de passe
- Évaluation des besoins : Avant de déployer des solutions d’authentification sans mot de passe, il est nécessaire d’évaluer les besoins spécifiques de l’entreprise. Cela inclut l’analyse des risques, des exigences de conformité et des préférences des utilisateurs.
- Choix des technologies : Le choix des technologies dépend évidemment des besoins de l’entreprise et des critères de sélection des solutions d’authentification. Un conseil, ne surdimensionnez par votre besoin mais choisissez des solutions évolutives, sécurisées et 100% compatibles avec votre SI.
- Déploiement : Le déploiement de l’authentification sans mot de passe doit être planifié avec soin. Il inclut des étapes telles que la configuration des dispositifs, la formation des utilisateurs et la mise en place de politiques de sécurité.
- Formation et adoption par les utilisateurs : La formation des utilisateurs est essentielle pour assurer une transition en douceur vers l’authentification sans mot de passe. Les stratégies de communication et de formation doivent être mises en place pour aider les utilisateurs à adopter ces nouvelles méthodes.
L’authentification sans mot de passe représente l’avenir de la sécurité en entreprise. Les mots de passe traditionnels, bien qu’utilisés depuis des décennies, ne suffisent plus à protéger les systèmes contre les cyberattaques de plus en plus sophistiquées. Les technologies comme la biométrie, les clés de sécurité physiques, et les standards modernes comme FIDO2 et WebAuthn offrent des alternatives plus sécurisées et conviviales, auxquelles nous vous conseillons vivement de vous intéresser ! Pour aller plus loin sur cette tendance du passwordless, l’éditeur Ilex International a publié un dossier complet à lire ici.