Six bonnes raisons d’utiliser l’authentification forte en environnement mobile professionnel
Règlement Général sur la Protection des Données (RGPD), directive ‘Network and Information Security’ (NIS) sur la sécurité des réseaux et des systèmes d’information, nouvelle directive européenne sur les Services de Paiement (DSP2) … 2018 est une année marquée par l’entrée en vigueur de plusieurs réglementations, qui apportent notamment de nouvelles règles en matière de cybersécurité.
Parmi elles, l’authentification forte et la protection de l’accès aux données sont des tendances de plus en plus généralisées. Si l’authentification forte et toutes ses déclinaisons – telles que l’authentification ‘MFA’, pour ‘Multi-Factor Authentification’, l’authentification adaptative ou l’authentification basée sur le risque – sont devenues aujourd’hui des pratiques de plus en plus répandues pour accéder au système d’information des entreprises, elles sont d’autant plus nécessaires en environnement mobile professionnel. Passons en revue 6 bonnes raisons d’utiliser l’authentification forte.
1. Répondre aux exigences réglementaires environnement mobile professionnel
Pour commencer il s’agit de répondre à certaines exigences réglementaires, qui ne se limitent pas aux utilisateurs sur poste de travail. L’authentification forte ne permettra pas de répondre en intégralité à ces directives et règlements, mais contribuera activement à la mise en conformité.
DSP2 : Directive européenne sur les services de paiement 2ème version
- Objectif : favoriser l’innovation, la concurrence et l’efficience du marché et plus précisément moderniser les services de paiement en Europe au profit des consommateurs et des entreprises.
- Entrée en vigueur : 13 janvier 2018, mais un délai d’adaptation de 18 mois après la publication au JO de l’UE des normes techniques est prévu, ce qui devrait reporter leur application à septembre 2019.
- Obligation concernant l’accès aux données : l’authentification forte est imposée pour les paiements en ligne de plus de 30 euros, la création de virements permanents et les autorisations de prélèvements. Les agrégateurs de comptes et prestataires de paiement devront aussi passer par l’authentification forte pour se connecter aux banques et récupérer les données de leurs usagers
RGPD : Règlement général sur la protection des données
- Objectif : harmoniser le panorama juridique européen en matière de protection des données personnelles.
- Entrée en vigueur : 25 mai 2018
- Obligation concernant l’accès aux données : au-delà du principe du consentement à la collecte et à la conservation des données, la nouvelle réglementation étend les responsabilités des entreprises et leurs obligations d’assurer la sécurité des informations de leurs clients. Les entreprises doivent tout mettre en œuvre pour sécuriser efficacement leur système d’information, à commencer par la flotte mobile qui représente une menace réelle. Renforcer la sécurité des accès en s’appuyant sur l’authentification forte est un premier pas pour se mettre au niveau de sécurité exigé par le RGPD.
NIS : directive Network and Information Security
- Objectif : donner à chaque état les moyens de mieux protéger ses entreprises et services publics essentiels face aux attaques informatiques. Dans le prolongement du dispositif de cybersécurité des opérateurs d’importance vitale introduit en 2013 par la Loi de Programmation Militaire (LPM), cette directive permet de renforcer la protection de nombreux autres acteurs indispensables à la vie quotidienne des citoyens.
- Entrée en vigueur : 09 mai 2018
- Obligation concernant l’accès aux données : la directive fixe des objectifs sans imposer de moyens, et les mesures de sécurité qui seront imposées aux opérateurs de services essentiels (OSE) restent à venir. Toujours est-il qu’un volet « contrôle et audit » est prévu et que les exigences en termes de sécurisation des terminaux et d’authentification forte seront renforcées.
2. Ouvrir son système d’information
en toute sécurité
L’informatique a considérablement évolué ces dernières années, tant sur le plan technologique (généralisation du Cloud, explosion du BYOD et de l’utilisation de périphériques mobiles, objets connectés, etc.), que sur le plan des pratiques (travail à distance, ouverture à des partenaires, etc.). Il est devenu impensable pour une entreprise moderne de cloisonner son système d’information et de se limiter au simple périmètre de ses locaux.
L’ouverture du système d’information est un enjeu majeur de la transformation digitale. En effet, il faut maintenant composer avec des utilisateurs qui accèdent à des services internes et externes au SI, et ce au sein de l’entreprise mais également depuis l’extérieur. Intégrer des accès depuis des terminaux mobiles, maîtrisés ou non, est une réalité avec laquelle il faut composer. Que l’on accepte ou non le BYOD, l’utilisation ‘personnelle’ du mobile par les utilisateurs ne correspond pas toujours aux bonnes pratiques et nécessite une vigilance accrue.
Chaque nouvelle porte ouverte sur le système d’information devant être maitrisée et sécurisée, l’authentification forte s’impose comme une évidence pour accéder au SI, et d’autant plus en environnement mobile professionnel. Le même soin en matière de sécurité doit être apporté : prévention contre les risques d’attaques, protection contre la perte ou le vol de données et authentification doivent être renforcées, qu’il s’agisse de se connecter à un service cloud, ou d’accéder à ses applications métier depuis l’extérieur.
3. Libérer les utilisateurs mobiles des contraintes de mots de passe en conciliant ergonomie et sécurité
Les utilisateurs mobiles exigent aujourd’hui une expérience digitale fluide et sécurisée, et s’attendent à retrouver les pratiques auxquelles ils sont habitués dans leur vie quotidienne. Il est aujourd’hui inconcevable de saisir des mots de passe à répétition sur un appareil mobile ! Garantir une ergonomie optimale mais sécurisée passe ainsi par la mise à disposition de fonctionnalités d’authentification qui soient simples et uniques. Le risque que les utilisateurs cherchent à contourner ou dégrader toute fonction de sécurité qui serait trop contraignante est bien connu et réel. C’est par la mise en place de méthodes d’authentification adaptées aux environnements mobiles en termes de sécurité et d’ergonomie qu’on séduira les utilisateurs et qu’on permettra ainsi à l’entreprise de réduire les risques de sécurité, comme l’utilisation de mots de passe faibles, l’enregistrement de mots de passe dans le navigateur, etc.
Il est possible aujourd’hui de trouver des solutions innovantes qui libèrent les utilisateurs de toute contrainte tout en les sensibilisant à la politique de sécurité de leur organisation.
4. Consolider la démarche d’urbanisation
de son système d’information
Les entreprises s’inscrivent de plus en plus dans une démarche d’urbanisation de leur système d’information afin de tendre vers une infrastructure ouverte, performante, évolutive et s’appuyant sur des standards du marché. L’entreprise ne doit pas multiplier les solutions en fonction des accès à protéger ou s’enfermer dans des développements spécifiques complexes : mutualisation et standardisation sont les maîtres mots pour une transformation digitale réussie.
Aujourd’hui, les architectes et urbanistes du système d’information recommandent de s’appuyer sur une infrastructure d’authentification de référence au sein du SI, et basée sur des standards du marché, afin de s’assurer de la bonne applicabilité de la politique de sécurité de l’entreprise et de l’interopérabilité avec les technologies innovantes qui s’y connectent.
Il est possible de renforcer la sécurité des applications de l’entreprise en déléguant les fonctions d’authentification et de contrôle d’accès à une infrastructure de sécurité dédiée. Si une authentification forte est nécessaire pour accéder à certaines applications contenant des données sensibles, elle doit l’être que l’on soit au sein de l’entreprise sur un poste de travail, ou en environnement mobile depuis l’extérieur.
5. Garantir contrôle et traçabilité des accès mobiles à son système d’information
Pour toute entreprise, maîtriser, sécuriser et tracer les accès reste une priorité ! L’entreprise doit à tout moment avoir une vision à 360° des accès à son système d’information et les usages mobiles ne doivent pas faire exception aux règles de sécurité déjà en place.
Peu importe le périphérique utilisé ou le lieu dans lequel se trouve l’utilisateur, il est nécessaire de s’assurer que tout accès au système d’information de l’entreprise est réalisé via une porte d’entrée correctement sécurisée. Renforcer les mécanismes d’authentification, de Single Sign-On et les règles de contrôle d’accès en environnement mobile facilite contrôle et traçabilité : l’authentification forte apporte de la confiance en garantissant l’identité numérique de l’utilisateur.
L’entreprise voit alors les risques de compromission de son patrimoine informationnel considérablement réduite. De même, et à posteriori, la traçabilité des authentifications, des autorisations et des délégations facilite les besoins d’audit.
6. Limiter les risques liés à la vulnérabilité
des appareils mobiles
Fuite de données, vol ou perte, applications mobiles douteuses, les appareils mobiles sont vulnérables. Ils sont ancrés dans nos quotidiens et nous n’avons pas toujours conscience qu’ils peuvent contenir des informations confidentielles et potentiellement sensibles pour l’entreprise, ou qu’ils constituent autant de points d’accès au Système d’Information. De plus, un smartphone est un appareil qu’il est facile de perdre ou se faire voler.
Renforcer l’authentification sur un poste de travail est monnaie courante… alors pourquoi ne pas renforcer l’accès depuis un mobile, sachant que, selon de nombreux experts, non seulement les cybercriminels peuvent attaquer un smartphone mais ils en ont fait leur cible privilégiée. S’appuyer sur de l’authentification forte est un bon moyen de ne pas avoir à gérer de mot de passe, et donc, de ne pas exposer ces mots de passe à des attaques depuis internet.