Face à l’explosion des méthodes d’authentification : comment choisir et à quelles évolutions s’attendre ?

Quelles sont les meilleures méthodes d'authentification ?

Le marché de l’authentification forte connait une croissance continue depuis plusieurs années et tous les experts s’accordent à dire qu’il devrait encore croître au cours des années à venir. Ainsi, des méthodes d’authentification de toutes sortes ne cessent de se développer : authentification mobile, authentification multifacteur… L’authentification n’est plus une technologie complexe réservée aux technophiles, elle s’est démocratisée et dépasse aujourd’hui les frontières de l’entreprise. Elle a une place dans nos foyers… En tant que consommateur par exemple, qui n’a jamais utilisé son smartphone pour confirmer son identité afin de valider le paiement d’une commande ou encore se connecter à son espace client ?

Pourquoi le marché est-il dans cette dynamique de croissance continue ? Quelles sont les différentes méthodes d’authentification existantes aujourd’hui ? Quid du passwordless qui fait beaucoup parler de lui ? Dans ce billet je vous propose d’apporter quelques éléments de réponses à toutes ces questions.

Pourquoi un tel boom de l’authentification ?

Le dynamisme du marché de l’authentification forte s’explique aujourd’hui par la convergence de plusieurs facteurs : la sécurité, la conformité et la transformation numérique.

Sécurité

Les DSI subissent une pression inédite en matière de cyberattaques et ont dû opérer ces dernières années des changements profonds au sein de leur système d’information pour renforcer la sécurité et protéger notamment les accès distants. En cause notamment, la généralisation du télétravail qui a accentué la menace et créé une situation à risque à laquelle il a fallu s’adapter dans l’urgence. On comprend ainsi aisément le regain d’intérêt pour les technologies d’authentification forte, double ou multifacteur, qui apportent des garanties de sécurité immédiates.

Conformité

Renforcer l’accès des utilisateurs au SI est un point clé de la conformité réglementaire dans de nombreux secteurs d’activité où les données sont sensibles. C’est le cas par exemple du secteur bancaire, qui a vu cette année l’entrée en vigueur de la directive DSP2. Celle-ci impose notamment la double authentification pour sécuriser les paiements en ligne. Le marché de l’authentification forte a bénéficié de cet effet de levier : les acteurs proposant de nouvelles technologies d’authentification pour répondre aux forts enjeux de conformité réglementaire ont littéralement explosé.

Transformation numérique

La crise du Covid s’est imposée comme un accélérateur de transformation numérique au sein des entreprises. Les organisations, conscientes des véritables enjeux business du digital, ont œuvré pour proposer à leurs collaborateurs et clients de nouvelles applications et services en ligne. Pour cela, il a fallu répondre à une exigence sans appel : proposer une navigation fluide et simple pour l’utilisateur sans pour autant rogner sur la sécurité de l’entreprise. C’est ici que les technologies d’authentification entrent en jeu. Elles permettent d’offrir un parcours d’accès sans couture et sécurisé, parfaitement adapté aux différents usages des utilisateurs.

Tour d’horizon des méthodes d’authentification

De très nombreux éditeurs ou constructeurs proposent des technologies d’authentification et il est parfois difficile de s’y retrouver !

Petit rappel, une authentification doit obligatoirement se baser sur :

  • Un élément que l’utilisateur connaît,
  • Un élément que l’utilisateur possède,
  • Un élément qui caractérise l’utilisateur.

Ainsi, les différents moyens d’authentification sont déclinés sur cette base :

  1. Facteur de connaissance : mot de passe, code pin…
  2. Facteur de propriété : cartes à puce avec ou sans contact, clés de sécurité USB (type Yubico, Fido, Neowave), smartphone, OTP, TOTP…
  3. Facteur d’inhérence : les technologies à base de biométrie (empreinte digitale ou rétinienne, reconnaissance faciale ou vocale, biométrie comportementale…).

Pour réaliser une authentification forte, il faudra obligatoirement cumuler deux facteurs d’authentification parmi les trois ci-dessus. Et plus on cumule de facteurs, plus on sécurise l’accès en réduisant considérablement les risques d’usurpation d’identité.

Si vous souhaitez un éclairage complet sur l’authentification (authentification primaire, forte, MFA…) je vous suggère de vous plonger dans notre dossier #BackToBasics : de l’identification à l’authentification forte, multifacteur et adaptative.

À avoir en tête lorsqu’on fait le choix d’une technologie d’authentification

  • Le moyen d’authentification universel au sein d’une organisation n’existe pas. Avant d’équiper vos utilisateurs, il faut tenir compte de nombreux paramètres : leur environnement de travail, leur métier, la sensibilité des applications, leur contexte d’utilisation, l’ergonomie attendue… Prenez le temps de recenser les différentes populations de votre organisation, leurs besoins et les différents scénarios d’accès au SI (utilisation d’un mobile, badge, clé USB de sécurité, biométrie…).
  • Pensez bien à tous les modes dégradés possibles : que se passe-t-il par exemple en cas de perte ou oubli du token d’authentification ou en cas d’indisponibilité du réseau internet ?
  • Optez pour des méthodes d’authentification ouvertes, basées sur des standards.
  • Veillez à choisir des méthodes conformes aux législations en vigueur dans votre zone géographique.
  • N’imposez pas à vos utilisateurs une méthode inadaptée à leurs besoins au risque de les voir chercher à la contourner. En matière d’authentification, tout est question d’équilibre entre sécurité et expérience utilisateur. Il s’agit d’améliorer leur quotidien tout en garantissant le respect des politiques de sécurité de l’organisation.
  • Appuyez-vous sur un « hub » d’authentification, comme la solution Sign&go global SSO, qui vous permettra de gérer et déployer de manière centralisée l’ensemble des moyens d’authentification disponibles au sein de votre organisation. Vous aurez alors une vue à 360° des accès à votre système d’information.

N’hésitez pas également à vous inspirer des conseils d’experts de la cybersécurité en matière de gestion des identités et des accès :

Vers un monde sans mot de passe ?

Le « Passwordless » fait la une de l’actualité IT depuis quelques temps. En effet, les problématiques posées par les mots de passe poussent les entreprises à chercher d’autres solutions pour renforcer la sécurité. Selon le rapport Verizon DBIR 2020, plus de 80 % des violations de données liées au piratage informatique impliquent l’utilisation d’identifiants perdus ou volés, ou « la force brute » qui consiste à essayer différentes combinaisons d’identifiants jusqu’à ce que l’une d’elles fonctionne.

L’authentification sans mot de passe ambitionne de supprimer le recours aux mots de passe, phrases secrètes et autres éléments secrets d’authentification, qui sont les plus faciles à subtiliser. Elle repose sur le standard FIDO2, la dernière spécification de la FIDO Alliance (Fast Identity Online). Cette alliance non commerciale a pour but de développer des normes pour une authentification sécurisée au niveau mondial. Par conséquent, le standard FIDO2, promu par l’écosystème d’authentification tel que les GAFA et les fournisseurs de protection numérique, facilite la transition vers l’authentification Passwordless.

Attention, en revanche, à bien comprendre que le Passwordless n’est pas forcément une authentification multifacteur. Ainsi, ce n’est pas parce qu’aucun mot de passe n’a été utilisé que le facteur d’authentification utilisé est nécessairement plus fort. Rappelons que chaque type d’authentification a ses avantages et…  ses faiblesses.

Avec plus de 300 clients, nous constatons chez Ilex International que le niveau de maturité des entreprises en termes de gestion des accès et d’authentification est très hétérogène. Certains secteurs sont plus dynamiques en termes d’innovation technologique que d’autres, c’est le cas notamment du secteur bancaire et des Fintechs que nous connaissons bien. Qu’il s’agisse de Natixis, Crédit Agricole ou encore de la CASDEN Banque Populaire, tous ont déployé des projets ambitieux de contrôle d’accès et d’authentification avancée.

Cependant, il faut admettre que peu d’organisations ont un niveau de maturité assez poussé pour tendre vers le 100% Passwordless. A voir dans les années à venir mais pour le moment, le mot de passe n’est pas près de disparaitre complètement… Pour autant, il existe des solutions pour contourner les contraintes liées à son utilisation, offrir aux utilisateurs une navigation sans friction et renforcer la sécurité du SI : il s’agit du SSO, ou authentification unique. Pour aller plus loin, je vous conseille le billet Étendre sa vision d’un projet SSO : objectifs et bonnes pratiques pour maximiser les bénéfices.

Zoom sur nos partenariats technologiques

Afin de vous proposer nativement un large catalogue de moyens d’authentification compatibles avec notre gamme Ilex Access Management, nous travaillons main dans la main avec de nombreux partenaires technologiques.

Qu’il s’agisse de méthodes d’authentification à base de biométrie comportementale, de reconnaissance faciale ou vocale, par ultra-sons ou via application mobile, nous testons régulièrement de nouvelles technologies et nous nous efforçons de rester à l’affût des dernières innovations du marché.

C’est en alliant notre savoir-faire à celui de nos partenaires que nous proposons des solutions sécurisées parfaitement adaptées aux besoins terrain et aux nombreux cas d’usage de nos clients.