Pas de moyen d’authentification universel ?

Que les motivations soient d’origine réglementaire, sécuritaire ou ergonomique, les responsables informatiques doivent faire face à un défi complexe : protéger l’accès à leur système d’information tout en garantissant une expérience utilisateur de qualité.

L’authentification forte ou multi-facteur (MFA en anglais, pour ‘multi-factor authentication’) – est une excellente réponse à cette problématique puisqu’elle permet précisément de concilier ergonomie, sécurité et conformité à de nombreuses règlementations. Elle s’avère ainsi de plus en plus incontournable pour authentifier les utilisateurs sur un système d’information, quels que soient leur métier, leurs usages, ou les services auxquels ils accèdent.

Ce n’est donc pas un hasard si le marché de l’authentification est depuis quelques années – et probablement pour quelques années encore – dans une très bonne dynamique. Les solutions sont légions pour offrir une alternative aux sempiternels couples identifiant / mot de passe, source de bien des maux pour les utilisateurs que nous sommes : compliqués à mémoriser dès lors qu’on en utilise un nombre important, relativement facilement piratables, pas toujours très ergonomiques ni particulièrement adaptés au monde mobile, etc.

Mais ne nous méprenons pas : si de très nombreux éditeurs ou constructeurs proposent des technologies d’authentification toutes plus innovantes les unes que les autres, à base de support physique (carte, token USB, etc.), de biométrie (visage, iris, empreintes, voix, etc.), ou de code à usage unique envoyé via une notification sur un smartphone, il est illusoire et utopique d’imaginer qu’un seul et unique moyen d’authentification pourra être adapté aux usages de l’ensemble des utilisateurs d’une même organisation !

L’accès au SI est en effet un sujet complexe qui implique différentes populations d’utilisateurs, des contextes de connexion nombreux et variés, un vaste parc applicatif, etc.

Autant d’environnements de travail que de pratiques métier ?

Considérons dans un premier temps l’environnement de travail d’un utilisateur et la première authentification effectuée par celui-ci pour y accéder. Outre le très classique PC, l’environnement en question peut aussi se matérialiser par un navigateur web, un périphérique mobile ou un terminal léger.

Dans tous les cas, il peut être dédié à l’utilisateur, ou partagé entre plusieurs utilisateurs. Il peut être maîtrisé par l’entreprise, ou au contraire inconnu du département informatique, s’il s’agit d’un poste ou d’un mobile personnel.

Les scénarios sont donc nombreux et si les cas d’usages sont différents d’une organisation à une autre, ils le sont également d’un métier à un autre au sein d’une même organisation.
Arrêtons-nous sur quelques pratiques métier représentatives de certains secteurs d’activité :

#Santé

Dans un établissement de santé, les utilisateurs de la direction du système d’information hospitalier ou des services administratifs, disposent en général d’un poste de travail dédié, alors que d’autres accèdent à leurs applications depuis des postes partagés : postes mobiles embarqués sur des chariots, ou terminaux « aux pieds du patient » notamment. Côté authentification, les professionnels de santé utilisent une carte à puce propre à leur profession – la carte ‘CPS’ – pour accéder aux applications et données médicales. Le personnel non médical, non porteur de carte CPS, utilise quant à lui un autre moyen pour accéder à ses applications.

#Finance

Dans le cas de nombreux organismes financiers, c’est une authentification biométrique qui est souvent utilisée par les populations de traders pour ouvrir une session simultanément sur plusieurs postes – on parle en général de configuration en ‘grappe’ – et accéder ainsi très rapidement à leurs multiples environnements de travail. Pour les autres utilisateurs, non traders, ce cas d’usage n’aura pas lieu d’être, et ils s’authentifieront d’une autre manière.

#Administration publique

Une métropole ou collectivité publique est de plus en plus amenée à ouvrir des accès à son système d’information à des partenaires externes, tels que des sociétés gérant des services publics pour la collectivité, ou des prestataires de service qui infogèrent une partie de ses applications via des contrats de tierce maintenance applicative.
Si elle peut imposer à ses partenaires une authentification forte pour accéder à son système d’information, elle ne pourra pas pour autant leur imposer une solution particulière, à moins de la fournir, et de la financer. Elle devra donc dans ce cas intégrer plusieurs technologies différentes.

#Distribution

Dans le secteur de la distribution, les usages sont très différents entre les utilisateurs qui travaillent au siège de la société, et ceux qui travaillent en magasin. Ces derniers travaillent de plus en plus souvent sur des environnements partagés, et sont de plus en plus souvent mobiles. Ils ont donc besoin d’un moyen d’authentification adapté à ce mode de travail.
C’est également le cas des organisations possédant de nombreuses agences du fait d’un modèle économique B2C : opérateurs de télécommunications, banques, enseignes du luxe et de l’habillement, etc.

À travers ces exemples, on comprend aisément qu’il faudra probablement composer avec plusieurs moyens d’authentification au sein de son organisation.

Évaluer la sensibilité des applications

Ensuite, en plus de son environnement de travail, l’utilisateur se connecte au quotidien à un grand nombre d’applications. Mais elles n’ont évidemment pas toutes le même niveau de sensibilité, et ne requièrent par conséquent pas toutes le même niveau d’authentification. En théorie, plus une application est critique en termes de sécurité pour l’entreprise, plus son niveau d’authentification doit être élevé.

Il faut recroiser cela également avec un paramètre essentiel : le contexte d’utilisation. Sommes-nous dans un réseau de confiance sur un environnement maîtrisé ? Ou bien dans une zone considérée plus à risque sur environnement non maîtrisé ?

De fait, pour une même application, et selon le contexte d’accès à cette dernière, il faudra peut-être adapter le niveau d’authentification, ce qui induira un moyen différent pour l’utilisateur.
De même, il faudra toujours prévoir des modes alternatifs à la méthode principale d’authentification, dans le cas où celle-ci serait défaillante ou ne pourrait être utilisée.

Plusieurs moyens d’authentification par utilisateur et par application

Imaginons par exemple qu’on souhaite s’appuyer sur une technologie d’authentification basée sur une application mobile, qui sollicite l’utilisateur via une notification afin qu’il présente son empreinte digitale pour valider son identité. Si ce scénario est sécurisé et de plus en plus courant, que se passe-t-il si le téléphone est déconnecté ? Ou s’il n’a plus de batterie ? S’il est cassé ? Ou volé ?
Accessoirement, avant de généraliser l’accès à une application via cette méthode, est–on bien sûr que tous les utilisateurs disposent d’un tel périphérique ? S’il s’agit de leur mobile personnel, ont-ils tous accepté de l’utiliser ? Que se passera-t-il pour les utilisateurs dont les empreintes digitales ne sont pas reconnues, sont abîmées, voire absentes ?

De même, pour une organisation imposant l’usage d’une carte à puce afin que ses utilisateurs accèdent à leur poste de travail et à leurs applications, quid du moyen d’authentification pour un environnement non maîtrisé, ou sans lecteur de carte ? Comment permettre à un utilisateur de se connecter à son poste quand il a oublié ou perdu sa carte ? Quid de l’usage de cette carte pour ceux qui travaillent en environnement mobile ?

Dans tous ces cas, soit on fournit à l’utilisateur d’autre(s) moyen(s) d’authentification, qu’il(s) soi(en)t temporaire(s) ou pas, afin qu’il accède à toute ou partie de son environnement de travail ou de ses applications, soit on accepte qu’il n’y accède pas, et qu’il ne puisse donc pas travailler.

Ce qu’il faut retenir

Le moyen universel d’authentification au sein d’une même organisation n’existe probablement pas. Pour appliquer la politique de sécurité de leur système d’information, les responsables informatiques doivent accompagner et sécuriser les usages des collaborateurs, et non les restreindre ou les modifier en leur imposant un moyen d’authentification inadapté.

Il faut tenir compte de nombreux paramètres, tels que l’environnement de travail, la sensibilité des applications, le contexte d’utilisation, le métier de l’utilisateur, l’ergonomie attendue, et ainsi accepter de composer avec plusieurs technologies différentes.

Si les bonnes pratiques consistent malgré tout à rationaliser autant que faire se peut les moyens d’authentification et les cas d’usages, elles consistent surtout à s’appuyer sur un ‘hub’ d’authentification. Celui-ci permettra de prendre en compte les différents moyens déployés et d’adapter le niveau de sécurité et d’authentification au contexte, tout en garantissant un contrôle des accès et une traçabilité de l’ensemble des opérations effectuées.

Un tel socle de sécurité devra également être compatible avec un SI de plus en plus ouvert et en constante évolution. Grâce à une administration centralisée, il garantira la mise en œuvre de la sécurité du SI de manière itérative et évolutive.