Authentification par SMS : dix points à connaître avant d’acheter
L'authentification par SMS permet une authentification à double facteur offrant un certain nombre d'avantages en termes de sécurité par rapport à l'accès pur et simple par nom d'utilisateur et mot de passe.
IntroductionAujourd'hui, l'accès distant instantané n'est plus seulement l'apanage des collaborateurs externalisés. C'est également un facteur incontournable pour les transactions en ligne, l'accès aux applications ERP pour les commerciaux nomades, le partage de bases de données pour les centres d'appels externalisés, etc. Il est impératif de pouvoir assurer la fiabilité et l'instantanéité de cet accès, mais il est tout aussi indispensable de le protéger des attaques et d'assurer le respect permanent de la conformité.
Dans l'environnement de l'entreprise, la robustesse de l'authentification - au moyen de facteurs multiples capables de garantir et de vérifier l'identité des utilisateurs - est une composante vitale. À l'heure où elles évaluent les différentes possibilités existantes, de nombreuses entreprises optent pour l'identification par SMS, qui offre un mélange de confort et de sécurité idéalement adapté à bon nombre de scénarios d'utilisation.
Authentification par SMS : la promesse d'une sécurité et d'un confort sans équivalent
L'authentification par SMS conjugue la sécurité d'une authentification à double facteur avec le confort et la simplicité d'utilisation des terminaux mobiles et des SMS. Il existe plusieurs procédures d'authentification par SMS, mais en règle générale, un utilisateur cherchant à obtenir un accès distant envoie une demande de mot de passe qui est ensuite transmise par SMS sur le téléphone autorisé de cet utilisateur. C'est ce mot de passe qui sert à obtenir l'accès au compte.
L'authentification par SMS peut présenter un certain nombre d'avantages significatifs :
· - Amélioration de la sécurité. L'authentification par SMS permet une authentification à double facteur offrant un certain nombre d'avantages en termes de sécurité par rapport à l'accès pur et simple par nom d'utilisateur et mot de passe ; il confère également un niveau de protection solide pour l'accès utilisateur et les identités.
· - Réduction des coûts liés à la sécurité. Comparée aux approches matérielles par token, l'authentification par SMS permet à la fois des économies significatives en amont - en réduisant les coûts d'achat et de distribution des tokens - et, sur le long terme, en rationalisant l'administration et en supprimant le coût de remplacement des tokens perdus.
· - Développement des opportunités de déploiement. En supprimant les tokens et en s'articulant autour de terminaux mobiles nomades, l'authentification par SMS apporte une authentification à double facteur dans des domaines où elle était auparavant peu pratique (banque en ligne, portails d'e-learning, authentification des accès aux systèmes vocaux, sites consacrés à la santé, etc.).
Authentification par SMS : dix considérations essentielles
L'authentification par SMS offre de nombreux atouts. De surcroît, ses caractéristiques de déploiement en font un complément idéal des mécanismes de sécurité et d'authentification existants dans l'entreprise. Pour savoir si l'authentification par SMS est adaptée à leurs besoins spécifiques, les dirigeants d'entreprise et les responsables informatiques doivent envisager les points suivants :
1. Confort pour l'utilisateur final
Pour assurer la réussite de toute initiative d'authentification, il faut in fine que l'utilisateur adopte les mécanismes mis en place sans entrainer pour autant une chute de la productivité. Dans cette optique, les décideurs doivent rechercher des solutions permettant une activation en autonomie afin que les utilisateurs ne soient pas obligés d'attendre un support technique. Par ailleurs, la procédure de mise en œuvre doit être intuitive, rapide et simple.
2. Large prise en charge des terminaux
Les économies réalisées grâce à l'authentification par SMS et le fait qu'il ne soit plus nécessaire d'acheter, d'envoyer et d'assurer le support des tokens matériels sont des atouts indéniables. Pour autant, ces économies peuvent rapidement être revues à la baisse si une solution d'authentification par SMS nécessite l'acquisition de nouveaux terminaux mobiles. Il convient de rechercher des solutions offrant une prise en charge de terminaux la plus large possible afin que ceux dont dispose aujourd'hui votre entreprise et ceux qu'elle pourrait acquérir demain soient bien adaptés.
3. Support des réseaux SMS
À tous les niveaux d'une entreprise, les utilisateurs peuvent, dans différentes régions, s'appuyer sur tout un éventail de réseaux au cours de leur travail quotidien et de leurs déplacements. Pour être véritablement opérationnels, les mécanismes d'authentification par SMS doivent supporter tous les réseaux des différents fournisseurs de ce type de service.
4. Déploiement et activation "Over-the-Air"
Afin d'atteindre tout leur potentiel de déploiement, les solutions d'authentification par SMS doivent pouvoir s'affranchir de l'accès physique aux appareils mobiles de l'utilisateur final par les équipes responsables de la sécurité. Par conséquent, les mécanismes distants "over-the-air" s'avèrent indispensables, non seulement pour l'activation et le déploiement initiaux, mais également pour les mises à jour et les évolutions ultérieures.
5. Simplicité d'administration
Pour les administrateurs de solutions d'authentification par SMS, il existe plusieurs facteurs permettant d'évaluer la performance d'une solution. Permet-elle par exemple l'intégration transparente avec les répertoires actuels de l'utilisateur (notamment LDAP et Active Directory) ? En cas de perte ou de vol d'un terminal, les administrateurs peuvent-ils rapidement et facilement interdire l'accès ? Il convient également de rechercher des solutions permettant une notification automatique des administrateurs. Qu'il s'agisse d'un problème dû à la perte d'un terminal, à la compromission d'un serveur interne ou à tout autre événement potentiellement dangereux, les administrateurs doivent être avertis automatiquement , et dans les meilleurs délais, afin d'être sûrs de pouvoir prendre le plus rapidement possible les mesures requises.
6. Gestion hétérogène de l'authentification
Un seul et unique type d'authentification ne permet pas de garantir la sécurité et les besoins opérationnels de l'ensemble de l'entreprise. Il se peut malgré tout que l'authentification par SMS soit l'une des nombreuses solutions d'authentification existant à un moment donné. Si une solution d'authentification par SMS nécessite son propre système d'administration distinct, elle peut entraîner une complexité inextricable, notamment en matière de respect des actions mises en œuvre et de gestion des changements de statut des utilisateurs et des groupes. C'est pourquoi il est essentiel de déployer des solutions susceptibles d'être intégrées dans une plate-forme d'administration centrale pouvant être utilisée pour contrôler toutes les authentifications de l'entreprise (solutions simples de mot de passe à usage unique, applications robustes de signature numérique basée sur des certificats, tokens USD ou solutions logicielles, ou systèmes de sécurité hybrides, physiques et logiques).
Au final, ce large support est essentiel pour une véritable efficacité de l'authentification par SMS : si une solution offre non seulement une authentification par SMS, mais également des fonctionnalités de mots de passe à usage unique (one-time password, OTP) par e-mail, SMTP, voire davantage, l'efficacité et la valeur de cette solution augmentent de manière substantielle.
7. Sécurité à toute épreuve
Globalement, tout mécanisme d'authentification doit garantir une sécurité à toute épreuve. Les solutions doivent proposer une puissante protection de l'identité pour tous les types de systèmes d'accès distant, notamment les applications VPN, Terminal Server, Citrix, ainsi que Outlook Web Access. Là encore, l'intégration la plus large possible dans les mécanismes de gestion des mesures mises en œuvre et dans les dispositifs de sécurité est une composante essentielle, car elle favorise un respect uniforme de ces mesures tout en diminuant les failles de sécurité. Il convient de rechercher des solutions offrant un assemblage performant de contrôles granulaires des mesures mises en œuvre ainsi qu'une gestion centralisée des différents groupes et utilisateurs.
8. Authentification forte
Tous les mécanismes d'authentification n'ont pas la même efficacité. En évaluant les diverses possibilités existantes, il importe de veiller à ce que la méthode d'authentification finalement utilisée réponde au niveau minimum de protection justifié par la valeur des actifs à protéger. Imaginons le pire : que se passerait-il si un pirate parvenait à usurper l'identification d'un utilisateur autorisé et à accéder en ligne aux ressources de l'entreprise ? Le degré d'authentification devrait être à la hauteur de la gravité du risque encouru.
9. Large support pour la mise en œuvre et le modèle de développement
L'authentification par SMS peut présenter d'innombrables opportunités permettant de tirer profit de façon radicalement nouvelle d'une authentification forte et d'apporter des avantages transformationnels tant en matière de sécurité que sur le plan commercial. Afin de parvenir à ces avantages potentiels, à court et à long terme, les entreprises doivent adopter des solutions d'authentification par SMS s'intégrant dans un cadre global de sécurité. En éliminant le déploiement de nombreuses solutions hétérogènes, les entreprises peuvent optimiser de nouvelles applications tout en réduisant leurs coûts.
10. Faible coût total de propriété
Les solutions d'authentification possèdent des atouts majeurs en termes de coût, notamment par rapport à la distribution et à la maintenance de tokens matériels. Au-delà de ces atouts, les entreprises peuvent profiter des économies réalisées en tirant parti des solutions qui permettent de rationaliser le déploiement en amont ainsi que la maintenance. Dans cette optique, les équipes responsables de la sécurité doivent disposer de la plus large souplesse d'intégration, faciliter l'autonomie de l'utilisateur final et simplifier l'administration.
Conclusion
Pour bon nombre d'entreprises cherchant à améliorer leur sécurité tout en développant la productivité de l'utilisateur final et du personnel administratif, l'authentification par SMS peut présenter de très nombreux avantages. En choisissant une solution d'authentification, les entreprises auront tout intérêt à prendre en compte un certain nombre de composantes clés (caractéristiques de déploiement, confort d'utilisation pour l'utilisateur final, gestion centralisée, sécurité globale, etc.).