Quelle alternative pour les déçus des tokens ?

L’authentification, un besoin qui grandit, grandit...

L’économie du web est là et bien là. La première conséquence de la généralisation du réseau des réseaux est que les points d’entrée au SI se sont démultipliés, faisant exploser les périmètres traditionnels. L’accès au SI représente donc le premier risque informatique majeur auquel l’entreprise doit faire face, et selon une étude de Mandiant en 2012, 100 % des attaquants se sont introduits dans les systèmes en présentant des identités légitimes.
La généralisation de la mobilité et la transition vers une informatique en mode SaaS où les applications quittent le domaine protégé de l’entreprise contribuent également à augmenter la « porosité » des périmètres du SI.

Enfin,  la notion d’« employé » ne suffit plus à caractériser l’utilisateur du SI de l’entreprise, celui-ci pouvant être un prestataire en délégation chez le client ou localisé parfois à l’étranger et devant accéder à des ressources stratégiques de l’entreprise, un partenaire amené à échanger des données confidentielles avec l’entreprise, etc.
Ces utilisateurs, même lorsqu’il s’agit d’employés, sont de plus en plus nomades et amenés à se connecter depuis de multiples endroits (chez eux, en voiture...) et par de multiples moyens (plusieurs PC, téléphones portables, tablettes...) maîtrisés ou non par l’entreprise (phénomène « BYOD »).
Ce mouvement de fond et les impératifs du métier demandent une réactivité et des réponses que les procédures et outils classiques de sécurité informatique – en particulier d’authentification, c’est-à-dire de contrôle de l’accès au SI - peuvent d’autant plus difficilement apporter qu’ils avaient été pensés pour protéger des périmètres clos, stables et bien définis.
La solution consistant à tout centraliser derrière le VPN devient de plus en plus difficile à implémenter, dans un contexte où les métiers tendent à externaliser leurs applicatifs (souvent de façon non contrôlée par la DSI).

Last but not least, les utilisateurs sont récalcitrants à utiliser des systèmes de sécurité vécus comme intrusifs ou pénalisants. Or, il est bien connu que la sécurité est affaire de comportements avant d’être affaire de technologies.

C’est tout le problème actuel de l’authentification de l’utilisateur. Il appartient donc aux entreprises et à leur DSI de repenser les modes d’authentification afin de les adapter à la réalité des usages, du métier et des risques, qui pour leur part tendent également à augmenter dans une économie ouverte et connectée. L’approche traditionnelle à base de mots de passe, de « tokens » doit s’effacer au profit de technologies à la fois plus fiables et plus flexibles, plus économiques, et simplifiant réellement l’expérience des utilisateurs harassés par les mots de passe et les dispositifs de sécurité.

 

Autour du même sujet