Oubliez vos mots de passe, vous n’en serez que mieux protégés

Les mots de passe statiques sont la solution la plus communément utilisée pour s'identifier et accéder à ses applications personnelles ou professionnelles. Le hacking de masse de sites communautaires ou les cas d'usurpation d'identité mettent en lumière la vulnérabilité de cette protection.

Les solutions d'authentification forte basées sur le cloud sont aujourd'hui une alternative pragmatique et bien plus sûre.
Les douze derniers mois ont montré la très bonne santé de la cybercriminalité. Le nombre de failles impactant 10 000 comptes client ou plus ne cesse d’augmenter. Les réseaux sociaux comme Facebook ou Twitter (qui comptent plus d’un milliard d’utilisateurs actifs), les services tels qu’Evernote et Dropbox (respectivement 34 millions et 100 millions d’utilisateurs) et même les multinationales comme Apple ne sont pas immunisés contre les attaques.
Le nombre d’applications et de services online explose au fur et à mesure que les entreprises déplacent leurs activités dans le monde connecté. Poussés par le développement des appareils mobiles et des réseaux sociaux, ces services en ligne vont continuer de croitre de manière exponentielle.

Gérer ses comptes en ligne

Des millions de sites web proposent des services ou du contenu protégés pour leurs groupes d’utilisateurs et nécessitent de s’identifier. Beaucoup d’informations personnelles et professionnelles sont partagées à travers les différents comptes : e-mails privés, conversations et photos sur les réseaux sociaux, applications d’entreprise contenant de données sensibles, etc. Un état de fait qui implique que les utilisateurs doivent, à chaque fois, enregistrer leurs données sur le site et configurer de nouveaux identifiant et mot de passe pour accéder au compte.
Avec la prolifération des services et des applications en ligne, il est de plus en plus compliqué pour les utilisateurs de gérer leur vie digitale et de mémoriser chaque combinaison identifiant/mot de passe qu’ils ont pu créer. Souvent, les utilisateurs ont l’habitude d’utiliser des mots de passe facilement mémorisables ; encore plus souvent, ils utilisent le même mot de passe pour protéger plusieurs comptes. C’est là que se cache le danger. Les mots de passe statiques sont souvent la seule protection contre les tentatives d’intrusion. Les fraudeurs n’ont plus qu’à intercepter une combinaison identifiant/mot de passe, qui leur permettra de s’introduire sur plusieurs autres comptes. Les conséquences peuvent alors être désastreuses.

La sécurité, facteur de compétitivité

De nos jours, la sécurité, ou plutôt le manque de sécurité, est un sujet de préoccupation tant pour  les entreprises que pour les consommateurs. Des incidents récents ayant touché des sites communautaires comptant parmi les plus importants au monde ont montré que ces inquiétudes sont fondées. Il s’agit-là d’un risque pour la réputation des entreprises et des personnes, dont les conséquences potentielles viennent de failles dans la protection des données.
Plus important encore, les entreprises et les fournisseurs de services en ligne se doivent de rassurer leurs utilisateurs et de les assurer que leurs informations personnelles sont parfaitement protégées.
La sécurité étant un sujet de plus en plus central et la vulnérabilité des mots de passe statiques étant de plus en plus évidente, les utilisateurs finaux réclament des applications qui non seulement répondent à leurs besoins, mais qui leur apporte également la tranquillité d’esprit.
Les fournisseurs de services et d’applications en ligne qui prendraient le risque de négliger ces préoccupations prendraient également le risque de perdre un nombre conséquent de clients. Dans un monde où les sites web se comptent par millions, la sécurité est en train de devenir un facteur de compétitivité, et un lien vital dans la stratégie de rétention et de fidélité client de n’importe quel fournisseur d’application.

La gestion des mots de passe : un fardeau insurmontable ?

Cela nous ramène au dilemme des mots de passe. De nombreuses brèches de sécurité montrent chaque jour que la protection offerte par les mots de passe statiques est  insuffisante. Sans parler du fait qu’il est particulièrement fastidieux et pénible de retenir une liste croissante de combinaisons identifiant/mot de passe liées aux différentes applications utilisées.  La gestion des mots de passe n’est pas seulement un obstacle pour les utilisateurs : elle peut l’être également pour les propriétaires des sites web, pour qui elle représente une tâche chronophage et coûteuse. Comment, alors, améliorer la sécurité efficacement sans effrayer les utilisateurs et décourager les prospects ?
La réponse se trouve dans l’authentification forte. En utilisant des mots de passe dynamiques –  aussi appelés mots de passe à usage unique –, les fournisseurs de services et d’applications en ligne peuvent facilement contourner le dilemme que posent les mots de passe. Le mot de passe unique ne peut être utilisé qu’une seule fois et n’est valide que pour une durée limitée. Les fraudeurs  ne peuvent donc plus réutiliser les mots passe volés ou les garder pour une utilisation ultérieure. Ces mots de passe uniques sont générés par un petit terminal personnel et/ou une application d’authentification. Les utilisateurs n’ont plus à se souvenir de tous les mots de passe qu’ils ont pu créer, et n’utilisent que des mots de passe à usage unique générés pour chaque connexion à leurs applications.

Sécuriser la porte d’entrée de la maison avant de sécuriser chaque pièce

La solution peut paraître simple, mais les propriétaires de sites web hésitent encore à utiliser l’authentification forte pour sécuriser le contenu en ligne. Les contraintes budgétaires ainsi qu’un manque d’expertise et de ressources sont les raisons les plus souvent mises en avant. C’est un fait, la plupart des sites ne voient pas la nécessité d’appliquer des mesures de sécurité adaptées jusqu’au moment où ils sont eux-mêmes victimes d’une attaque.
Mais, avec les préoccupations grandissantes liées à la sécurité et le développement de nouvelles réglementations en la matière, les entreprises ne peuvent plus se permettre de négliger la sécurité qu’elles se doivent de garantir à leurs utilisateurs. Certaines attaques récentes, fortement médiatisées, montrent de manière évidente que la sécurité n’est pas seulement une nécessité, mais nécessite également une expertise et des solutions à la hauteur.

L’authentification par le Cloud

Avec la maturité du cloud et la démocratisation de son utilisation pour accéder aux applications et aux données, de nouvelles solutions d’authentification ont vu le jour. Grâce aux plateformes d’authentification cloud, les fournisseurs de services en ligne peuvent facilement intégrer l’authentification forte à leur site web et supprimer les brèches de sécurité liées aux mots de passe statiques. Les comptes en ligne protégés par des mots de passe à usage unique rendent inefficaces les attaques de type « phishing » et « pharming ».
Avec ce type de solution hébergée, les entreprises ne sont plus obligées de recourir à un service dédié et investir massivement dans des infrastructures pour proposer un environnement en ligne sécurisé. Le processus d’authentification est pris en charge de bout en bout, depuis l’infrastructure du serveur jusqu’au déploiement des authentificateurs. Les fournisseurs de services applicatifs n’ont donc plus à s’inquiéter de la disponibilité ni de l’évolutivité de leur système.  

Le coût est également sur un facteur clé lorsqu’il s’agit de mettre en place un système de sécurité.
La plupart des entreprises voient l’investissement dans l’infrastructure nécessaire pour la sécurité comme un coût trop important, n’offrant qu’un faible retour sur investissement. Les solutions d’authentification forte basées sur le cloud suppriment ces investissements initiaux et ces coûts d’infrastructure, et ne sont facturées qu’en fonction de leur utilisation réelle. Sans parler des gains de compétitivité générés, bien que difficilement quantifiables, la valeur de la rétention et de la fidélité client ne pouvant pas être traduite en chiffres.

La sécurité requiert du pragmatisme

Un dernier aspect important concerne le confort d’utilisation. Imposer une sécurité aux utilisateurs peut nuire à la facilité d’utilisation d’une application. Et bien sûr, à quoi sert la sécurité si elle entrave la bonne utilisation des applications en ligne et des services, et si elle décourage ?
Ce pragmatisme est important pour les deux parties.
Pour les fournisseurs d’application qui ne peuvent ou ne veulent pas faire des investissements trop lourds en termes de temps ou de ressources ; et pour les utilisateurs qui veulent une expérience fluide et efficace. Les solutions basées sur le cloud et le développement des technologies mobiles constituent à ce double titre une réponse pertinente. Elles permettent également aux utilisateurs de choisir, en fonction de leurs habitudes et préférences,  entre une authentification directement sur la plateforme, via une application mobile ou en utilisant un terminal portable dédié.
De plus, les utilisateurs ont la possibilité de stocker toutes leurs combinaisons d’identifiant/mot de passe dans un coffre-fort digital les libérant de la nécessité de les mémoriser. Cela permet également d’éviter d’utiliser un même mot de passe pour plusieurs comptes. Grâce au stockage des combinaisons dans un coffre-fort digital lui-même protégé par un système d’authentification forte, les utilisateurs ont l’assurance que leurs données restent des données privées.

Conclusion

Grâce à l’authentification forte et pragmatique, les fournisseurs d’application garantissent la protection des contenus sensibles, tout en donnant une clé unique à chacun de leurs clients.

Autour du même sujet