L’authentification biométrique, essentielle pour l’accès à distance des fournisseurs

De nombreuses entreprises font appel à des intervenants et fournisseurs externes pour gérer leurs systèmes critiques, afin de se concentrer sur leur cœur de métier stratégique. Cependant, le fait que ces derniers opèrent à distance pose un nouveau défi : s’assurer que les tiers jouissent d’un accès adéquat aux systèmes tout en leur donnant un accès uniquement quand ils en ont besoin.

Les entreprises identifient souvent qui accède à quels systèmes ou ressources dans leur environnement en utilisant la première étape de l’authentification – par laquelle les utilisateurs ou les machines doivent prouver leur identité de quelque façon que ce soit. Ce n’est que lorsque chaque utilisateur de l’intervenant extérieur est identifié et authentifié que le processus d’octroi (et de suppression) de l’accès peut commencer.

Le fait de s’appuyer sur des processus manuels pour gérer les droits d’accès des fournisseurs externes est loin d’être infaillible et peut poser de nombreux problèmes. Les tiers ne sont en effet engagés que pour des périodes de temps spécifiques et ne font généralement pas partie de l’Active Directory ou d’autres services similaires. Ils n’ont généralement besoin d’accéder qu’à un sous-ensemble spécifique de systèmes, lié soit par la durée de leur contrat avec I’entreprise hôtesse, soit par le nombre de sessions nécessaires pour accomplir leurs tâches. Les processus manuels aboutissent souvent à une combinaison des éléments suivants : l’octroi d’accès excessifs qui permettent aux fournisseurs tiers de se connecter à des systèmes dont ils n’ont pas besoin ; des accès insuffisants qui eux bloquent les intervenants externes dans la réalisation de leurs tâches ; et le maintien d’un accès permanent au-delà de la mission du consultant.

Les politiques de Bring-your-own-device (BYOD) sont devenues la norme en matière d’accès à distance, ce qui rend le travail de l’équipe de sécurité IT beaucoup plus difficile et redéfinit davantage le « périmètre » tel que nous le connaissons.  Les équipes IT doivent trouver un moyen de garantir la sécurité de ces périphériques, même lorsqu’ils accèdent à distance à des systèmes critiques. L’approche Zero Trust, développée par Forrester, qui repose sur le principe de confiance zéro et sur le fait que la menace est partout, concentre les politiques de sécurité et les contrôles d’accès sur l’identité plutôt que sur l’emplacement de l’utilisateur et de l’appareil ; ce qui influe sur la méthode d’authentification la plus adéquate.

Quelle méthode d’authentification ?

La vérification de l’identité par authentification, que ce soit à l’extérieur ou à l’intérieur de l’entreprise, peut prendre plusieurs formes. Il peut s’agir, par exemple, de méthodes classiques comme la saisie d’un nom d’utilisateur et d’un mot de passe ou de méthodes plus modernes comme les systèmes de reconnaissance biométrique ou l’utilisation d’un appareil fiable et connu. À un haut niveau, l’authentification prend généralement trois formes :


1.      Quelque chose que vous connaissez, soit le facteur mémoriel, c’est-à-dire un mot secret ou une combinaison de nom d’utilisateur et de mot de passe ;

2.      Quelque chose que vous possédez, soit le facteur matériel, à savoir un smartphone ou encore un badge nominatif ;

3.      Quelque chose que vous êtes, soit le facteur corporel, qui se traduit par un scan de ses empreintes digitales ou de sa rétine par exemple.

 

Ce sont les trois formes d’authentification de premier niveau, mais il existe d’innombrables progrès technologiques qui permettent aux entreprises de réglementer et de contrôler les accès et les personnes qui les utilisent. Une mesure qui est généralement recommandée, en particulier pour les actifs critiques, est l’instauration d’une couche de sécurité supplémentaire avec l’authentification multifactorielle, qui impose aux utilisateurs de recourir à plus d’une méthode pour prouver leur identité. Cela peut inclure quelque chose qu’ils connaissent, comme la réponse à une question de sécurité, ou quelque chose qu’ils possèdent, comme une confirmation par SMS envoyée à un téléphone cellulaire.

Accès tiers aux systèmes

Jusqu’à récemment, l’authentification des fournisseurs tiers s’appuyait généralement sur les VPN, qui offrent un accès réseau étendu aux utilisateurs distants. Bien qu’ils proposent des mesures de sécurité pour tenter de vérifier l’identité, ils permettent souvent aux intervenants externes d’accéder librement à des systèmes auxquels ils n’ont pas besoin d’accéder. Certaines entreprises choisissent d’expédier des ordinateurs portables d’entreprise à leurs fournisseurs à distance, ne leur accordant ainsi l’accès qu’à partir de ces ordinateurs. Les agents installés sur ces machines limitent ainsi l’accès des fournisseurs à distance aux seuls systèmes auxquels ils sont censés accéder. Cela correspond au facteur d’authentification matériel qui expose les entreprises au vol ou aux dommages d’appareils mobiles.

Les facteurs mémoriel et matériel présentent des lacunes inhérentes. La seconde peut être comprise par quelqu’un d’autre ; les cyber-attaquants ont 30 ans d’expérience dans le piratage de mots de passe mal protégés. La première "quelque chose que vous possédez" peut, quant à elle, être volée ou interceptée ; les ordinateurs portables professionnels et autres dispositifs mobiles sont tous vulnérables à ce risque. Les entreprises cherchent donc de nouvelles façons de sécuriser leurs systèmes internes les plus sensibles. Les gens perdent leurs appareils ou réutilisent leurs mots de passe plus souvent qu’on ne veut bien l’admettre. Mais l’empreinte digitale, par exemple, sera toujours un élément unique. L’utilisation d’un scan de la rétine ou des empreintes digitales au lieu d’un mot de passe ou d’un téléphone d’entreprise peut éviter des attaques et améliorer la sécurité tout en facilitant le processus pour l’utilisateur final.

En introduisant une forme améliorée d’authentification biométrique, les entreprises peuvent donc offrir à leurs fournisseurs externes une méthode plus robuste et plus pratique pour confirmer leur identité. Cependant, la gestion de tous ces aspects peut représenter beaucoup de travail. La plupart des méthodes courantes exigent l’établissement de politiques et de stratégies back-end pour s’assurer que les utilisateurs n’accèdent qu’aux systèmes dont ils ont besoin pour leur travail, en fournissant cet accès lorsqu’il est nécessaire et en le supprimant lorsqu’il ne l’est plus. Jusqu’à récemment, il n’existait pas de solution satisfaisante à ce problème.

L’authentification biométrique est particulièrement adaptée à l’approche Zero Trust pour la même raison qu’elle est idéale pour authentifier les fournisseurs à distance – l’authentification biométrique ne peut pas être volée, perdue en transit, oubliée ou découverte. Pour cette raison, les entreprises qui utilisent un modèle de sécurité Zero Trust, choisissent souvent l’authentification biométrique pour vérifier l’identité de leurs fournisseurs à distance. La combinaison de l’authentification biométrique et d’une solution back-end solide permet aux entreprises d’accorder uniquement l’accès dont les fournisseurs distants ont besoin, et permet de gérer l’ensemble de ces droits d’accès de manière automatisée. Les entreprises renforcent ainsi la protection de leurs données et leurs relations avec leurs fournisseurs externes.