Comme le secteur bancaire, misons sur la carte à puce virtuelle

Les mots de passe n’offrent pas une protection suffisante pour les données à caractère sensible, commercial ou stratégique que traitent de nombreuses entreprises.

Malgré un besoin évident pour des solutions d’authentification forte, donc multifacteur, l’implémentation complexe de telles solutions peut retarder ou même remettre en cause leur adoption. Cependant, des solutions existent qui permettent de rehausser la sécurité des données à bas coût.

Les banques l’ont compris, l’authentification multifactorielle garantit un niveau de sécurité élevé, et c’est l’esprit derrière la DSP2. Cependant, la sécurité n’est pas nécessaire que dans le secteur bancaire et l’utilisation exclusive de mots de passe pour l’authentification des utilisateurs n’est pas une modalité suffisamment sécurisée d’accès aux systèmes informatique. Cela est principalement dû à la simplicité des mots de passe utilisé et au fait que nombre d’employés notent leur mot de passe à proximité de leur ordinateur. Néanmoins, nous avons tendance à nous satisfaire de cette modalité d’authentification car elle est simple, donne une certaine impression de sûreté et surtout est bien inscrite dans notre routine.

 

On pourrait croire qu’une formation suffit à sensibiliser les employés à de bonnes pratiques, comme l’utilisation de mots de passe longs et complexes, qui peut remédier à ce problème. Cependant, beaucoup d’utilisateurs y restent imperméables, surtout lorsqu’on leur demande d’utiliser un mot de passe différent pour chaque application. En effet, les mots de passe aléatoires sont difficiles à retenir et si un employé utilise un aide-mémoire commun pour tous ses mots de passe, il devient facile de deviner l’ensemble des mots de passe qu’il utilise. Gardons en tête que des mots de passe sont vendus sur le Dark Net de façon quotidienne.


Combiner une architecture zero-trust à une authentification multifacteur

L’architecture zero-trust – l’absence de séparation entre la zone intérieure protégée et la zone extérieure non sécurisée, dans laquelle chaque utilisateur doit avoir l’autorisation pour accéder au système – n’est concevable qu’en présence d’une authentification forte. En présence d’un simple mot de passe, le risque de connexion autorisée augmente rapidement. Résultats : des biens parmi les plus importants de l’entreprise – prototypes de R&D, stratégie, etc – sont menacés. Un chiffre permet de mieux comprendre la situation : dans une étude de Bitkom publiée en octobre 2018, 68 % des industriels interrogés ont fait l’objet d’un vol de données. La quasi-totalité de celles-ci disposaient d’une protection des données par mot de passe.

 

Revenons-en au zero-trust, qui peut combiner deux à trois méthodes d’authentification : il peut s’agir de connaissances particulières (comme un mot de passe), de la détention d’un objet (jeton ou carte à puce) ou d’une caractéristique spéciale (biométrie). L’authentification multifacteur offre un degré de sécurité nettement supérieure, et de nouvelles technologies, notamment de biométrie, sont de plus en plus utilisées.

 

La combinaison de deux facteurs a des avantages particuliers : par exemple, le mot de passe peut être volé par un enregistreur de frappe, mais la carte à puce restera nécessaire. En Allemagne, l’Office fédéral de la sécurité de technologies de l’information exige une authentification forte avec au moins deux techniques d’identification pour les applications critiques. Les analystes voient aussi ces technologies d’un œil bienveillant : selon Gartner, 90% des PME utiliseront des méthodes d’authentification sans mot de passe d’ici à 2020. Néanmoins, des facteurs de résistance persistent : l’authentification multifacteur requiert un investissement initial et continu élevé, en plus de la surcharge de travail administratif pour la gestion des opérations quotidiennes. Par exemple, souvent, 10% des cartes doivent être changées chaque année, ce qui représente un certain coût ; mais la situation se complique quand, après quelques années, les mêmes cartes ne sont plus produites. Le maintien du système suppose alors l’installation de nouveaux lecteurs pour lire les nouvelles cartes. Pour éviter ce risque, il est possible pour les entreprises d’utiliser un middleware, une interface entre la carte et l’ordinateur, qui est indépendant du fabricant de cartes. Ce middleware sera alors compatible avec plusieurs types de cartes et plus durable. Cela permet d’éviter de se confronter à des frais ultérieurs et au remplacement trop fréquent du matériel. 


Virtualiser les cartes à puce

Les cartes à puces virtuelles permettent une installation initiale beaucoup plus simple et rapide (et moins onéreuse). Le coût d’entretien et de remplacement du matériel abîmé ou perdu disparaît complètement.

 

Concrètement, les cartes à puce virtuelles sont une combinaison de logiciel et de matériel existant pour sécuriser les données que l’on peut distribuer dans l’entreprise comme tout autre logiciel sans avoir besoin d’objet physique. Les cartes virtuelles fonctionnent comme des cartes physiques, et sont reconnues comme telles par le système d’exploitation. Ces cartes peuvent être utilisées pour ouvrir une session, une application web, chiffrer ou déchiffrer des données, etc  – autrement dit, pour toute action qui peut nécessiter que l’utilisateur soit authentifié.

 

L’authentification multifacteur est de plus en plus répandue dans les entreprises, mais ses modalités – comme l’utilisation de cartes à puce ou la biométrie – peuvent avoir un coût non négligeable qui freine son adoption. L’utilisation de cartes à puces virtuelles réduit drastiquement ces coûts sans sacrifier la sécurité ou la praticité de la solution.