Une expérience d'authentification forte accessible à tous, un enjeu de sécurité majeur

Les mots de passe sont contraignants et peu pratiques. Toutefois, tant que les connexions sans leur utilisation ne seront pas uniformément adoptées par les organisations, ils resteront une nécessité sur les lieux de travail. Malheureusement, les employés ne comprennent pas toujours l'importance de gérer correctement et de renforcer leurs mots de passe.

Selon une étude menée par le Ponemon Institute, 54 % des personnes interrogées en France réutilisent la même combinaison pour accéder à plusieurs comptes, et 46 % indiquent que leur entreprise utilise des post-its pour gérer les mots de passe ; des pratiques qui ouvrent la voie royale aux cybercriminels.

Il est évident que les internautes doivent créer des mots de passe plus forts pour protéger les données sensibles, mais cela est-il suffisant ? Les éléments de base seuls ne suffisent plus. Les organisations doivent donc prendre des mesures plus avancées. Cela passe par exemple par la mise en œuvre de solutions techniques telles que le verrouillage des comptes pour se défendre contre les attaques par force brute – en autorisant entre cinq et dix tentatives de connexion avant le verrouillage – et l’inscription sur liste noire des mots de passe pour empêcher automatiquement l’utilisation des combinaisons les plus courantes.

En outre, il est important que les organisations insistent sur l’utilisation, au minimum, d’une authentification à deux facteurs comme couche de sécurité supplémentaire. Ce niveau additionnel peut reposer sur une clé de sécurité, une application d’authentification mobile ou un code SMS vers un téléphone ; bien que ces dernières solutions soient connues pour être vulnérables aux détournements et non recommandés. Les clés de sécurité matérielles offrent quant à elles des niveaux de sécurité en ligne plus importants, en particulier celles basées sur un protocole moderne tels que PIV ou FIDO2, ratifié par le W3C (World Wide Web Consortium) en 2019, et qui est aujourd’hui un standard d’authentification sécurisé et accessible. Ces clés permettent aux utilisateurs de se connecter à de nombreux services sans avoir à ressaisir identifiants et mots de passe à chaque fois, et donc de bénéficier d’une expérience optimale. De plus, contrairement aux SMS et aux applications d’authentification, certaines clés de sécurité ne nécessitent pas de connexion au réseau, et ou ne dépendent pas de la batterie.

De manière générale, une expérience des plus simples en matière d’authentification doit aujourd’hui permettre de rendre la sécurité accessible à tous, y compris aux utilisateurs considérés comme les moins exposés qui se servent pourtant d’une application de messagerie, elle-même critique. Il faut savoir que les cybercriminels cherchent bien souvent le maillon faible pour réaliser une incursion avec le minimum de résistance, avant de rebondir vers les postes ou serveurs cibles. Ce qui signifie que, même si un projet d'authentification s'opère par vagues successives, en privilégiant les utilisateurs les plus exposés dans un premier temps avant de l’étendre plus largement, il doit être pensé au niveau global. Adopter une approche en silo reviendrait à blinder la porte d'entrée d’une maison tout en laissant des fenêtres non sécurisées.

En fin de compte, les organisations doivent trouver le bon équilibre entre sécurité et convivialité. La transition que doivent opérer les entreprises pour moderniser leurs solutions d’authentification et tendre vers un monde sans mot de passe est aujourd’hui possible, facilitée par certaines clés de sécurité compatibles avec les protocoles anciens tel que OTP (One Time Password) ou PIV Smartcard, mais aussi les plus aboutis comme FIDO2.

Ce monde sans mot de passe est définitivement à portée de main grâce à des géants technologiques comme Microsoft, qui mène le bal avec sa dernière version de Windows 10. C’est pourquoi les politiques en matière d’authentification doivent être régulièrement revues et mises à jour, à mesure que de nouvelles innovations émergent. La technologie évolue rapidement – tout comme les techniques exploitées par les cybercriminels – et les politiques et processus qui l’accompagnent doivent donc aussi s’adapter sans tarder, sous peine d’être exposés au vol d’identifiants/mots de passe, aujourd’hui à l’origine de plus de 80% des brèches de sécurité, toutes organisations confondues.