Le bureau sans contact : un pas de plus vers un monde sans mot de passe !

Si l'évolution vers des accès sans mot de passe s'opérait lentement, elle est désormais poussée par le brusque essor du télétravail et le nécessaire réaménagement des bureaux au profit d'un modèle sans contact.

Les experts en sécurité évoquent depuis des années la nécessité d'abandonner les mots de passe. En 2004, Bill Gates prévoyait déjà leur disparition lors de la RSA Security Conference, précisant que les mots de passe "ne sont tout simplement jamais à la hauteur des besoins". Si ce changement s'opérait lentement, il est désormais poussé par le brusque essor du télétravail et le nécessaire réaménagement des bureaux au profit d'un modèle sans contact.

Je vous propose d’analyser l’avenir de l’authentification sans mot de passe, en partant de l’exemple des identités numériques de confiance, et de vous livrer quelques conseils pour vous aider à choisir une solution adaptée à vos besoins.

L’abandon des mots de passe a commencé à être plus sérieusement considéré avant la pandémie. Dès 2019, Gartner faisait état d’une progression du nombre de clients s’informant sur les solutions sans mot de passe. Aujourd’hui, Gartner prévoit que 60% des grandes entreprises et multinationales, et 90% des structures de taille moyenne, mettront en place des méthodes de ce type d’ici à 2022, alors qu’elles n’étaient que 5% à le faire en 2018. Si les nombreux inconvénients des mots de passe sont solidement établis, ce sont surtout les coûts induits par le piratage de données qui motivent sans doute cet important retournement de situation. Le vol d’identifiants – mots de passe, en règle générale – et l’hameçonnage (phishing) sont les deux premières causes de piratage de données, d’après l’édition 2019 du rapport de Verizon intitulé "Data Breach Investigations". Chaque piratage coûte en moyenne aux entreprises entre 4 M£ et 8 M£ selon les études.

Comme dans de nombreux autres domaines, la pandémie agit comme catalyseur du changement. En utilisant des appareils PAP (pour "prenez vos appareils personnels", BYOD en anglais) et des réseaux résidentiels, en partageant leur équipement avec les autres membres de leur famille et en consignant par écrit leurs mots de passe à la maison, les salariés nouvellement en télétravail accentuent la probabilité de piratage. Mais ce risque concerne aussi les professionnels aguerris au travail à domicile. Les attaques par phishing liées à la Covid-19 ont progressé de 600% au premier trimestre de cette année.

Ce changement induit par la pandémie implique également la mise au point par les entreprises de nouvelles procédures pour tenter d’endiguer sa propagation. Elles procèdent à un examen minutieux des activités obligeant les salariés à toucher certaines surfaces. La saisie de mots de passe sur des claviers ou écrans tactiles partagés s’inscrit dans cette catégorie de risque, au même titre que le maniement de cartes ou de badges. Les entreprises élargissent leurs recherches, en passant du "sans mot de passe" au "sans mot de passe et sans contact", avec le souhait de remplacer leurs identifiants  physiques (badges d’accès). Ces derniers peuvent en effet être facilement éliminés dans cette quête du sans contact.

L’avenir de l’authentification sans mot de passe

Une alternative courante aux mots de passe est la biométrie. Mais la reconnaissance digitale ou faciale n’est souvent rien d’autre qu’une nouvelle technique d’activation de mots de passe. Les mots de passe demeurent nécessaires à l’authentification après l’analyse biométrique. Ils restent stockés dans un référentiel centralisé vulnérable aux hackers. En parvenant à détourner ce dernier, les cybercriminels risquent de dérober des renseignements par milliers. En d’autres termes, la biométrie ne renforce pas la sécurité. Elle ne fait que procurer une meilleure expérience utilisateur. C’est pourquoi elle doit être associée à une approche différente qui ajoute une autre couche de sécurité.

Une option plus sûre consiste à renoncer à ce référentiel centralisé au profit d’un modèle décentralisé. Un exemple est celui qui se base sur les identités numériques de confiance. C’est le principe des certificats numériques stockés dans les smartphones. Pensez à ces certificats numériques cryptés comme à des cartes d’identité ou des passeports virtuels intégrés à l’appareil de chacun de vos salariés. Puisqu’ils sont stockés dans plusieurs téléphones distincts, vous serez en mesure de créer une infrastructure d’identifiants décentralisée et ultra-sécurisée.

Une solution adossée au smartphone des collaborateurs sera compatible, de surcroît, avec les systèmes d’authentification sans contact. Vous pourrez remplacer les cartes à puce et les porte-clés par un modèle de sécurité basé sur le téléphone et réduire ainsi le nombre de surfaces et d’objets touchés. Ce principe s’avère particulièrement intéressant dans les lieux de travail où les personnes doivent visiter différents sites, ainsi que pour le secteur de la santé. Le remplacement de la carte à puce par un smartphone gardé au fond d’une poche restreint le nombre de choses que les praticiens doivent porter et facilite leurs déplacements d’une zone à l’autre, chacune de ces zones pouvant se caractériser par des niveaux de contamination divers et par différentes procédures de lutte contre l’épidémie.

Quel est le principe de fonctionnement des identités numériques de confiance ?

Voici un exemple d’installation. Vous installez un certificat numérique unique sur le mobile de chaque utilisateur : c’est leur carte d’identité virtuelle. Les utilisateurs habilités s’enregistrent sur leur téléphone à l’aide d’outils d’intégration automatisés. Les collaborateurs déverrouillent leur appareil mobile et accèdent à leur identité de confiance avec la reconnaissance digitale ou faciale. Une fois authentifié, leur appareil se connecte à leur ordinateur professionnel via le Bluetooth, leur donnant automatiquement accès au réseau et à leurs applications via un mécanisme d’authentification unique (SSO). La connexion est maintenue tant que leur téléphone est à portée Bluetooth de leur poste de travail, la distance étant définie par le service IT. Dès qu’ils quittent leur bureau avec leur téléphone et qu’ils deviennent hors de portée, ils sont automatiquement déconnectés.

Cinq conseils pour choisir une solution sans mot de passe

1. Plus d’automatisation signifie moins de perturbation

Réfléchissez à la manière dont vous pouvez anticiper et éviter les perturbations engendrées par les changements. La mission d’intégrer des effectifs conséquents et largement dispersés risque de représenter un obstacle de taille pour nombre d’entreprises. Recherchez une solution qui automatise ce processus au maximum.

2. L’évolutivité de votre feuille de route numérique

Allez-vous maintenir le télétravail ? Si une proportion importante de votre équipe est en télétravail, les solutions sans mot de passe deviendront de plus en plus nécessaires. Comptez-vous vous développer ou ajouter de nouvelles applications cloud et intensifier les connexions avec des écosystèmes extérieurs ? Si tel est votre cas, il vous faut une authentification par mot de passe que puisse évoluer facilement.

4. Vos besoins en chiffrement et les obligations réglementaires

Si vos collaborateurs accèdent ou partagent des informations ultra-sensibles ou s’ils effectuent des transactions de grande valeur, assurez-vous que la solution retenue répond à tous les impératifs réglementaires. Les plateformes sans mot de passe les plus sécurisées émanent d’éditeurs dont les solutions sont homologuées par les pouvoirs publics et conformes au standard FIDO2.

5. Priorité à la décentralisation

Les stratégies de piratage courantes, comme le credential stuffing et l’exploitation d’informations d’identification réutilisées, reposent sur le vol de référentiels centralisés de mots de passe et de données de connexion. Dès lors que vous décentralisez vos identifiants, ces stratégies ne sont plus viables. Assurez-vous que votre solution sans mot de passe va au-delà du mécanisme d’accès en frontal ou de la première connexion de l’utilisateur et qu’elle s’affranchit intégralement de votre référentiel centralisé.

C’est aussi un enjeu de productivité

Privilégiez une solution dotée d’un mécanisme d’authentification unique (SSO) afin de simplifier les processus de connexion et les flux omnicanaux. Cela fluidifie les tâches pour les collaborateurs et optimise la productivité de l’entreprise.

Les améliorations en matière de sécurité, les gains de productivité et un contexte favorable de travail pour les utilisateurs plaident tous en faveur de l’adoption d’un modèle sans mot de passe. Le souhait de contenir la transmission du virus tout en apportant une certaine tranquillité d’esprit aux employés ne fait que renforcer le bien-fondé de cet argument. Le nouvel objectif que vous devriez vous fixer doit aller bien au-delà du simple remplacement de mots de passe par un autre identifiant. Dans l’idéal, les entreprises devraient aspirer à des expériences sans contact qui procurent des effectifs plus fiables, plus sécurisés et plus productifs.