L'authentification sans mot de passe : l'avenir des identités numériques

Dans un monde en pleine digitalisation, la sécurité de nos identités numériques n'a jamais été aussi importante. Le point sur quelques bonnes pratiques.

Plus notre monde se digitalise, plus nos mots de passe se multiplient au travail ou dans notre vie personnelle. Et cela peut créer de la confusion. Parallèlement, les entreprises ont du mal à intégrer et à adapter leurs solutions d'authentification aux différents niveaux de sécurité. Ainsi, la question suivante se pose : les mots de passe sont-ils vraiment la forme d'authentification la plus sûre et la plus simple à utiliser ?

L’année dernière, la majorité des violations de données d'entreprise étaient dues au vol d’identifiants. L’une des conséquences majeures pour les entreprises est la perte de clients.

Avec un nombre de comptes et services numériques en constante croissance, il n’est pas surprenant que la majorité des utilisateurs ait tendance à utiliser des mots de passe répétitifs ou faciles à deviner. En fait, le mot de passe "123456" est encore utilisé par 103 millions de comptes sur internet. Cela prouve que les mots de passe sont de toute évidence un moyen insuffisant de gestion des accès physique et logique. À l'ère de l'intégration de l'IoT, l'authentification doit absolument devenir plus sophistiquée, connectée et pratique.

Avec l'augmentation du télétravail due à la pandémie de Covid-19 et une quantité considérable de données et d’applications désormais hébergée sur le cloud, la sécurité de nos identités numériques (IDN) n'a jamais été aussi importante.

Parallèlement les smart cities se développent et nécessitent une gestion des IDN centralisée, unifiée, centrée sur l'utilisateur et auto-souveraine. Pour connecter les citoyens aux services de base intelligents tels que la santé, les transports publics ou les services de paiement, des outils d'IDN transparents, sécurisés et connectés seront essentiels. Et il est évident que les mots de passe ne suffiront pas pour assurer l'intégration nécessaire des IDN aux smart cities.

Authentification sans mot de passe : comment associer sécurité et expérience utilisateur ?

Les solutions d'authentification des IDN doivent être hautement sécurisées et garantir la confidentialité et la protection des données. De plus, elles doivent être pratiques, évolutives, faciles à utiliser et à gérer. Les entreprises ne devraient pas être obligées de choisir entre la sécurité et l'expérience utilisateur, car ces deux éléments sont cruciaux pour les applications à grande échelle. Les solutions sans mot de passe doivent donc répondre à ces deux critères. 

Il existe actuellement toute une série de méthodes d'authentification sans mot de passe. Parmi celles-ci, on peut citer la biométrie (authentification du visage, des empreintes digitales ou de l'iris pour entrer dans un immeuble de bureaux), les mots de passe à usage unique, l'authentification multifactorielle ou l'utilisation d'un lien “magique” à usage unique pour se connecter à des systèmes à accès restreint, ou encore l'utilisation de la communication en champs proche (CCP) pour les paiements. Toutefois, utilisées isolément, ces méthodes peuvent présenter des limites en matière de sécurité ou dans certaines applications complexes.

Coup de projecteur sur la clé de sécurité FIDO

Une clé de sécurité FIDO (Identification en ligne rapide ou Fast IDentity Online) biométrique se présente alors comme une alternative pertinente. Elle combine des données biométriques intégrées, une authentification multifactorielle forte, une sécurité fiable et une interface multicanale. Cette clé cryptographique est dotée d'un capteur d'empreintes digitales intégré qui permet aux utilisateurs de s'authentifier rapidement et de manière fiable, en supprimant la dépendance aux mots de passe. Cela sécurise les accès, les approbations et les paiements, et lui permet d'être utilisée sur différentes plateformes avec Bluetooth, USB et CCP. 

Non seulement une clé de sécurité FIDO offre un gain de temps considérable et une sécurité à toute épreuve, mais les normes associées sont également conformes aux réglementations pour une authentification plus forte des utilisateurs. Un telle clé est conçue pour répondre aux exigences des spécifications techniques réglementaires (RTS) de la directive sur les services de paiement (PSD2) révisée de l'Union européenne. De plus, les normes FIDO sont conçues pour respecter le règlement général sur la protection des données (RGPD), le Groupe d'action financière (GAFI), les réglementations de cybersécurité du New York Department of Financial Services (NYDFS) et l'Institut national des normes et de la technologie (NIST).

Elle répond également au besoin des entreprises d’améliorer la sécurité des systèmes de contrôle d'accès physique et virtuel, qu’il s’agisse du passage ses portiques de sécurité, de la connexion au réseau et aux applications ou de la signature des transactions numériques.

Vers une collaboration entre les pouvoirs publics et le secteur privé

Dans les années à venir, les données personnelles statiques, biométriques et dynamiques formeront une combinaison unique capable de déterminer une identification centrée sur l'utilisateur, sécurisée et respectueuse de la vie privée. Afin que cette évolution soit un succès, il sera indispensable que les pouvoirs publics et le secteur privé collaborent.

À mesure que les villes intelligentes se développent, l'idée d'une IDN mobile et sécurisée - que l'utilisateur contrôle, mais qu'un service central gère - devient non seulement pratique, mais aussi hautement nécessaire. Cela permettra de garantir des expériences numériques et physiques transparentes dans nos vies personnelles et professionnelles. Ces expériences sans contact nécessitent de renoncer à des formes d'authentification peu pratiques et peu sûres, telles que les mots de passe. Les nouvelles méthodes d'authentification reposant sur la collaboration entre les secteurs privé et public et favorisant l'intégration des utilisateurs définiront l'avenir des IDN.