À l’heure de la transition numérique et de la recrudescence des cybermenaces pour les entreprises, l’authentification forte – autrement nommée double-authentification, authentification à deux facteurs ou multi-facteurs – est un terme que l’on entend de plus en plus souvent lorsqu’il est question de cybersécurité. Mais qu’en est-il au juste de cette opération d’identification ? Et quels sont les impacts, aussi bien pour les utilisateurs de services numériques que pour leurs fournisseurs et les éditeurs de logiciels qui les équipent…

La fin de la gestion des accès par contrôle statique au profit de l’authentification forte

La gestion des accès par contrôle statique est en voie d’être révolue. Il faut dire que la protection offerte par des mots de passe statiques est peu élevée. La multiplication des authentifications incite souvent les utilisateurs à choisir les mêmes mots de passe simples, donc aisément déchiffrables. Et si la complexité du choix des mots de passe augmente de quelques crans, les utilisateurs ont tendance à les enregistrer sous une feuille de traitement de texte ou de tableur ou pire encore, à les noter sur un post-it.

Dans un monde connecté, la façon la plus courante d’authentifier un utilisateur réfère à un identifiant et à un mot de passe. C’est lui qui permet d’avoir accès à une session informatique, un boîte mail, à un réseau. C’est le mode d’identification dit simple ou faible, car la sécurité repose sur un seul élément, soit le mot de passe. Si celui-ci est divulgué, il ne garantit plus aucune protection. Qui plus est, les techniques de vol de données et l’usurpation d’identité étant toujours plus nombreuses, le mot de passe ne peut à lui seul servir de protection efficace pour sécuriser les données et les fonctions les plus critiques, malgré l’installation d’un anti-virus efficace.

Outre la passerelle de sécurité Web et les anti-virus, vers quelle solution se tourner alors pour sécuriser les systèmes informatiques d’une entreprise ? L’authentification forte.

L’authentification forte, seule garantie d’identification réelle de la personne

L’identification forte a pendant longtemps été considérée comme onéreuse et peu ergonomique. Mais grâce à son niveau de garantie de protection élevé et à la pression des pouvoirs publics, elle s’est peu à peu démocratisée. Mais cela reste parfois compliqué à généraliser comme les experts l’ont constaté avec la DSP2.

L’identité d’un utilisateur peut ainsi être vérifiée de ces trois principales façons :

  • Par l’intermédiaire d’un élément que l’utilisateur connaît (comme des mots de passe).
  • Par l’intermédiaire d’un élément que l’utilisateur possède (comme des cartes à puce).
  • Par l’intermédiaire d’un élément qui caractérise l’utilisateur (comme ses empreintes digitales).

À noter que la valeur de ces facteurs d’identification dépend du nombre de facteurs et non pas de leur nature. Ainsi, les caractéristiques biométriques ne sont pas jugées plus sécuritaires que les mots de passe puisqu’il s’agit d’un seul élément dans les deux cas.

Les différents modes d’authentification forte proposés par les éditeurs ajoutent un second élément de validation et d’identification de l’identité de la personne permettant ainsi de renforcer la sécurité classique des mots de passe. À l’instar d’une porte à double verrou, elles sont plus difficiles à forcer et nécessitent plus de temps pour un fraudeur. Elles garantissent un niveau de sécurité élevé dans le cadre de transactions numériques notamment. Il s’agit là du niveau de protection optimal pour les entreprises.

À l’ère de la transition numérique, les transactions électroniques se développent à la vitesse grand V… tout comme les dangers qui les guettent. Afin de sécuriser les échanges dématérialisés, la confiance numérique est essentielle. Or, cette confiance est impossible si aucune garantie n’est offerte aux parties lors d’une transaction digitale, quelle que soit sa nature. Cette garantie passe par une identité qui peut mutuellement être distinguée en ligne afin de limiter les risques d’usurpation et rendre ainsi les transactions électroniques plus sûres. L’identification forte, en opposition à l’identification simple, permet de satisfaire cet enjeu. C’est l’élément clé pour assurer le développement sans entraves des échanges dématérialisés.

Enfin, qu’en est-il de l’expérience utilisateur ? Contrairement à ce que l’on pourrait croire, l’expérience utilisateur est dans son ensemble meilleure avec les authentifications fortes qu’avec leurs versions faibles. Si la première utilisation des authentifications fortes peut être un peu plus complexe, les étapes ultérieures sont énormément simplifiées pour tous les acteurs.