À l’heure de la transition numérique et de la recrudescence des cybermenaces pour les entreprises, l’authentification forte – autrement nommée double-authentification, authentification à deux facteurs ou multi-facteurs – est un terme que l’on entend de plus en plus souvent lorsqu’il est question de cybersécurité. Mais qu’en est-il au juste de cette opération d’identification ? Et quels sont les impacts, aussi bien pour les utilisateurs de services numériques que pour leurs fournisseurs et les éditeurs de logiciels qui les équipent… Ce sujet qui ne manquera pas d’animer les débats dans les prochains mois est d’on ne peut plus d’actualité.
La fin de la gestion des accès par contrôle statique au profit de l’authentification forte
La gestion des accès par contrôle statique est en voie d’être révolue. Il faut dire que la protection offerte par des mots de passe statiques est peu élevée. La multiplication des authentifications incite souvent les utilisateurs à choisir les mêmes mots de passe simples, souvent bien connus des cyberattaquants et donc aisément déchiffrables. Et si la complexité du choix des mots de passe augmente de quelques crans, les utilisateurs ont tendance à les enregistrer sous une feuille de traitement de texte ou de tableur ou pire encore, à les noter sur un post-it.
Dans un monde de plus en plus connecté, la façon la plus courante d’authentifier un utilisateur réfère à un identifiant et à un mot de passe. C’est lui qui permet d’avoir accès à une session informatique, une boîte mail, à un réseau d’entreprise, un VPN en télétravail ou même à des ressources applicatives et services disponibles dans le Cloud. C’est le mode d’identification dit simple ou faible, car la sécurité repose sur un seul élément, soit le mot de passe. Si celui-ci est divulgué, il ne garantit plus aucune protection. Qui plus est, les techniques de vol de données et l’usurpation d’identité étant toujours plus nombreuses, le mot de passe ne peut à lui seul servir de protection efficace pour sécuriser les données et les fonctions les plus critiques, malgré l’installation d’un anti-virus efficace.
Outre la passerelle de sécurité Web et les anti-virus, vers quelle solution se tourner alors pour sécuriser les systèmes informatiques d’une entreprise ? L’authentification forte sans hésitation.
L’authentification forte, seule garantie d’identification réelle de la personne
L’identification forte a pendant longtemps été considérée comme onéreuse et peu ergonomique. Mais grâce à son niveau de garantie de protection élevé et à la pression des pouvoirs publics, elle s’est peu à peu démocratisée. Mais cela reste parfois compliqué à généraliser comme les experts l’ont constaté avec la DSP2.
L’identité d’un utilisateur peut ainsi être vérifiée de ces trois principales façons :
- Par l’intermédiaire d’un élément que l’utilisateur connaît (comme des mots de passe).
- Par l’intermédiaire d’un élément que l’utilisateur possède (comme des cartes à puce).
- Par l’intermédiaire d’un élément qui caractérise l’utilisateur (comme ses empreintes digitales).
À noter que la valeur de ces facteurs d’identification dépend du nombre de facteurs et non pas de leur nature. Ainsi, les caractéristiques biométriques ne sont pas jugées plus sécuritaires que les mots de passe puisqu’il s’agit d’un seul élément dans les deux cas. On peut alors tenter le parallèle avec les portes à double verrou qui sont plus difficiles à forcer et nécessitent plus de temps pour un fraudeur. Les éditeurs de solutions d’authentification ajoutent alors un second élément de validation et d’identification de l’identité de la personne permettant ainsi de renforcer la sécurité classique des mots de passe. Cela garantit un niveau de sécurité élevé dans le cadre de transactions numériques notamment. Il s’agit là du niveau de protection optimal pour les entreprises. L’éditeur Ilex International a d’ailleurs publié sur son site un dossier complet sur l’authentification forte.
À l’heure où la transformation numérique s’accélèrent rapidement suite à la crise sanitaire, les échanges dématérialisés et transactions électroniques se développent à la vitesse grand V… tout comme les dangers qui les guettent. Afin de les sécuriser, la confiance numérique est essentielle. Or, cette confiance est impossible si aucune garantie n’est offerte aux parties lors d’une transaction digitale, quelle que soit sa nature. Cette garantie passe par une identité qui peut mutuellement être distinguée en ligne afin de limiter les risques d’usurpation et rendre ainsi les transactions électroniques plus sûres. L’identification forte, en opposition à l’identification simple, permet de satisfaire cet enjeu. C’est l’élément clé pour assurer le développement sans entraves des échanges dématérialisés.
Enfin, qu’en est-il de l’expérience utilisateur ? Contrairement à ce que l’on pourrait croire, l’expérience utilisateur est dans son ensemble meilleure avec les authentifications fortes qu’avec leurs versions faibles. Si la première utilisation des authentifications fortes peut être un peu plus complexe, les étapes ultérieures sont énormément simplifiées pour tous les acteurs.