’authentification passwordless ne représente qu’une pièce du puzzle de la sécurité de l’entreprise. Il convient de compléter cette mesure avec d’autres capacités de gestion des identités (IAM) afin de répondre aux besoins actuels et futurs en matière de sécurité des identités des organisations.
Selon une recherche FIDO Alliance et LastPass, 92 % des entreprises prévoient de passer au passwordless et 95 % l’expérimentent déjà. Toutefois, 55 % des dirigeants IT ressentent un besoin de davantage d’éducation et de formation sur le fonctionnement des technologies passwordless et la manière de les déployer.
Le mot de passe, dont l’usage s’est généralisé, est depuis plusieurs années une porte d’entrée pour les cybercriminels qui tirent profit de ses failles pour s’introduire dans les réseaux, afin de pratiquer leurs méfaits. Ainsi, il semble essentiel de comprendre les technologies passwordless, afin d’en tirer pleinement les avantages et de limiter les risques induits par des mots de passe aux niveaux de sécurité trop faibles.
Les règles à suivre pour créer un nouveau mot de passe sont martelées par les media et les experts depuis de nombreuses années et devraient être connues de tous : au moins huit caractères, quelques signes spéciaux, tels que des points d’exclamation ou d’interrogation, pas de lettres qui se suivent, ni de mots du dictionnaire, pas de dates personnelles (anniversaire, naissance, mariage…).
En résumé, ils doivent être suffisamment complexes et inintelligibles pour compliquer la tâche d’un cybercriminel. Or, si elles n’ont pas été inventées dans ce but, ce sont autant de contraintes qui nuisent à l’expérience utilisateur qui peine souvent à s’en souvenir et se retrouve à les écrire quelque part ou à réinitialiser sans cesse le mot de passe.
D’ailleurs, les statistiques publiées chaque année démontrent qu’au final une majorité d’utilisateurs continuent d’utiliser des mots de passe très simples et identiques sur l’ensemble de leurs comptes. Pourtant, ces recommandations sont un mal nécessaire, en particulier dans les entreprises modernes, où la vulnérabilité des mots de passe en fait un vecteur de choix pour les hackers.
En effet, quand ils parviennent à s’emparer de mots de passe valides, les cybercriminels peuvent infiltrer insidieusement les systèmes, élever leurs privilèges jusqu’à un niveau administrateur, et causer d’importants dégâts sur la sécurité, la réputation ou encore les résultats financiers d’une entreprise, pour ne citer que quelques exemples.
Pour pallier ce risque, de plus en plus d’entreprises adoptent l’authentification multi facteurs (MFA) afin d’empêcher tout utilisateur ne disposant pas d’un moyen de vérification supplémentaire de se connecter à leurs applications, réseaux et ressources. L’utilisateur peut ainsi être invité à confirmer chaque tentative de connexion via un code reçu par e-mail ou SMS, en confirmant son identité via une application d’authentification de type Microsoft Authenticator ou en utilisant une clé physique type YubiKey.
Cependant, les hackers disposent de nombreux outils dans leur arsenal pour contourner les protections MFA, et recourent à des méthodes telles que le vol de cookies, l’ingénierie sociale ou l’utilisation d’attaques basées sur l’envoi répété de notifications. Tout ceci nous ramène ainsi au point de départ : les mots de passe restent malheureusement un maillon faible de la sécurité en ligne.
Une approche qui gagne du terrain
Si l’authentification passwordless n’est pas récente, son utilisation ne s’est généralisée que depuis peu. Cette technologie peut s’appuyer sur n’importe quel moyen de validation, à l’exception d’un secret mémorisé.
Pour les équipes backend, elle repose sur le même principe que les certificats numériques basés sur des clés publiques et privées, qui jouent respectivement le rôle de portes et de clés traditionnelles. Avec l’authentification passwordless, il n’y a qu’une clé par porte et qu’une porte par clé. Un utilisateur souhaitant créer un compte sécurisé peut ainsi recourir à une application d’authentification mobile pour générer une paire de clés publique-privée. La clé publique est fournie au système et la clé privée est accessible depuis l’appareil de l’utilisateur à l’aide d’un facteur d’authentification comme un QR code.
Ainsi, cette méthode améliore l’expérience utilisateur et la productivité des collaborateurs, en accélérant leur temps de connexion à leurs comptes. Elle renforce également la sécurité en éliminant les risques liés aux mots de passe. Enfin, ce type d’authentification libère des ressources en diminuant le nombre d’utilisateurs qui nécessite de l’assistance pour débloquer leur compte ou réinitialiser leur mot de passe. Toutefois, même si les connexions passwordless garantissent des avantages significatifs, leur mise en place se déroule différemment en fonction des besoins de chaque entreprise.
Une démarche qui prend du temps
Aucune organisation ne peut en effet supprimer les mots de passe du jour au lendemain. Par ailleurs, une suppression totale est impossible dans la plupart des cas, car les entreprises ne peuvent fonctionner sans des systèmes legacy plus anciens incorporés dans la majorité des infrastructures. Le but est donc de trouver un juste équilibre entre la sécurité, les coûts et les efforts à fournir.
Ce projet est d’autant plus ambitieux pour des organisations comptant des milliers d’utilisateurs, de nombreuses applications, des environnements hybrides et multicloud, et des flux de connexion complexes. L’élimination des mots de passe implique alors une approche progressive, sachant que les technologies continueront d’évoluer et que l’adoption par les utilisateurs continuera d’augmenter.
Il est également important de noter qu’il existe différentes solutions d’authentification passwordless et leur efficacité dépend de la sélection de facteurs adaptés aux besoins de chaque entreprise et de ses utilisateurs.
Dans la progression vers leur élimination généralisée, il est possible de réduire la dépendance aux mots de passe en mettant en œuvre des solutions de gestion des accès et des identités (IAM) prenant en charge différents cas d’utilisation grâce à plusieurs capacités telles que le Zero Sign-On (ZSO), la compatibilité FIDO2, l’authentification passwordless des terminaux et en libre-service, et un accès VPN sécurisé pour tous. L’ensemble de ces éléments permettent de sécuriser pleinement les identités des utilisateurs, sans mot de passe et sans impact négatif sur leur connectivité ou augmentation des temps de latence.
Comme pour tout projet touchant à la sécurité, le passage à un système d’authentification passwordless nécessite la mise en place d’une stratégie, une planification, des fournisseurs de confiance et une certaine discipline au sein de l’entreprise, sans oublier des efforts continus de formation. L’implication des dirigeants est absolument indispensable pour mener à bien une telle initiative, tout comme le choix d’un fournisseur expérimenté et bien établi, capable d’accompagner les équipes au fil de cette transition.
In fine, l’authentification passwordless ne représente qu’une pièce du puzzle de la sécurité de l’entreprise. Il convient de compléter cette mesure avec d’autres capacités de gestion des identités (IAM) afin de répondre aux besoins actuels et futurs en matière de sécurité des identités des organisations.
