En 2016, 30% des entreprises utiliseront l’authentification biométrique pour sécuriser l’usage professionnel des terminaux mobiles, estime le Gartner. Contre 5% aujourd’hui. Une tendance qui viserait à simplifier l’expérience utilisateur sans sacrifier la politique de sécurité de l’entreprise.
Face à la consumérisation et au phénomène du BYOD, « les utilisateurs résistent farouchement aux méthodes d’authentification qui étaient tolérables sur PC et restent nécessaires pour renforcer l’accès sécurisé depuis les appareils mobiles, souligne l’analyste et vice-président du cabinet d’études Ant Allan. Les responsables sécurité doivent gérer les attentes des utilisateurs et tenir compte de l’expérience utilisateur sans compromettre la sécurité. » Et le Gartner de rappeler les différentes méthodes et recommandations de sécurisation des terminaux mobiles.
Si les mots de passe complexes, ou même à 4 chiffres, s’avèrent mal adaptés aux usages mobiles, ils n’en constituent pas moins le premier obstacle pour empêcher un utilisateur malveillant d’accéder aux données professionnelles que contient le smartphone ou la tablette (ou ses accès au système d’information de l’entreprise).
« Un code numérique à huit chiffres demande des heures à déchiffrer, et découragera les hackers occasionnels, assure John Girard du Gartner. Qui ajoute que les pirates n’ont pas le temps de tester toutes les combinaisons, même avec un code à 6 chiffres, en regard des vitesses relativement lentes de traitement que nécessitent les attaques par force brute des smartphones et tablettes. » En conséquence, le cabinet d’analyse préconise l’usage de mots de passe à six caractères (au moins) alphanumériques, en évitant les mots du dictionnaire.
Autre niveau de protection : le chiffrement des données. Si celui-ci ne protègera pas l’accès illicite au contenu du terminal, il permet de le rendre inexploitable. A condition « que le chiffrement ne soit pas lié à l’authentification de mise sous tension, empêchant ainsi toute récupération de la clé à partir de l’appareil », précise John Girard.
Pour les données ultra-sensibles, le Gartner préconise une méthode d’authentification supplémentaire : un autre mot de passe (à minima) ou, mieux, l’usage d’un identificateur via les générateurs, hardware ou software, de jetons (token) uniques. Mais, outre la lourdeur d’implémentation de ces solutions pour les terminaux mobiles et leur gestion, leur usage est tout sauf pratique en mode mobile. « Demander aux utilisateurs de jongler avec le jeton dans une main, le téléphone dans l’autre et une mallette dans la troisième, c’est être assuré de se heurter à résistance justifiée de leur part », schématise l’analyste.
D’où l’usage de la biométrie qui devrait simplifier l’accès aux terminaux sensibles sans pour autant supprimer les indispensables barrières de sécurité. Interface interactive (type lecteur d’empreintes), reconnaissance vocale, topographie du visage, analyse de la structure de l’iris, analyse contextuelle… Les méthodes d’identification passive ne manquent pas. Au besoin, l’usage de la biométrie peut parfaitement se combiner, avec la saisie de mot de passe, renforçant ainsi la sécurisation de l’accès.
Il n’en faudra pas moins vérifier le poids de l’implémentation et l’accueil par les utilisateurs d’une nouvelle politique d’authentification. « Adopter des méthodes d’authentification sensiblement différentes pour de multiples terminaux serait potentiellement insoutenable, commente John Girard pour qui une combinaison de certificats X.509 (norme de chiffrement pour les infrastructures de clés publiques, NDLR) sur le terminal, de biométrie passive et d’authentification contextuelle fera probablement l’affaire. »
Comme toujours, tout dépend du niveau de sécurité que souhaite atteindre l’entreprise. Autant de questions que le Gartner abordera au cours de son séminaire Identity & Access Management Summit 2014 en mars prochain à Londres.
crédit photo © Bloomua- shutterstock
Voir aussi
Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…