Si la transformation numérique impacte l’entreprise bien au-delà du SI, c’est bien l’informatique qui reste la plus exposée aux travers de ces mutations. Et dans ce contexte, la cybersécurité est définitivement le sujet IT le plus chaud du moment. Chaque jour, de nouvelles menaces apparaissent, nécessitant des innovations constantes pour assurer la sécurité de nos systèmes d’information. Et l’une des prochaines innovations en matière de cybersécurité (qui n’est pas si récente que ça) pourrait bien être de se passer purement et simplement des mots de passe traditionnels, en les remplaçant par de nouvelles méthodes d’authentification plus avancées. On en parle !
Une idée…pas si étrange que ça
Une telle idée peut sembler étrange à première vue. Après tout, les mots de passe sont depuis longtemps un pilier de la sécurité informatique. Un pilier, vraiment ? La réalité est que les mots de passe, tels que nous les connaissons aujourd’hui, sont très loin d’être parfaits.
Souvent trop faciles à deviner (cf la liste annuelle des pires mots de passe) ou trop difficiles à retenir, leur gestion peut être un véritable casse-tête, pour un peu que l’on n’utilise pas de gestionnaire de mots de passe.
La vulnérabilité des mots de passe face aux attaques
De plus, les mots de passe sont techniquement l’un des points les plus vulnérables dans un système de cybersécurité. Ils peuvent être découverts par des attaques de force brute, où un logiciel tente différentes combinaisons jusqu’à trouver le bon mot de passe. Ils peuvent également être volés par le biais de tentatives de hameçonnage, où un pirate se fait passer pour un site de confiance pour inciter l’utilisateur à révéler son mot de passe.
Face à cette vulnérabilité, de nombreux RSSI (responsables de la sécurité des systèmes d’information) cherchent à adopter de nouvelles approches, plus sécurisées. L’une de ces approches est la gestion de l’identité et des accès (IAM).
La gestion de l’identité et des accès (IAM)
Gérer efficacement les identités et les accès est un aspect crucial de la sécurité de l’information, surtout dans le contexte actuel plutôt tendu. C’est dans ce contexte que s’inscrit l’IAM, une approche de sécurité qui se concentre sur l’assurance que seuls les individus appropriés ont accès aux ressources appropriées au bon moment et pour les bonnes raisons.
Elle englobe les processus, les technologies et les politiques conçus pour gérer les identités numériques et contrôler l’accès aux ressources numériques de l’entreprise… et constitue la première ligne de défense contre les accès non autorisés ou les violations potentielles. Objectif : protection, confidentialité et intégrité des données.
Sa mise en place implique la définition et la gestion des rôles et des privilèges d’accès des utilisateurs du réseau, chaque identité numérique étant liée de manière unique à une personne, un système ou un appareil spécifique.
Cette notion « d’identité numérique » est clé ici, mais également pour tout ce qui concerne les nouvelles normes d’authentification que nous aborderons plus loin.
L’objectif premier de l’IAM est justement de fournir une identité numérique par individu ou par système, et de la gérer tout au long du « cycle de vie de l’accès » de chaque utilisateur, depuis l’enregistrement initial et la vérification de l’identité jusqu’à la suppression de l’accès dès qu’il n’est plus nécessaire. Car l’IAM s’étend également aux clients et aux prestataire externes.
Autre point concernant la mise en œuvre d’une stratégie IAM solide : la combinaison de solutions techniques et de processus d’entreprise. Concernant les processus, il est fortement conseillé (voire impératif 😉) d’établir des politiques claires concernant l’accès des utilisateurs, la gestion des mots de passe et le traitement des données sensibles. Et sur le plan technique, des solutions telles que le single sign-on (SSO) ou l’authentification multifactorielle (MFA) permettent d’optimiser le contrôle d’accès…
L’authentification multifactorielle (MFA)
L’authentification multifactorielle (ou « à multiples facteurs », ou « MFA »), est une autre approche qui gagne en popularité depuis quelques années. Au lieu de se fier à un seul facteur d’authentification (comme un mot de passe seul), la MFA utilise plusieurs facteurs pour vérifier l’identité de l’utilisateur. Ces facteurs peuvent inclure quelque chose que l’utilisateur sait (comme un mot de passe ou une réponse à une question de sécurité), quelque chose que l’utilisateur a (comme un téléphone portable ou une clé de sécurité), et/ou quelque chose que l’utilisateur est (comme une empreinte digitale ou une reconnaissance faciale).
L’utilisation de plusieurs facteurs d’authentification rend évidemment beaucoup plus difficile l’accès à un compte par un cybercriminel. Même si l’attaquant est capable de deviner un mot de passe, il lui sera beaucoup plus difficile de reproduire une empreinte digitale ou de voler une clé de sécurité physique…
Le lien entre MFA et le single sign-on : quelques exemples concrets
Le MFA et le single sign-on (SSO) sont deux technologies qui vont souvent de pair. Le SSO permet à un utilisateur de se connecter une seule fois et d’avoir accès à plusieurs applications ou services sans avoir à se reconnecter… et dans un environnement SSO, le MFA peut être utilisé pour renforcer la sécurité de la session initiale de connexion.
Par exemple, un utilisateur pourrait se connecter à son poste de travail en utilisant une combinaison de mot de passe et de reconnaissance faciale. Une fois connecté, l’utilisateur aurait accès à toutes ses applications sans avoir à se reconnecter. Cela réduit non seulement la contrainte pour l’utilisateur (un vrai critère à prendre en compte !), mais renforce également la sécurité en réduisant le nombre d’occasions pour un attaquant de voler des informations d’identification.
L’importance des nouvelles technologies d’authentification pour l’avenir de la sécurité des accès en entreprise
La sécurité des accès en entreprise est un enjeu majeur pour les organisations de toutes tailles. Avec l’augmentation du travail à distance et de l’utilisation de services cloud, garantir que seuls les utilisateurs autorisés ont accès aux ressources de l’entreprise est devenu un enjeu complexe, mais prioritaire.
Les nouvelles technologies d’authentification, comme le MFA et le SSO, mais également les clés FIDO2 jouent un rôle crucial dans la réponse à ce défi. En combinant plusieurs facteurs d’authentification et en simplifiant le processus de connexion pour les utilisateurs, ces technologies rendent les systèmes plus sécurisés et plus faciles à utiliser.
En conclusion, les mots de passe ont servi leur but, mais il est temps de passer à la prochaine étape de la sécurité informatique ! En utilisant des technologies comme le MFA, le SSO ou FIDO2 il est possible de créer des systèmes qui sont à la fois plus sécurisés et plus faciles à utiliser. L’objectif étant, alors que les menaces à la cybersécurité continuent d’évoluer, de continuer à innover pour rester en avance sur les cyberattaquants… Si vous souhaitez creuser le sujet, cet article d’Ilex International, spécialiste de la gestion des identités et des accès, revient plus en détail sur cette notion de « passwordless » et explique quelles sont les nouvelles méthodes d’authentification renforcée (cliquez ici pour le lire).