Bien que le secteur des technologies soit en constante évolution, les mots de passe, créés il y a plusieurs décennies, restent la principale méthode de connexion. Seulement, ce facteur d’authentification est loin d’être parfait face à la sophistication des cyberattaques, d’autant plus que de nombreux utilisateurs ne créent pas des mots de passe forts et ont recours aux mêmes pour plusieurs comptes.
D'après une enquête de Statistica, 21 % des attaques de ransomware signalées en 2020 par des fournisseurs de services managés, étaient attribuées à des mots de passe faibles et la gestion des accès. Pour se protéger des compromissions inhérentes, il est nécessaire que les entreprises évoluent, changent leurs systèmes et adoptent ainsi des stratégies sans mots de passe, que ce soit pour se connecter à un ordinateur, des services en ligne ou bien des applications.
Considérer une stratégie sans mot de passe est devenu crucial
L’authentification par mot de passe est vulnérable aux attaques de phishing et de type « Man-in-the-Middle », qui visent à voler des identifiants pour accéder à des données sensibles. De plus, elle est susceptible d’engendrer de multiples répercussions, en termes de coûts financiers, de mesures punitives liées à un manque de conformité, de perte de clients, ou encore de réputation ternie. Aussi, les mots de passe ne garantissent pas l’objectif intrinsèque de l’authentification, à savoir le fait de vérifier l’identité des collaborateurs. En effet, ce n’est pas parce que quelqu’un connaît un mot de passe qu’il est la personne qu’il prétend être. Pour améliorer la sécurité, les entreprises ont donc besoin d'un meilleur moyen d'identifier les employés, avec certitude et simplicité.
Dans cet objectif, les solutions « passwordless » offre aux utilisateurs la possibilité de s’authentifier d’une manière unique, à l’aide par exemple d’un token matériel sécurisé - un objet que l'utilisateur possède et qui vérifie son identité - ou encore de facteurs biométriques, ce qui réduit le cyber-risque lié au facteur humain. Dans ce cas de figure, les identifiants de l'utilisateur ne sont pas stockés dans le système, comme le serait un mot de passe, ce qui confère aux dispositifs sans mot de passe leur avantage en matière de sécurité. Cette méthode de connexion est aussi plus sûre et pratique que les mots de passe à usage unique (OTP), qui peuvent être interceptés par des cybercriminels.
La suppression des mots de passe permet également une amélioration de l’expérience utilisateur. Cumuler des identifiants différents pour les comptes utilisés quotidiennement devient vite contraignant, et l’expérience de connexion peut devenir stressante et fastidieuse si un mot de passe est erroné ou oublié. La saisie répétée des codes d’un appareil à un autre fait perdre du temps et est source d’erreurs. De plus, la réinitialisation, la mémorisation et la modification sont des processus qui, dans une certaine mesure, poussent les utilisateurs à définir les mêmes identifiants sur plusieurs comptes, personnels comme professionnels, mettant alors en danger les données critiques liées à leur activité professionnelle ; une problématique écartée de facto dans le cadre d’une approche « passwordless ».
Les clés de sécurité, solution dans le cadre d’une stratégie globale
Les entreprises ont aujourd’hui accès à une multitude d’outils sans mot de passe disponibles sur le marché. Pour mieux s’y retrouver, elles doivent clairement définir leurs besoins, en termes de rapport risque/prix, d’accompagnement technique mais aussi en fonction des profils qui utiliseront la solution choisie. La question de la compatibilité, à la fois sur site et à distance est également primordial, d’autant plus depuis l’accélération du télétravail depuis le début de la pandémie.
Dans cette quête du sans mot de passe, les clés de sécurité représentent aujourd’hui un moyen efficace de se protéger des cybermenaces. Elles sont en effet extrêmement fiables car elles ne peuvent être piratées à distance, la prise en main physique étant nécessaire. En outre, une seule clé suffit pour accéder à des centaines de sites. Aucune information n’est partagée entre les services, ce qui permet également de limiter les risques de phishing ou de de type « Man-in-the-Middle ». Toutefois, pour en tirer le meilleur parti, il est important d’appréhender leur développement dans le cadre d’une approche globale.
La transition vers une stratégie sans mot de passe n’est en effet pas qu’une simple manœuvre informatique. Elle doit en effet prendre en compte tous les rouages de l’entreprise. Une communication claire des objectifs et de la valeur ajoutée des nouveaux processus d’authentification auprès des employés est donc primordial ; car le « passwordless » peut représenter un changement important dans la culture et le fonctionnement de l’organisation. Si le déploiement est orchestré par un seul service, il risque d'échouer dès qu'il devra être communiqué aux utilisateurs, au service des ressources humaines et à la direction. La réussite du projet repose notamment sur l’implication de toutes les parties prenantes, dès le début du processus, afin de maximiser l'adoption par les utilisateurs, ce qui, en fin de compte, améliore la sécurité de l'organisation dans son ensemble.
Dans le cadre d’une stratégie sans mot de passe, la phase pilote est cruciale mais est parfois négligée lorsque les projets sont urgents. Pourtant, cette étape permet de déterminer les orientations à prendre, et d’évaluer les retours des premiers utilisateurs pour assurer un déploiement optimal. Cela permet également de vérifier que la clé de sécurité sélectionnée fonctionne avec les systèmes en place, les différents cas d’utilisations et qu’elle répond aux besoins des utilisateurs. La phase pilote permet également d’identifier les profils les plus vulnérables face aux cyberattaques, tels que les services RH ou financier, et donc d’établir un ordre de déploiement du projet, en fonction du cyber-risque. Enfin, elle fournit un environnement de test qui indique la connectivité entre les systèmes existants et la technologie d’authentification ; un enjeu majeur dans la réussite du projet.
Alors que les compromissions liées à la vulnérabilité des mots de passe ne cessent de se multiplier, il devient nécessaire pour les entreprises de s’en affranchir et d’adopter une authentification forte « passwordless ». Dans cette optique, les clés de sécurité physique apparaissent comme l’une des solutions les plus efficaces. Définir une stratégie de déploiement précise, éclairée et qui s’intègre dans une politique globale est cependant essentiel pour assure une adoption par tous les utilisateurs. Alors, les organisations pourront migrer vers une approche passwordless optimale, qui les protègera contre les cybermenaces.
Par Laurent Nezot, Sales Director France chez Yubico