Parmi les solutions émergentes, les passkeys s’imposent comme une méthode d'authentification innovante qui combine sécurité renforcée et expérience utilisateur simplifiée. Cette technologie a le potentiel de transformer profondément la gestion de l'authentification et du contrôle d'accès au sein des organisations, offrant une alternative efficace aux mots de passe traditionnels, souvent perçus comme le maillon faible de la chaîne de sécurité.
Une solution révolutionnant l’authentification sans mot de passe
Conformes à la norme FIDO2, les passkeys éliminent le besoin de mots de passe et constituent une alternative bien plus robuste que les méthodes traditionnelles. Elles s'appuient sur des paires de clés cryptographiques : la clé privée reste protégée sur l'appareil de l'utilisateur, tandis que la clé publique est stockée sur le serveur du service. Par ailleurs, elles sont associées de manière unique au domaine pour lequel elles ont été générées. Ainsi, une clé créée pour le site légitime d'une entreprise ne pourra jamais être utilisée sur un site de phishing, même en cas d'apparence trompeuse. Le système authentificateur bloque automatiquement toute tentative de connexion sur un domaine non autorisé, renforçant la protection des utilisateurs.En comparaison avec les approches classiques de l'authentification multi-facteurs (MFA), les passkeys présentent des avantages considérables. En plus d'offrir une défense accrue contre le phishing, elles réduisent les risques associés aux mots de passe faibles ou réutilisés, ceux-ci n’étant plus nécessaires. Cette méthode simplifie également l'expérience utilisateur grâce à une authentification rapide et intuitive, souvent basée sur des technologies courantes comme la biométrie ou les codes PIN d'appareils. Cette facilité d’adoption contribue à renforcer la fiabilité globale des mécanismes de protection.
Choisir entre sécurité dédiée et flexibilité synchronisée
Lorsqu'elles mettent en œuvre des clés de protection, les entreprises doivent choisir entre deux types principaux : les clés liées à un appareil ou les clés synchronisées. Les premières sont inextricablement liées à un appareil final spécifique et offrent un niveau de sécurité élevé, car le matériel utilisé reste physiquement situé à cet endroit. Les deuxièmes, quant à elles, se synchronisent avec l’ensemble des appareils d’un utilisateur via un « tissu de synchronisation ».Ici, le choix repose largement sur les besoins spécifiques et le contexte d’utilisation. Les clés liées à un appareil sont idéales pour des environnements exigeant une sécurité accrue, tels que les services bancaires en ligne ou les applications professionnelles sensibles. Elles s’avèrent particulièrement adaptées lorsque l’appareil est dédié à un usage individuel, et pour la restriction des accès à d’autres équipements. De surcroît, elles permettent de limiter leur déploiement aux dispositifs appartenant à l’entreprise, ce qui renforce ainsi le contrôle sur leur utilisation.
Les passkeys synchronisées, en revanche, brillent par leur flexibilité. Idéales pour des usages personnels, comme les plateformes de streaming, elles offrent une transition fluide entre plusieurs appareils. Cette souplesse est également précieuse dans le cadre de comptes partagés par plusieurs utilisateurs sur différents terminaux.
Les passkeys liées à un appareil permettent à l'utilisateur de se connecter à plusieurs dispositifs. L'avantage d'utiliser ce type de passkey réside dans le niveau de sécurité renforcé qu'elle offre : les éléments sécurisés sont généralement plus performants que les TPM (Trusted Platform Module), et la surface d'attaque est nettement réduite par rapport à un appareil d'usage général, comme un smartphone ou une tablette.
Difficultés rencontrées lors de la mise en œuvre
Malgré leurs nombreux avantages, l’adoption des passkeys au sein des entreprises soulève également certains défis. L’intégration fluide avec les systèmes existants, tels que l’authentification unique (SSO) et la gestion des identités et des accès (IAM), constitue un facteur déterminant pour la réussite du déploiement. Cette intégration peut s’avérer complexe, notamment avec les systèmes obsolètes ne prenant pas en charge les méthodes d’authentification modernes. Ainsi, l’introduction des passkeys dans une organisation exige une planification rigoureuse et une mise en œuvre soigneusement orchestrée.Il est impératif que les entreprises commencent par évaluer leurs besoins spécifiques en matière de sécurité et leurs processus opérationnels. Ces analyses pourraient nécessiter des ajustements aux workflows en place, notamment en créant de nouvelles procédures pour l’enregistrement des identifiants et la récupération des comptes. Par ailleurs, l’intégration des passkeys doit s’inscrire dans une stratégie globale de sécurité basée sur le principe du Zero Trust. Le choix de la solution appropriée, allant des clés de sécurité matérielles telles que les YubiKeys à l’exploitation des capacités biométriques des smartphones ou des ordinateurs portables, représente un élément crucial
de cette démarche.
Enfin, l'adhésion des employés constitue un facteur tout aussi déterminant. Les entreprises doivent mettre en place des stratégies visant à surmonter les résistances potentielles à l'adoption de cette nouvelle méthode d'authentification. Une communication transparente et des programmes de formation adaptés sont essentiels pour atténuer les doutes et promouvoir les avantages de la technologie. Il est recommandé de commencer par un déploiement pilote avant d’étendre progressivement la mise en œuvre
à l’ensemble de l’organisation.
En somme, l’adoption des passkeys permet aux entreprises de moderniser leur infrastructure de sécurité tout en se protégeant contre le phishing et d'autres formes de cybercriminalité, avec des avantages significatifs en termes de sécurité et de convivialité. Cependant, elles ne suffisent pas à contrer toutes les formes d'ingénierie sociale. Il est donc crucial de compléter leur usage par des initiatives de sensibilisation, des programmes de formations, et des plans de réponse aux incidents. En intégrant les passkeys dans une stratégie de sécurité globale et en s'appuyant sur une planification minutieuse, les entreprises peuvent surmonter les défis d'adoption et tirer parti de cette technologie pour protéger efficacement leurs actifs numériques et leur réputation.
Par Fabrice de Vésian, Sales Manager France chez Yubico
