Le nombre de fois où les employés doivent s’authentifier chaque jour est un indicateur clair de l'impact de la sécurité de l'identité sur leur productivité. En moyenne, selon une étude menée par EMA, les utilisateurs doivent s'authentifier environ huit fois par jour pour accéder aux services informatiques de l'entreprise. Or, chaque étape d’authentification constitue une distraction par rapport à l'exécution de leurs tâches professionnelles, en particulier si celles-ci impliquent des processus chronophages ou complexes. Cumulée, la fréquence moyenne des authentifications entraîne probablement une perte de productivité d'une à deux heures par travailleur et par jour.
Le lieu où les employés accèdent aux services informatiques de l'entreprise semble également avoir un impact sur les fréquences d'authentification. Parmi les répondants à l'enquête qui effectuent la majorité de leurs tâches professionnelles au bureau, on a constaté que les fréquences d'authentification étaient nettement plus élevées. Si, à première vue, cela peut sembler contre-intuitif, c'est le reflet de la relation entre les exigences en matière d'identité et les rôles professionnels.
En effet, les employés qui doivent être physiquement présents au bureau sont plus susceptibles d'être soumis à une réglementation stricte et d'accéder à des applications et des données plus sensibles. Quant aux collaborateurs distants, ils sont plus susceptibles de s'appuyer sur des applications Web et de désactiver les verrouillages d'écran, ce qui réduit les exigences d'authentification et donc la sécurité.
Les outils d’authentification
Les types de ressources matérielles ou logicielles utilisées pour identifier un individu avant d'autoriser l'accès déterminent largement l'efficacité de la sécurité et la qualité de l'expérience des utilisateurs. Encore aujourd’hui, les mots de passe restent la principale forme d'authentification utilisée dans les entreprises. Un tiers des organisations interrogées indiquent utiliser des clés de sécurité, et plus particulièrement les institutions financières, de santé et de production ; soumises à davantage de réglementations en termes de cybersécurité. Les clés de sécurité sont en effet considérées comme des approches d'authentification optimisées, car elles permettent l'accès via une proximité ou une connexion aux appareils.Les technologies de reconnaissance faciale, qui sont maintenant assez courantes sur les appareils mobiles, ne sont utilisées que par environ un tiers des personnes interrogées ; probablement en raison du manque de fiabilité de certaines des solutions disponibles, notamment les difficultés à centrer un visage dans la caméra ou à obtenir une reconnaissance positive en cas de changements de coiffure ou de maquillage, par exemple. Si certains de ces outils sont efficaces, toute mauvaise expérience passée risque de freiner leur adoption et leur utilisation à grande échelle.
La biométrie comportementale offre une autre alternative optimisée aux mots de passe traditionnels en identifiant les utilisateurs sur la base de leurs interactions uniques avec la technologie : la pression qu'ils exercent sur les écrans des appareils mobiles, la vitesse de frappe, ou encore les mouvements de la souris. Des approches plus avancées collecteront de multiples identifiants physiques et cognitifs et utiliseront des technologies d'intelligence artificielle (comme l'apprentissage automatique) pour déterminer la probabilité que les utilisateurs sont bien ceux qu'ils déclarent être. Bien que la technologie soit prometteuse, seules 21 % des entreprises interrogées ont déclaré soutenir des solutions connexes, et seuls 5 % des employés ont admis les utiliser véritablement, car elles sont considérées comme trop coûteuses et difficiles à mettre en œuvre.
MFA contre 2FA
Les premières mises en œuvre des initiatives Zero Trust prévoyaient l'ajout d'un deuxième facteur d'authentification en plus du mot de passe, accompagné de contrôles basés sur des politiques pour réduire les risques de violation d'identité. La majorité des organisations ont répondu à ces nouvelles exigences en introduisant ce qui, à l'époque, était considéré comme les solutions les plus faciles et les moins coûteuses à mettre en œuvre. Les mots de passe à usage unique et les notifications « push » envoyées par email ou SMS sont ainsi les plus courants.Malheureusement, ces approches se sont montrées peu efficaces pour endiguer les cybermenaces, comme en témoigne la hausse continue de cyberattaques réussies malgré leur adoption par les entreprises. De plus, ces processus ont rendu l’authentification chronophage pour les utilisateurs en ajoutant des étapes supplémentaires pour obtenir un accès.
Conscientes des lacunes des anciennes approches Zero Trust, de nombreuses organisations adoptent désormais des technologies MFA modernes pour remplacer le 2FA traditionnel et basique. En effet, la MFA moderne intègre plusieurs processus d'authentification sans mot de passe et optimisés. Cependant, selon l'étude, moins d'un tiers des entreprises ont mis en place des solutions MFA modernes, la majorité d'entre elles s'appuyant encore sur des approches 2FA plus basiques.
Authentification adaptative
L'approche la plus efficace pour optimiser l’accès sans diminuer l'efficacité de la sécurité consiste à modifier dynamiquement les exigences d'accès en fonction des conditions contextuelles et des risques évalués. Parmi les entreprises interrogées, 38 % utilisent aujourd'hui des technologies d'authentification adaptative. Proposées avec une variété de fonctionnalités et de capacités, toutes les solutions connexes ont néanmoins en commun la capacité de recueillir des informations contextuelles détaillées sur les utilisateurs, les dispositifs, les réseaux et d'autres éléments, auxquelles des politiques d'accès prédéfinies peuvent être appliquées.Par exemple, un appareil qui se connecte sur un réseau non sécurisé, tel qu'un réseau
Wi-Fi public, peut se voir accorder un accès limité aux services informatiques ou nécessiter des processus d'authentification plus stricts. Les conditions d'accès changeant constamment
- un dispositif considéré comme sûr à un moment donné peut ne plus l'être plus tard - il est donc important de détecter les conditions en temps réel au moment de l'authentification. La détection va plus loin et continue de surveiller les environnements même après l'authentification, de sorte que l'accès peut être refusé ou limité si l'évolution des conditions le justifie. Les organisations prenant en charge la collecte continue de données contextuelles pour l'authentification adaptative sont ainsi quatre fois moins susceptibles de signaler que les identifiants des utilisateurs avaient été compromis, ou qu'un utilisateur non autorisé avait pu accéder à des applications professionnelles au cours de l'année précédente.
La performance des entreprises sur les marchés concurrentiels d'aujourd'hui dépend fondamentalement de la capacité de leur personnel à accéder et à utiliser efficacement les ressources numériques. Seulement, les processus de gestion des identités et des accès sont la principale cause de perturbation des employés et de dégradation des performances. Ces dernières années, la majorité des organisations ont cherché à faire face aux cybermenaces croissantes en adoptant ce qu'elles percevaient comme les solutions les plus faciles à mettre en œuvre. Cependant, le recours aux mots de passe, ainsi que les solutions d'authentification à second facteur centrées sur les appareils mobiles, n'ont fait que complexifier les accès, inhibant la productivité des travailleurs et réduisant in fine l'efficacité de la sécurité.
Les outils MFA modernes, comme les clés de sécurité physiques, ont prouvé qu'ils optimisent les processus d’authentification, tout en offrant un niveau de sécurité élevé, y compris une résistance au phishing. Les clés de sécurité sont donc devenues un atout majeur pour les entreprises et leur personnel, offrant à la fois une expérience transparente et une faible friction, pour passer à un avenir d'authentification moderne sans
mot de passe.
Par Fabrice de Vesian, Channel Manager chez Yubico