Les enjeux de la cybersécurité poussent désormais la plupart des entreprises à opter pour la double authentification en faisant appel à des éditeurs de logiciels de gestion des identités et des accès.
Quelle est la différence entre l’authentification simple et l’authentification forte ?
L’authentification simple permet à un utilisateur de se connecter sur un espace personnel en apportant la preuve de son identité en utilisant ce que l’on appelle un facteur d’authentification. La plupart du temps, ce facteur prend la forme d’un code personnel. Le degré de confiance à accorder à ce système d’authentification n’est que modéré, dans la mesure où ce facteur, s’il venait à être connu de quelqu’un d’autre que soi ou s’il venait à être dérobé, permettrait à quiconque de s’authentifier en se faisant passer pour l’utilisateur.
L’authentification complexe permet à l’utilisateur de prouver qu’il s’agit bien de lui en utilisant de multiples facteurs d’authentification. Il peut s’agir d’un code suivi d’une empreinte digitale, d’un code suivi d’une reconnaissance faciale, ou encore d’un code suivi d’un autre code envoyé par l’organisme auprès duquel on s’authentifie.
Cumuler plusieurs facteurs d’authentification permet de limiter les risques d’usurpation d’identité, comme vous pourrez le voir dans ce dossier complet sur l’authentification forte.
Quelles sont les différentes manières d’apporter la preuve de son identité ?
À l’heure actuelle, il existe différents moyens de prouver son identité. D’abord, il y a les facteurs d’authentification classique qui utilisent la connaissance. C’est ce que vous faites tous les jours en vous connectant à n’importe quel réseau social, à votre téléphone ou pour accéder au bureau de votre ordinateur. Ensuite, il peut s’agir de ce que certains appellent le facteur de « propriété ». C’est le cas de certains réseaux sociaux ou de certains organismes de crédit qui demandent une carte d’identité. Enfin, il existe les facteurs d’authentification qui n’appartiennent qu’à nous. C’est ce que l’on appelle les facteurs d’inhérence. Par exemple, certaines banques permettent à leurs clients d’utiliser la double authentification avec leur appli mobile en utilisant également la reconnaissance faciale ou digitale de leur smartphone.
Combien faut-il de facteurs d’authentification pour un maximum de sécurité ?
Dans un système d’authentification forte, il est indispensable de cumuler au moins deux des trois facteurs que nous avons évoqués dans le précédent paragraphe. Par exemple, cela peut être deux codes différents, un code et une empreinte digitale, un code et une empreinte faciale…
Quels sont les avantages de l’authentification haute pour l’utilisateur ?
Dans la plupart des cas d’usurpation d’identité ou de piratage informatique chez les utilisateurs sont dus à un manque de sécurité au niveau de l’authentification. Combien d’entre eux utilisent un mot de passe avec une suite de chiffres ou avec leurs noms et leurs prénoms pour toutes leurs authentifications. Aujourd’hui, malgré des efforts de sophistication des systèmes d’authentification simple et notamment l’exigence de mots de passe de plus en plus complexes avec différents types de caractères, des majuscules, des chiffres… ce système n’est pas infaillible et la double authentification reste une meilleure garantie de sécurité informatique, aussi bien pour les utilisateurs que pour les entreprises, comme nous allons le voir.
Quels sont les avantages de l’authentification haute pour les entreprises ?
Offrir de la sécurité à ses employés comme à ses clients est devenu un gage de confiance pour les entreprises. Aujourd’hui, on s’aperçoit que les risques d’usurpation d’identité et de piratage de données pèsent autant sur l’entreprise que sur les clients ou les utilisateurs. Finalement, la double authentification vient autant protéger les informations de l’entreprise que les données personnelles des clients et des utilisateurs. C’est le cas notamment dans le secteur de la banque où tous les clients accordent beaucoup d’importance à la sécurité pour la gestion de leurs comptes en ligne tout comme à la sécurité des opérations de paiement en ligne face à la recrudescence des vols des utilisations frauduleuses de données bancaires. Au-delà de la maitrise de la sécurité, les logiciels de gestion des identités et des accès permettent aussi aux grandes et moyennes entreprises d’améliorer l’expérience utilisateur, d’augmenter leur ROI et de se mettre en conformité avec la règlementation européenne et française.
Dans quels secteurs d’activité utilise-t-on le plus l’authentification forte ?
À l’origine, les secteurs qui avaient le plus de besoins en matière de sécurité informatique pour la connexion des utilisateurs, c’était les secteurs de la banque, de la finance ou encore les grandes entreprises qui avaient besoin de protéger les informations sensibles. Aujourd’hui d’ailleurs, force est de constater que toutes les banques sont passées à l’authentification forte, aussi bien pour les connexions aux espaces personnels des clients que pour les paiements par CB. Les grandes plateformes de paiement en ligne sont également passées à la double authentification en ligne.
Les besoins des entreprises en matière d’authentification forte en interne
À l’heure de la mobilité et du télétravail, de plus en plus d’entreprises utilisent des logiciels de gestion intégrés et des outils de travail SaaS (Software as a Service). Ce sont des solutions informatiques qui permettent de se connecter au système central d’information d’une entreprise et d’utiliser un ensemble de fonctionnalités dans le cadre de son activité professionnelle. Pour cela, chaque utilisateur dispose de son espace personnel auquel il peut se connecter à tout moment et depuis n’importe quel appareil ou depuis un parc informatique dédié (ordinateurs portables, tablettes ou smartphones de travail). Ce nouveau type d’organisation crée des facteurs de risques supplémentaires. Il est fortement conseillé d’utiliser un double système d’authentification.
Les enjeux de l’authentification adaptative
Avez-vous déjà remarqué que lorsque vous vous connectez à un compte Google ou à certains comptes de réseaux sociaux depuis un appareil que vous n’avez pas l’habitude d’utiliser, vous recevez instantanément un mail vous indiquant qu’une connexion non habituelle venait d’être tentée. Ce mail vous invite à faire un signalement si cette tentative n’est pas de votre fait. Il s’agit là des prémices d’une authentification adaptative.
Aujourd’hui, la plupart des éditeurs de logiciels de gestion des identités et des accès (IAM pour Identity et accès management) travaillent de plus en plus sur cette notion d’authentification adaptative pour proposer des solutions encore plus perfectionnées à leurs clients. Au-delà de l’empreinte de l’appareil utilisé pour la connexion que nous avons évoqué, ces outils peuvent détecter des anomalies en fonction des plages horaires de connexion habituelles de l’utilisateur, de la durée, du lieu de connexion, de la tentative de connexion à certaines applications sensibles ou encore de la connexion pendant les jours de congés de l’utilisateur.
