La sécurité des entreprises peut-elle se passer de mot de passe d'ici 2025 ?

Frederik Mennes,

À une époque où la numérisation et le travail à distance sont devenus la norme, les organisations du monde entier sont confrontées à un certain nombre de problèmes liés à la dispersion de la main-d'œuvre. La plus urgente : la cybersécurité.

L'état actuel de la sécurité des données devrait sonner l'alarme : 74 % de toutes les violations de données comportent désormais un élément d'erreur humaine et coûtent en moyenne 4,5 millions de dollars dans le monde. L'hygiène de base des mots de passe n'étant toujours pas au point, il est clair que le monde ne s'est pas adapté à la sécurité à l'ère du travail à distance.

La dispersion de la main-d'œuvre, associée à la numérisation rapide des opérations commerciales, exige une nouvelle réflexion de la part des RSSI. Pour que la collaboration à distance entre les employés reste sûre, le secteur a besoin d'une forme d'authentification plus fiable qui élimine les mots de passe traditionnels pour vérifier les utilisateurs. C'est la raison pour laquelle les experts prévoient que plus de la moitié de la main-d'œuvre et plus de 20 % des transactions d'authentification des clients se feront sans mot de passe d'ici à 2025. Il s'agit d'une augmentation significative par rapport à moins de 1 sur 10 aujourd'hui.

Le paysage actuel des menaces et le passage à l'authentification sans mot de passe

Aujourd'hui, les organisations sont confrontées à un éventail de problèmes de sécurité plus menaçant que jamais, et le RSSI moyen doit faire face à une pression énorme pour protéger l'entreprise. Par exemple, les attaques de phishing restent l'une des méthodes les plus courantes et les plus persistantes d'ingénierie sociale et de prise de contrôle de comptes à l'échelle mondiale, posant des risques importants même pour des géants de la technologie tels que Facebook et Twitter.

En ce qui concerne les attaques par hameçonnage - qui incitent les gens à cliquer sur des liens malveillants pour fournir des informations confidentielles à des criminels - il est devenu difficile de se fier uniquement aux logiciels de sécurité de la messagerie électronique pour la prévention. Il y aura toujours des faux négatifs, ce qui permet aux cybercriminels de contourner les mesures de prévention.

L'authentification traditionnelle, comme les mots de passe, n'offre plus de protection efficace contre les menaces actuelles. Dans le même temps, des produits plus sûrs tels que les signatures numériques combinées à des certificats de clé publique dans une infrastructure de clé publique (PKI) posent souvent des problèmes de mise en œuvre ou d'utilisation. Dans ce contexte, l'authentification sans mot de passe apparaît comme une alternative viable, offrant une défense contre l'évolution des menaces combinée à une plus grande facilité d'utilisation.

Progrès des méthodes d'authentification

Les méthodes d'authentification sans mot de passe ont la capacité d'atténuer les risques de sécurité en éliminant les vulnérabilités associées aux informations d'identification basées sur un mot de passe. En effet, les produits sans mot de passe ne reposent pas sur des mots de passe statiques. Au contraire, ils génèrent des codes d'authentification dynamiques qui ont une durée de vie limitée et ne peuvent être utilisés qu'une seule fois, ou qui sont basés sur des caractéristiques biométriques humaines uniques, telles que les empreintes digitales.

De plus, les méthodes d'authentification sans mot de passe les plus puissantes offrent une résistance au phishing, ce qui permet de se prémunir efficacement contre les attaques de phishing et les menaces liées au vol d'informations d'identification. Cela promet de réduire le risque de brèches et d'accès non autorisé. Les méthodes d'authentification sans mot de passe basées sur les normes de l'alliance FIDO, une alliance industrielle mondiale regroupant les principaux fournisseurs de technologies d'authentification, constituent un excellent exemple de méthodes d'authentification sans mot de passe résistantes à l'hameçonnage.

Ces méthodes d'authentification offrent un niveau de sécurité supplémentaire et s'adaptent aux menaces émergentes, tout en répondant aux exigences réglementaires et en réduisant les difficultés d'authentification pour les utilisateurs. Par conséquent, elles améliorent l'expérience globale de l'utilisateur et favorisent un environnement plus sûr pour les opérations commerciales et les systèmes critiques qui stockent des données sensibles. Dans certains pays, comme les États-Unis et l'Australie, elles contribuent également à la mise en conformité, en veillant à ce que les organisations gardent une longueur d'avance sur l'évolution des réglementations en matière de cybersécurité.

Ces progrès en matière d'authentification sont essentiels pour mettre en place une politique de travail à distance sûre et flexible. Elles permettent aux entreprises de récolter les avantages d'une main-d'œuvre dispersée, tout en permettant aux RSSI de protéger leur organisation sans compromettre la continuité des activités ou la protection des données.

Il est important pour un RSSI qui envisage d'adopter de tels systèmes de s'assurer que le produit sans mot de passe mis en œuvre respecte les réglementations en matière de confidentialité des données, telles que le GDPR ou l'HIPAA, en particulier s'il est basé sur la biométrie, comme les scans d'empreintes digitales ou de visages. Le non-respect de ces règles pourrait entraîner des conséquences juridiques, des pénalités, une réputation ternie et une perte de confiance de la part des utilisateurs finaux. Désormais, les méthodes sans mot de passe basées sur la biométrie peuvent s'appuyer sur les systèmes d'authentification biométrique présents dans les smartphones actuels, tels que Apple Face ID et Samsung Face Recognition. Ces systèmes d'authentification biométrique fonctionnent entièrement côté client, évitant ainsi le stockage central des données biométriques.

Enfin, il est important d'envisager la mise en place de programmes complets de formation des utilisateurs afin d'assurer une transition en douceur et une utilisation optimale du système. L'élaboration d'un plan d'urgence prévoyant d'autres méthodes d'authentification est également essentielle pour se prémunir contre les défaillances du système et garantir un fonctionnement continu.

L'authentification sans mot de passe a progressé dans la réduction du risque de violation, permettant aux RSSI de construire des systèmes adaptables et prêts pour l'avenir pour leurs organisations. Les systèmes d'authentification sans mot de passe résistants à l'hameçonnage, tels que ceux basés sur les normes FIDO, peuvent également éradiquer la menace de l'hameçonnage.

Avec de tels produits, ils peuvent protéger les données et les ressources de l'entreprise, ainsi que l'ensemble du personnel, tout en permettant à ce dernier d'être flexible sans compromettre la sécurité. Cela peut garantir un environnement sûr et convivial pour les effectifs dispersés en 2024 - et bien au-delà.

Cet article de Frederick Mennes a été publié pour la première fois par SC Media le 22 février 2024.

Migrate to Passwordless Authentication to Enhance Security and Optimize UX
Analyst report

Migrate to Passwordless Authentication to Enhance Security and Optimize UX

According to Gartner, “IAM leaders should migrate to passwordless methods wherever they can, and as soon as they can, to enhance security and optimize UX.” 

Learn more

Frederik dirige le Security Competence Center de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie des technologies d'authentification, de gestion des identités, de réglementation et de sécurité pour les applications cloud et mobiles.