Authentification forte : de quoi s’agit-il ?
L’authentification forte, ou multifacteurs, consiste à combiner plusieurs facteurs d’identification pour offrir une sécurisation accrue des connexions.
Prenant autrefois la forme de jetons (hard tokens), des codes à usage unique relativement contraignants, l’authentification a dû se renouveler avec l’explosion des modes d’accès — notamment mobiles et via le Cloud — à la donnée.
Les facteurs d’authentification sont désormais de natures très variées : de l’ordre de la connaissance (mot de passe, code, question personnelle), de la propriété (token, certificat…) ou du facteur physique (empreinte digitale, rétinienne, forme du visage…), ceux-ci se combinent pour instaurer une identification complexe et freiner les usurpations d’identité.
Plus puissante que l’authentification simple (un seul facteur) ou l’authentification unique (un accès unique à plusieurs applications), l’authentification forte constitue un rempart puissant contre la cybercriminalité.
Recommandée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), elle vise aussi à mieux protéger des systèmes d’information devenus centraux pour les entreprises, tout en se faisant discrète au sein de l’expérience utilisateur.
Protéger les données d’entreprise… et leur réputation
L’authentification forte est toujours plus nécessaire dans un contexte de cybermenaces en recrudescence. Celles-ci visent désormais tous les secteurs. Si les organismes financiers et l’e-commerce sont tout particulièrement sensibles à la problématique, la cybercriminalité n’épargne pas les autres activités, allant jusqu’à toucher les établissements de santé et l’enseignement.
Plusieurs habitudes récentes créent des failles de sécurité, souvent insuffisamment comblées par les entreprises :
- Des usages qui changent, devenant plus mobiles et donc moins sécurisés
- Des bonnes pratiques de connexion souvent méconnues ou mal appliquées (niveau de complexité et diversification du mot de passe, notamment)
- Des rôles et habilitations mal maîtrisés au fil du cycle de vie des salariés dans l’entreprise
- Des partages de fichiers de plus en plus fréquents, couverts par des protocoles trop peu rigoureux
L’enjeu est pourtant crucial pour les entreprises : du niveau de sécurité mis en place dépend en effet la confiance entre les parties prenantes. En cela, l’authentification forte est intimement liée à la notion de réputation digitale : la qualité de la protection est notamment un signe de fiabilité pour l’entreprise, et une preuve d’engagement envers ses clients.
Mettre en œuvre l’authentification forte concrètement
L’authentification forte peut être déployée sous plusieurs formes au sein une même entreprise. Celles-ci dépendront des métiers, de la sensibilité des données et des moyens technologiques à disposition.
On peut distinguer plusieurs formes d’authentification forte :
- L’authentification à 2 facteurs ou multifacteurs (combinant deux paramètres ou davantage)
- Le WebAuthn, qui s’appuie sur un système de clés asymétriques (chaque partie dispose alors d’une paire de clés de chiffrement dont l’échange permet d’accéder à la donnée)
- Le FIDO – U2F, une norme qui implique l’utilisation d’un appareil connecté par USB ou NFC
De nouvelles formes d’authentification se développent en permanence, gagnant en subtilité pour déjouer les attaques en ligne. A titre d’exemple, les modes d’authentification adaptative ou comportementale évaluent le comportement des utilisateurs en ligne (horaire, durée, lieu de connexion…) et adaptent le niveau de sécurité à celui-ci.
La biométrie et l’intelligence artificielle dans l’authentification forte permettent d’adapter les mesures de sécurité aux nouveaux usages. Plus intuitive et immédiate, l’authentification prend place dans les parcours des utilisateurs, quelles que soient leurs habitudes.
La dualité entre expérience utilisateur et sécurité
L’authentification forte se heurte fréquemment à l’écueil de l’expérience utilisateur : celle-ci se doit d’être toujours plus fluide et efficace, et de ne nuire ni à l’efficacité des collaborateurs, ni à leur ressenti. Il en va de l’utilisation de la solution, et donc de la sécurité des accès.
C’est pourquoi la démarche d’authentification forte fait fréquemment partie de solutions telles que l’IAM (Identity and Access Management) ou Gestion des Identités et des Accès. Ces logiciels de gestion des utilisateurs, qui emploient des mesures d’identification rigoureuses, favorisent la sécurité et rendent plus cohérente la consultation de données dans l’entreprise.
Dans ce contexte, l’authentification forte permet de :
- Sécuriser les accès grâce à plusieurs facteurs
- Moduler le niveau de sécurité en fonction du besoin et des utilisateurs
- Gérer les rôles et habilitations, de l’attribution des ressources au cycle de vie de ces utilisateurs dans l’entreprise
Pour assurer une sécurisation à 360°, l’authentification forte se combine alors avec des solutions de Single Sign-On (SSO) ou de réinitialisation de mot de passe en self-service. L’ensemble de ces fonctionnalités facilite le parcours des utilisateurs et limite les efforts humains inutiles, tout en offrant une protection renforcée.
L’emploi de solutions plus intuitives permet à la fois de protéger les données métiers en fonction de leur sensibilité, mais aussi d’offrir aux utilisateurs un accès immédiat et depuis n’importe quel lieu aux ressources de leur choix.
Ainsi, l’authentification forte devient un atout pour l’entreprise et ses collaborateurs, auxquels elle offre une expérience de navigation fluide. Si l’opération nécessite une vraie réflexion selon le secteur d’activité et la sensibilité des applications, elle est désormais impérative pour conjuguer flux de données et sérénité.
