L’Identity and Access Management (IAM) est devenu un élément central pour les entreprises cherchant à sécuriser leurs systèmes d’information et à protéger les données sensibles. Avec l’augmentation des cybermenaces et les exigences de conformité toujours plus strictes, il est crucial de gérer efficacement les identités et les accès pour réduire les risques et améliorer la sécurité globale.
D’après l’étude de Verizon en 2023, près de 50% des brèches dans les systèmes d’informations ont pour point de départ l’utilisation d’informations d’identification volées.
Une des pistes étudiées pour accroître la sécurité d’accès au SI est la mise en place d’une authentification sans mot de passe, plus communément appelée « Passwordless ».
Le passwordless se définit par une technique qui consiste à s’affranchir totalement des mots de passe classiques pour l’ensemble des comptes en les remplaçant par des technologies plus fiables ou plus performantes.
Le passwordless fonctionne à travers plusieurs technologies :
Le passwordless se définit par un système de gestion d'accès qui présente plusieurs avantages notables, comme l'amélioration de la sécurité et de l'expérience utilisateur. Grâce à cette suppression de mots de passe, les risques d'attaques par phishing sont grandement réduits, ainsi que les failles liées aux mots de passe faibles et surutilisés.
Les hackers ne peuvent plus deviner ou voler un mot de passe qui n'existe pas, rendant ainsi les attaques par force brute ou par hameçonnage beaucoup moins efficaces. De plus, certaines méthodes, comme l'authentification biométrique, sont intrinsèquement difficiles à falsifier. Par exemple, les empreintes digitales et la reconnaissance faciale utilisent des caractéristiques uniques et difficiles à reproduire.
Avec le passwordless, l'utilisateur n'a plus besoin de se souvenir d'un mot de passe complexe ou de devoir en changer régulièrement. Son accès s'en trouvera fluidifié, permettant une adhésion plus forte aux processus de sécurité.
Les méthodes passwordless simplifient l'accès aux services en ligne, en offrant une expérience utilisateur fluide et sans friction. Les utilisateurs peuvent se connecter rapidement et facilement, sans avoir à se soucier de la gestion des mots de passe. Par exemple, un utilisateur peut simplement utiliser son empreinte digitale ou un lien de connexion envoyé par e-mail pour accéder à son compte.
Un des avantages du passwordless qui peut exister, même s’il est moins évident, est la réduction des coûts d’helpdesk. D’après une étude de Gartner entre 20 et 50% de tous les appels helpdesk concernent les réinitialisations de mots de passe. En supprimant ces derniers, il serait logique de réduire de manière conséquente le nombre de tickets arrivant chaque jour.
Il faut toutefois se dire que cette baisse voit aussi arriver une hausse de demande par rapport aux autres facteurs d’authentifications et qu’il devient de plus en plus commun d’avoir en place un système de réinitialisation de mots de passe automatique en self-service. Cet avantage est donc assez contextuel et ne doit pas être la source majeure d’une transition vers ce système.
Avant de lancer la transition vers la méthode d’authentification passwordless, il est requis de mettre en place une stratégie solide et de réaliser une étude approfondie du SI en place. Cela nécessitera un catalogue à jour de tous les logiciels utilisés pour savoir s’ils sont compatibles avec les protocoles de modern authentication.
De plus en plus de logiciels sont compatibles et peuvent déléguer l’authentification à des systèmes pouvant faire du passwordless mais il faut s’assurer qu’il n’y ait pas de logiciels legacy qui ne pourront pas supporter la non-présence d’un mot de passe.
Un bon nombre de logiciels IAM permettent de mettre en place une gestion des authentifications Passwordless et il peut être intéressant de consulter ceux qui peuvent déjà être en place pour voir les solutions qu’ils offrent.
Pour commencer votre étude, vous pouvez répondre à ces points :
Une approche intéressante peut être de commencer à mettre en place une stratégie passwordless pour les administrateurs sur certains comptes à faibles privilèges, puis d’intégrer plus tard des populations qui pourraient avoir plus de réticences à adhérer aux nouvelles méthodes d’authentification.
À lire aussi : IAM : les questions à se poser pour sa stratégie cyber
À la différence des mots de passe qui demandent peu d'investissements pour être utilisables, le passwordless nécessite de mettre en place de nouveaux moyens d'authentification. Par exemple, une clé physique, bien que très robuste et facile d'utilisation, peut représenter un coût important en fonction de la taille de l'organisation.
De plus, une clé physique est facilement perdable et nécessite la mise en place d'un nouveau processus lors de l'arrivée d'un nouveau collaborateur. Le support technique peut également prendre du temps en cas de blocage, et le dépannage est plus complexe. Il est donc essentiel de former les utilisateurs et les administrateurs pour garantir une transition réussie.
Pour prendre en charge des solutions de biométrie ou de lecture de badge, une mise à niveau du parc informatique peut être nécessaire. Cela peut inclure l'ajout de nouveaux dispositifs et logiciels capables de traiter les données biométriques, ce qui implique des investissements supplémentaires.
Les utilisateurs peuvent être réticents à l'adoption du passwordless pour plusieurs raisons. Certains peuvent être réticents au changement et préférer les méthodes traditionnelles. D'autres peuvent ne pas vouloir partager leurs informations biométriques ou utiliser un téléphone personnel pour l'authentification. Enfin, l'utilisation d'une clé physique, qui doit être surveillée et transportée, peut également représenter un obstacle pour certains utilisateurs.
En somme, bien que la gestion d'accès sans mot de passe offre de nombreux avantages en termes de sécurité et de simplification des processus d'authentification, elle présente également des défis et des inconvénients qui doivent être soigneusement évalués et gérés.
Le mieux est d’intégrer progressivement des solutions passwordless en parallèle avec les mots de passe pour faciliter l’adoption utilisateur et éviter de se lancer dans des solutions trop coûteuses. L'introduction progressive permet aux utilisateurs de se familiariser avec les nouvelles méthodes sans être confrontés à un changement radical, ce qui peut augmenter la résistance.
Par exemple, une approche graduelle pourrait commencer par implémenter des méthodes passwordless pour des tâches de faible risque, telles que l'accès à des applications internes ou des portails de services. Cela donne aux utilisateurs l'occasion de s'habituer aux nouvelles technologies tout en minimisant les perturbations potentielles.
Parallèlement, il serait prudent de déployer une solution complète et robuste sur des groupes de population restreints et à risque élevé, tels que les employés ayant accès à des données sensibles ou à des systèmes critiques. En ciblant ces groupes spécifiques, les entreprises peuvent maximiser la sécurité de leurs actifs les plus précieux avec un investissement initial relativement modeste. Par exemple, les départements financiers, les équipes de recherche et développement, et les administrateurs système pourraient bénéficier en priorité de l'authentification passwordless.
En procédant ainsi, les entreprises pourront évaluer l'efficacité et la fiabilité des solutions passwordless dans des contextes variés et ajuster leur stratégie en conséquence. Cette approche réduit également les risques financiers liés à une mise en œuvre à grande échelle dès le départ, offrant un retour sur investissement plus mesuré et mieux contrôlé.
Articles similaires
Les cybermenaces évoluent et touchent autant les particuliers que les entreprises. Apprenez à reconnaître les attaques et adoptez les bonnes...
La conteneurisation est devenue une pierre angulaire de la modernisation des applications dans le monde de l’informatique. Cette technologie permet...
Azure et Microsoft 365 : la MFA devient obligatoire Microsoft rend obligatoire l’authentification multifacteur pour ses portails d’administration Azure et...