Le déclin des mots de passe
Les mots de passe sont un véritable gâchis. Ils existent depuis toujours, mais ils sont fondamentalement défectueux. Les gens les réutilisent, les oublient et les rendent trop simples. Et les attaquants ? Ils adorent ça. Les attaques par force brute, le credential stuffing, le phishing, ces méthodes existent parce que les mots de passe sont des maillons faibles.
Les équipes de sécurité ne le savent que trop bien. Les services informatiques passent des heures à réinitialiser les mots de passe et à réparer les failles basées sur les identifiants. Pendant ce temps, les utilisateurs sont confrontés au processus épuisant de gestion de dizaines d’identifiants. C’est une perte de temps et d’argent.
En réalité, les mots de passe sont peu pratiques et dangereux. Une enquête de Ping Identity a révélé que 62 % des entreprises australiennes s’inquiètent de l’hameçonnage et 56 % de la compromission des informations d’identification. Ces chiffres sont éloquents : les mots de passe sont un handicap, pas une solution.
Il est temps de passer à autre chose.
L’authentification sans mot de passe comme solution
« Si la plus grande faiblesse d’un système réside dans les mots de passe, la solution est évidente : il faut s’en débarrasser. Entrez dans l’authentification sans mot de passe ».
Au lieu des mots de passe, nous utilisons des éléments beaucoup plus difficiles à voler, la biométrie (empreintes digitales, reconnaissance faciale), l’authentification basée sur les appareils et les clés cryptographiques. Pas de mots de passe, pas de phishing, pas d’attaques par force brute. La sécurité augmente, la complexité diminue.
C’est déjà en train de se mettre en place. Les passkeys, basés sur les normes FIDO2, deviennent la nouvelle norme. Des entreprises comme Apple, Google et Microsoft déploient des systèmes dans lesquels votre appareil lui-même est la clé. Vous vous authentifiez à l’aide de votre empreinte digitale ou de votre visage, et l’appareil se charge du reste en toute sécurité.
Pour les entreprises, cela signifie moins d’appels au service d’assistance, des coûts réduits et une sécurité renforcée. Plus de réinitialisation de mot de passe, plus de remplissage d’informations d’identification, plus de vecteurs d’attaque faciles. C’est simple, sûr et, surtout, inévitable.
Authentification multifactorielle (MFA)
D’aucuns diront : « Nous avons déjà l’authentification multifactorielle (AMF)n’est-ce pas suffisant ? » Oui et non.
L’AMF renforce la sécurité en exigeant plusieurs formes de vérification : quelque chose que vous connaissez (un mot de passe), quelque chose que vous avez (un téléphone ou un jeton) et quelque chose que vous êtes (des données biométriques). Il est ainsi beaucoup plus difficile pour les pirates de s’introduire dans un système. En fait, de nombreuses réglementations, telles que GDPR et PCI-DSS, exigent l’AMF pour l’accès aux données sensibles.
Mais l’AMF comporte toujours des frictions. Si un utilisateur doit saisir un mot de passe, obtenir un code de son téléphone et vérifier avec son empreinte digitale, à chaque fois, cela ralentit tout. Les utilisateurs sont frustrés, et lorsque la sécurité est un obstacle, ils trouvent des raccourcis. C’est alors que les erreurs se produisent.
L’authentification sans mot de passe conserve les meilleurs éléments de l’AMF mais supprime le maillon faible, le mot de passe. Au lieu de vous demander quelque chose que vous connaissez, le système vérifie quelque chose que vous avez (votre appareil) et quelque chose que vous êtes (votre empreinte digitale ou votre visage). C’est l’AMF, mais en toute simplicité.
Expérience de l’utilisateur
« La sécurité doit empêcher les pirates d’entrer et faciliter la vie des utilisateurs légitimes. Et c’est là que l’authentification sans mot de passe brille ».
L’AMF est puissante, mais elle n’est pas toujours conviviale. Le fait de demander plusieurs étapes à chaque fois qu’une personne se connecte crée des frictions. Les gens détestent les frictions. Ils éviteront les mesures de sécurité s’ils ont l’impression qu’elles sont un fardeau. C’est pourquoi la réinitialisation des mots de passe est l’une des demandes d’assistance informatique les plus courantes : les gens oublient, se retrouvent bloqués et ont besoin d’aide.
Les systèmes sans mot de passe inversent l’équation. Au lieu de faire des pieds et des mains, les utilisateurs se connectent à l’aide d’une empreinte digitale, d’un balayage du visage ou d’un dispositif de confiance. C’est plus rapide, plus simple et plus sûr. Lorsque la sécurité est simple, les gens ne la combattent pas, ils l’adoptent.
Une sécurité trop compliquée n’est pas utilisée. Les systèmes sans mot de passe éliminent les obstacles, augmentent la conformité et améliorent la posture de sécurité globale.
L’avenir de l’authentification ne se résume pas à l’arrêt des attaques. Il s’agit de remplacer des systèmes obsolètes par quelque chose qui fonctionne réellement, pour les équipes de sécurité, pour les entreprises et pour les personnes qui les utilisent tous les jours.
Considérations relatives au coût et à la mise en œuvre
Tout système d’authentification doit trouver un équilibre entre la sécurité, le coût et la facilité de mise en œuvre. C’est là que les choses deviennent intéressantes.
Le coût de l’AMF
L’AMF est relativement facile à mettre en œuvre, mais elle s’accompagne de coûts permanents. Les entreprises doivent gérer des jetons matériels, l’authentification par SMSet l’assistance en cas de perte ou de vol d’appareils. Les coûts initiaux peuvent sembler modérés, mais les dépenses cachées, l’assistance informatique, la formation des utilisateurs et la maintenance, s’accumulent au fil du temps. Et n’oublions pas le facteur humain : si un employé perd l’accès à son dispositif d’authentification, la productivité diminue pendant que le service informatique se démène pour résoudre le problème.
Le coût de l’absence de mot de passe
L’authentification sans mot de passe, en particulier les systèmes biométriques et basés sur des dispositifs, nécessite un investissement initial plus important, mais permet de réaliser des économies à long terme. L’élimination des mots de passe signifie moins de réinitialisations de mots de passe, moins de tickets d’assistance informatique et moins de failles de sécurité causées par des informations d’identification insuffisantes.
Un autre avantage ? L’évolutivité. Au fur et à mesure que les entreprises se développent, la gestion de milliers d’utilisateurs avec l’authentification traditionnelle devient un cauchemar logistique. L’authentification sans mot de passe est conçue pour évoluer sans effort, en particulier avec les normes modernes telles que FIDO2 et passkeys, qui s’intègrent à l’infrastructure existante.
Les défis de la mise en œuvre
Bien entendu, aucun système n’est parfait. L’AFM se heurte souvent à des systèmes existants qui n’ont pas été conçus pour la sécurité multifactorielle. Certaines entreprises utilisent encore des logiciels obsolètes qui ne prennent pas en charge les méthodes d’authentification modernes, ce qui oblige les équipes informatiques à trouver des solutions de contournement.
L’authentification sans mot de passe présente ses propres difficultés. Elle nécessite des appareils modernes qui prennent en charge la biométrie ou l’authentification cryptographique. Si les employés utilisent du matériel plus ancien, le déploiement de la sécurité sans mot de passe devient un défi. De plus, dans les secteurs où la rotation des appareils est importante, comme le commerce de détail ou la santé, les transitions entre les appareils nécessitent une planification minutieuse.
Le résultat ? Coûts à court terme contre gains à long terme. L’authentification par mot de passe est peut-être plus facile à vendre à court terme, mais l’authentification sans mot de passe réduit la charge de travail de l’informatique, augmente la sécurité et améliore l’expérience des utilisateurs au fil du temps. Pour les entreprises qui pensent au-delà du prochain trimestre fiscal, la décision est évidente.
La nécessité d’une approche hybride
« La sécurité ne consiste pas à choisir une solution plutôt qu’une autre, mais à trouver le bon équilibre.
Pour de nombreuses entreprises, la meilleure approche n’est pas l’AFM ou l’authentification sans mot de passe, mais les deux. L’essentiel est d’utiliser le bon outil dans la bonne situation.
Quand l’AMF prend tout son sens
L’AMF reste essentielle pour sécuriser les actions à haut risque, les transactions financières, les accès privilégiés aux systèmes et les scénarios de conformité réglementaire. Il s’agit d’une couche de protection importante lorsqu’une vérification supplémentaire est nécessaire.
Par exemple, un PDG qui approuve un virement de plusieurs millions de dollars ne devrait pas pouvoir le faire avec un simple balayage d’empreinte digitale. Un processus d’authentification en plusieurs étapes, peut-être la biométrie, plus une confirmation basée sur un dispositif, plus un jeton matériel, ajoute de la sécurité sans submerger les utilisateurs quotidiens.
L’avenir est à l’absence de mot de passe
Pour tout le reste, les connexions quotidiennes, les systèmes internes, les comptes clients, l’authentification sans mot de passe devrait être la solution par défaut. Une expérience sans friction améliore l’adoption, réduit les problèmes informatiques et minimise les risques de sécurité courants. Elle permet de s’assurer que les utilisateurs ne retombent pas dans de mauvaises habitudes telles que des mots de passe faibles ou la réutilisation d’informations d’identification.
La sécurité évolue et les entreprises doivent en faire autant.
La façon dont nous concevons l’authentification doit changer. Les mots de passe sont dépassés. L’authentification multifonctionnelle est puissante mais parfois maladroite. L’authentification sans mot de passe est l’avenir, mais sa mise en œuvre nécessite une planification.
Les entreprises qui y parviendront seront celles qui élaboreront des stratégies de sécurité pour la prochaine décennie.
L’objectif est d’arrêter les pirates informatiques et de rendre la sécurité si simple, si facile, que les gens l’utilisent réellement. Tel est l’avenir. Et il est déjà là.
Principaux enseignements pour les dirigeants
- Les mots de passe périmés présentent des risques : Les mots de passe traditionnels sont de plus en plus vulnérables en raison des mauvaises pratiques des utilisateurs et des vecteurs d’attaque courants. Les dirigeants doivent reconnaître que le maintien de systèmes existants de mots de passe expose les organisations à des menaces de sécurité.
- Adoptez l’authentification sans mot de passe : Le passage à des méthodes sans mot de passe, telles que la biométrie et la vérification basée sur l’appareil, renforce la sécurité et améliore l’expérience de l’utilisateur. Les décideurs devraient investir dans ces technologies afin de réduire les coûts informatiques et d’atténuer les risques.
- Optimisez l’authentification multifactorielle : Bien que l’authentification multifactorielle ajoute des couches de sécurité nécessaires, sa complexité peut entraver l’adoption par les utilisateurs. Les dirigeants devraient simplifier les processus d’AFM en intégrant des éléments sans mot de passe afin d’équilibrer la sécurité et la facilité d’utilisation.
- Adoptez une stratégie de sécurité hybride : La combinaison de l’authentification sans mot de passe pour les connexions de routine et de l’AMF pour les transactions à haut risque crée un cadre de sécurité flexible et évolutif. Les dirigeants doivent évaluer les besoins de l’organisation pour mettre en œuvre une solution adaptée et rentable qui réponde aux exigences réglementaires.
