Le zéro mot de passe est-il vraiment possible ?

Le débat continue à faire rage : les mots de passe vont-ils vraiment disparaître un jour ? Les mots de passe constituent le mécanisme d’authentification fondamental qui a permis aux utilisateurs d’accéder à leurs applications depuis des décennies. Mais les mots de passe ne sont pas exempts de défauts. Plus de 80 % des fuites de données sont attribuables aux mots de passe faibles, réutilisés ou volés1 et les équipes informatiques consacrent en moyenne 4 heures par semaine2 rien qu’aux problèmes liés aux mots de passe. C’est pourquoi la question reste entière : que peut-on faire pour atténuer le problème des mots de passe ?

Le besoin d’un moyen plus simple et plus sûr d’authentifier les utilisateurs auprès de leurs applications se fait clairement ressentir. La solution évidente pour éliminer le problème du mot de passe consisterait à… éliminer le mot de passe. Mais comment faire ? La solution est l’authentification sans mot de passe.

L’authentification sans mot de passe permet aux utilisateurs de s’authentifier de manière sécurisée auprès de leurs applications sans avoir à saisir de mot de passe. En environnement professionnel, cela signifie que les employés peuvent s’authentifier sans taper de mot de passe, pendant que le SI conserve un contrôle absolu sur chaque connexion.

Le rôle du mot de passe dans le zéro mot de passe

Il existe deux types d’authentification sans mot de passe : avec élimination du mot de passe de l’infrastructure informatique et avec élimination du mot de passe de l’expérience de connexion de l’employé. Bien que les deux soient possibles, je ne vois pas le mot de passe entièrement disparaître des infrastructures informatiques dans un avenir proche. C’est pourquoi j’encourage les organisations à se concentrer sur la fourniture d’une expérience de connexion sans mot de passe. Avec la connexion sans mot de passe, les mots de passe continuent à œuvrer en coulisses, mais les employés ne doivent plus saisir de mot de passe manuellement pour se connecter.

L’authentification sans mot de passe profite à l’entreprise de deux façons, tant du point de vue de la productivité des employés que de la sécurité de l’entreprise. Avec l’authentification sans mot de passe, les employés ne sont plus obligés de saisir manuellement un mot de passe pour chaque application qu’ils utilisent dans le cadre de leur travail. L’employé moyen utilise 36 services dans le cloud au travail3, ce qui fait beaucoup de mots de passe à mémoriser et beaucoup de temps perdu à les taper manuellement. Avec, l’authentification sans mot de passe, les employés se connectent plus rapidement à leur travail, car ils ne sont pas ralentis par la saisie d’un mot de passe à chaque fois qu’ils basculent entre différentes applications, ce qui est monnaie courante ! L’authentification sans mot de passe élimine les frustrations liées aux mots de passe et libère du temps que les employés peuvent consacrer à leurs tâches.

Deuxièmement, les risques liés aux mots de passe sont éliminés. Les employés n’ont plus la possibilité d’utiliser et de réutiliser des mots de passe faciles à mémoriser à l’échelle de plusieurs applications. Ces mots de passe faibles génèrent un risque considérable, car ils sont les plus simples à pirater. 34 % des organisations signalent la perte ou le vol de mots de passe chaque mois2, ce qui montre que de nombreuses organisations sont régulièrement confrontées à des problèmes de sécurité des mots de passe. En outre, malgré l’élimination du mot de passe lors de la connexion des employés, les mots de passe continuent de fonctionner en coulisses, ce qui permet au SI d’imposer des règles plus strictes pour les mots de passe, puisque les employés ne devront plus jamais les saisir manuellement, de sorte que tout le monde y gagne.

Le zéro mot de passe devient possible

Qu’est-ce qui connecte les employés à leur travail si ce ne sont plus les mots de passe ? Parmi les exemples de technologies sans mot de passe, on peut citer la biométrie, les protocoles sécurisés et les intégrations.

Protocoles d’authentification

Les protocoles d’authentification sont un exemple de technologie sans mot de passe. Un protocole fonctionne notamment en gérant la connexion entre un fournisseur d’identité et un fournisseur de services. Lorsqu’un employé est authentifié auprès du fournisseur d’identité, il est également authentifié auprès des fournisseurs de services associés, sans saisir de mot de passe.

Un exemple d’un tel système est l’authentification unique (SSO), qui est généralement bâtie sur le protocole SAML (Security Assertion Markup Language). Avec le SSO, lorsqu’un employé est authentifié auprès de son fournisseur d’identité, le SSO de l’organisation authentifie également l’employé auprès de toutes les applications, ou tous fournisseurs de services, qui lui sont attribués. Ce qui signifie qu’une fois que l’utilisateur est connecté, il ne doit plus saisir de mot de passe pour ses différentes tâches, et il bénéficie donc d’une expérience sans mot de passe.

Les protocoles comme SAML contribuent à renforcer la sécurité d’ensemble, car ils éliminent les mots de passe et offrent une connexion plus sûre que ce que permet un simple mot de passe. Et les employés sont contents puisqu’ils peuvent accéder à toutes leurs tâches sans saisir de mots de passe complémentaires. C’est un plus tant pour le SI que pour les employés.

Fédération

La Fédération relie un fournisseur d’identité à un fournisseur de services, de sorte qu’une fois que l’employé est authentifié auprès du fournisseur d’identité, il est authentifié auprès des fournisseurs de services qui lui sont attribués grâce à cette intégration. Le SI peut ainsi gérer les employés de manière sécurisée tout au long de leur cycle de vie, de l’inscription à la radiation, à l’échelle de plusieurs solutions de gestion des identités et des accès (IAM), le tout depuis une vue unifiée.

Comme les deux technologies IAM sont intégrées, la connexion sécurisée est établie en coulisses, et les employés ne sont donc pas obligés de taper un mot de passe distinct auprès de chacune d’entre elles. Une fois connectés, les employés ont accès aux deux ressources intégrées, et bénéficient ainsi d’une expérience sans mot de passe tout au long de leur journée de travail.

Facteurs biométriques

La biométrie correspond à vos caractéristiques physiques en tant qu’individu. Il peut s’agir par exemple de vos empreintes digitales, de votre visage ou même de votre voix. La biométrie devient un moyen de plus en plus courant d’authentifier les employés auprès de leurs tâches. Cette méthode d’authentification devient si populaire que 70 % des consommateurs souhaitent que l’authentification biométrique soit disponible sur leur lieu de travail4.

Si la biométrie est de plus en plus plébiscitée, c’est principalement parce qu’elle offre une expérience utilisateur simple et transparente, qu’apprécient les employés. S’authentifier du bout du doigt est bien plus facile que de saisir manuellement un mot de passe, et les employés ne veulent pas être ralentis par des mesures de sécurité supplémentaires.

Toutefois, il est essentiel de stocker les données biométriques de manière sécurisée. Je conseille aux organisations d’opter pour des solutions d’authentification biométrique conçues sur un modèle de chiffrement exclusivement en local. Les informations biométriques sont alors stockées sur l’appareil lui-même, et pas dans le cloud. Le chiffrement exclusivement en local permet de garantir la sécurité et la confidentialité des données biométriques. L’authentification biométrique permet de vérifier que les utilisateurs sont bien qui ils prétendent être, tout en fournissant une expérience de connexion sans mot de passe.

Passez au zéro mot de passe

Le passage au zéro mot de passe permet aux organisations de stimuler la productivité de leurs employés, de diminuer les coûts informatiques et de renforcer la sécurité. Toutefois, il faut bien comprendre que les mots de passe restent la méthode d’authentification la plus répandue et qu’ils ne sont pas près de disparaître. C’est pourquoi les organisations doivent associer l’expérience de connexion sans mot de passe pour les employés à la gestion des mots de passe en entreprise pour tous les mots de passe encore utilisés, afin de sécuriser chaque point d’accès tout en offrant une expérience de connexion transparente.

Sources

1 : Étude Verizon 2019 sur les failles de sécurité

2 : Guide de l’identité moderne LastPass pour les PME/PMI

3 : McAfee CASB : MVISION Cloud

4 : Security Magazine, enquête sur les sentiments des consommateurs sur la biométrie