Les mots de passe sont un élément clé des systèmes d’authentification depuis des décennies. Cependant, ils sont également une source fréquente de problèmes pour les utilisateurs, en raison de la nécessité de les mémoriser et de les mettre à jour régulièrement, ainsi que des risques de piratage.
Les statistiques montrent que les mots de passe sont souvent impliqués dans les violations de données et les attaques de piratage. En effet, selon une étude de Verizon, les mots de passe sont impliqués dans 81% des violations de données. Cela peut se produire de plusieurs manières, notamment via des attaques de force brute, des attaques par dictionnaire, des attaques de phishing, ou lorsque les utilisateurs réutilisent des mots de passe faibles et compromis sur plusieurs comptes.
Selon nous, une des solutions la plus élégante et sécurisante est l’authentification sans mot de passe appelée passwordless.
Les solutions passwordless permettent d’authentifier les utilisateurs sans leur demander de saisir un mot de passe. Aucun mot de passe n’est demandé pour l’authentification sur le poste de travail ainsi que sur les applications à travers les navigateurs web.
L’authentification passwordless utilise une combinaison d’autres facteurs d’identité, tels que les codes à usage unique, les certificats, les empreintes digitales ou la reconnaissance faciale, pour garantir que seul l’utilisateur autorisé peut accéder à ses comptes. Les mots de passe ne sont plus demandés et sont voués à disparaître.
Cela offre une sécurité accrue par rapport aux mots de passe classiques, de plus, cette technologie peut être intégrée à une stratégie d’authentification à plusieurs facteurs (MFA), ce qui renforce encore la sécurité. Depuis la crise COVID-19, nous voyons que les entreprises ont dû adapter les modes de travail entre télétravail et travail sur site. Pour cela, elles ont dû renforcer les méthodes d’authentification pour donner l’accès sécurisé au système d’information depuis l’extérieur de l’entreprise.
L’utilisation de la technologie passwordless permet également d’unifier les politiques d’authentification, quel que soit l’endroit où se trouve l’utilisateur. Cela simplifie la gestion des politiques d’authentification et élimine la nécessité de gérer des mots de passe.
Retour sur investissement de la technologie passwordless
L’authentification sans mot de passe améliore la productivité des utilisateurs en éliminant les temps d’attente liés à la saisie de mots de passe et en offrant une expérience plus fluide et efficace. La mise en œuvre de cette technologie peut renforcer la réputation de l’entreprise en termes de sécurité des données
En éliminant l’usage des mots de passe, les entreprises peuvent réduire considérablement les coûts de support associés à la gestion de mots de passe tels que :
- les oublis de mots de passe
- les changements de mots de passe,
- les comptes bloqués en raison d’erreurs de mots de passe,
- l’expiration de mots de passe
etc.
De plus, en unifiant les politiques d’authentification à l’intérieur et à l’extérieur de l’entreprise, les entreprises peuvent gagner du temps et simplifier la gestion des politiques d’authentification, ce qui peut également réduire les coûts.
Le déploiement des solutions
Des éditeurs (liste non exhaustive) tels que Ilex International (Français), Transmit Security, Ping Identity, Auth0, etc. proposent déjà des solutions de passwordless pour aider les entreprises à adopter cette nouvelle tendance en matière de sécurité informatique. Néanmoins, le marché est encore jeune et très peu de solutions sont matures, ce n’est qu’une question de temps vu les enjeux. Aussi, très peu d’éditeurs proposent de la solution Cloud ready, ce qui est en opposition avec les besoins de nombreux clients qui plébiscitent des solutions Saas / Cloud.
Nous avons constaté que pour les grandes entreprises ou grands comptes, il est difficile de trouver une solution / éditeur unique pour répondre à tous les usages possibles.
Un grand groupe aura un parc hétérogène de poste de travail entre des postes de travail sous Windows, MacOS, Linux et ses distributions, Chromebook puis différents navigateurs (Chrome, Edge, Firefox, …) sans oublier de centaines d’applications, voire des milliers d’applications utilisant des protocoles d’authentification pour faire du SSO (Signle Sign On) comme Oauth 2.0, OpenID Connect, SAML ect
Le défi sera dans ces environnements riches de pouvoir fédérer tous ces écosystèmes, de notre expérience très peu d’outils arrivent à répondre à 100% à cette cible, il est souvent nécessaire d’imbriquer un outil existant avec un nouvel outil pour apporter toutes les fonctionnalités du passwordless.
Le challenge est l’implémentation et l’imbrication des solutions entre elles sans faire d’usine à gaz par la suite pour les équipes d’exploitation et de support et bien sûr sans impacter les performances des systèmes et la fluidité du geste utilisateur.
La conduite de ce type de projet demande de bien identifier les cas d’usage, le périmètre d’actions et d’accompagner les utilisateurs au changement même si la prise en main est simple. Ce sont malgré tout des projets longs demandant une bonne coordination entre les experts et les fonctionnels et des sponsors au niveau de la DSI.
Bien évidement, il est beaucoup plus simple de déployer une infrastructure passworldess from scratch pour une entreprise n’ayant aucun système d’authentification type SSO ou très peu d’applications et de systèmes d’exploitation.
En conclusion, le passwordless est l’avenir de l’authentification sécurisée, offrant non seulement une protection accrue contre les attaques, améliore également l’expérience utilisateur en éliminant la nécessité de se souvenir d’un mot de passe, ce qui peut être une source de frustration pour les utilisateurs, le retour sur investissement de ce type de solution est direct pour les entreprises. Pour réussir ce type de projet, il ne faut surtout pas l’aborder uniquement comme un projet technique, mais aussi prendre tous les aspects utilisateurs et fonctionnels
Sérieusement, nous sommes d’accord, les mots de passe sont agaçants au quotidien et has-been ! Vive l’authentification sans mot de passe !
Olivier ANDOH
Je suis Olivier, j'ai créé SKillX en octobre 2018. SkillX est une société de conseil en informatique basée sur un management libéré où les collaborateurs peuvent prendre un maximum de décisions en toute responsabilité. L'objectif est que chaque SkillXmate puisse être lui même. Notre raison d'être est "Be yourself and let's build the future." Au delà delà sphère professionnelle je suis passionné de basket-ball depuis l'âge de 8 ans et depuis quelques années je me suis mis à la course à pieds et j'aime découvrir de nouveaux sports.
