Passwordless et (in)sécurité : un guide d’entraide pour les responsables de l’informatique

Malgré leur omniprésence, les mots de passe sont devenus, au mieux, un anachronisme et, au pire, un trou béant dans la muraille de sécurité pour les organisations comme pour les individus. En bref, les mots de passe sont mauvais. Ils représentent l’un des maillons les plus faibles de la sécurité, ils sont la principale cause des failles et ils sont à la fois difficiles et frustrants à gérer.

Je le répète. Les mots de passe sont mauvais. Mauvais pour la sécurité et mauvais pour l’expérience utilisateur. Mauvais à tous points de vue. Mauvais, mauvais, mauvais. On pourrait même avancer qu’ils représentent la vulnérabilité globale la plus prévalente et la plus largement acceptée (bien que de façon irrationnelle). On ne peut leur concéder aucune qualité et le mieux est d’arrêter de les utiliser immédiatement.

Pour résumer, les mots de passe, c’est nul.

Mais, puisque vous êtes sur le site web de Ping, je suis probablement en train de prêcher des convertis sur les problèmes que pose la sécurité des mots de passe. La plupart d’entre nous le savons déjà trop bien. Nous savons aussi que l’adoption d’une authentification passwordless peut résoudre tous ces problèmes en renforçant la sécurité, en améliorant l’expérience client et en simplifiant la gestion des accès :

• Pour les clients, l’authentification passworldless améliore l’engagement tout en réduisant les taux d’abandon. Ces expériences fluides ont pour résultat ultime des revenus plus élevés.

   

• Pour les employés, l’authentification passwordless réduit le temps passé à saisir et à réinitialiser des identifiants de connexion. En conséquence, ceci entraine une meilleure productivité et moins de pression sur les services de support.

Les bénéfices en termes financiers peuvent sembler suffisamment motivants pour passer au passwordless, mais les avantages en matière de sécurité sont tout aussi évidents. Exemple concret : 80 % des violations de données impliquent des attaques par force brute ou l’utilisation d’identifiants perdus ou volés.

Il est clair que les avantages du passage au passwordless dépassent largement les inconvénients d’opter pour le statut quo. D’où la question : pourquoi utilise-t-on encore des mots de passe ?!?!

Si seulement c’était aussi simple...

En vérité, la plupart des équipes en charge de la cybersécurité réalisent que les mots de passe offrent un faible niveau de sécurité. Pourtant, les mots de passe restent omniprésents en raison des obstacles à l’adoption du passwordless.

Les trois obstacles les plus courants sont :

Passif technique

Aujourd’hui, bon nombre d’entreprises dépendent encore de systèmes d’ancienne génération, d’applications et de flux d’inscription ayant, à l’origine, été développés autour de mots de passe. La plupart de ces systèmes et applications n’ont jamais été créés pour utiliser des standards ouverts, et ils ne supportent donc pas les standards nécessaires à l’authentification passwordless.

De plus, beaucoup d’opérations critiques au quotidien s’exécutent sur ces systèmes d’ancienne génération, et un ‘reverse engineering’ pour passer au passwordless s’avère techniquement difficile. En outre, le processus de reconfiguration d’une infrastructure d’ancienne génération peut conduire à de nombreux autres problèmes compte tenu des risques d’arrêt système. La transition vers le passwordless peut alors générer beaucoup de risques, non seulement pour les résultats des organisations mais également pour les informaticiens qui pourraient malencontreusement essuyer des problèmes en retour, en interrompant une ligne de fabrication ou d’autres opérations essentielles, juste parce qu’ils essayent de faire leur travail. Il s’agit d’un obstacle important qui alimente le frein suivant à l’adoption de l’authentification passwordless.

La peur du changement

Ceci a beaucoup à voir avec l’éducation ou l’habitude. Les mots de passe sont ancrés dans notre esprit depuis des décennies ; ils font partie de notre vie quotidienne et nous donnent une fausse impression de confort. Ils sont aussi relativement simples à mettre en place pour les organisations et il est difficile de changer les habitudes. Le plus souvent, la dépendance aux mots de passe demeure simplement car c’est la voie qui suscite le moins de résistance.

De plus, le terme même de « passwordless » suscite à confusion.  En effet, certaines personnes l’interprètent comme quelque chose de moins sécurisé, alors que passer au passwordless offre en fait une authentification plus sécurisée. Ceci est également lié à l’éducation. Initier un projet de passage au passwordless nécessite souvent que de multiples parties prenantes différentes dans une organisation soient éduquées sur ses avantages afin que tout le monde soit sur la même longueur d’onde pour franchir le pas.

Des scénarios utilisateurs très divers

Chaque organisation est différente, avec des investissements technologiques spécifiques, des réglementations sur mesure et spécifiques à son secteur, des structures organisationnelles définies par zone géographique, et différents types d’utilisateurs répartis dans différents départements.

Évidemment, différents utilisateurs doivent souvent s’authentifier de diverses façons. Aussi, il n’existe pas d’« approche universelle » pour passer au passwordless. Il faut prendre en compte un large éventail de cas d’usage et les organisations doivent être assez flexibles pour supporter de multiples scénarios utilisateurs différents.

Par exemple, imaginez un fabricant ayant différents types d’employés dans les bureaux et dans les usines. Ces employés ont diverses exigences qui conduisent à différentes expériences de connexion. Un employé de bureau pourra se connecter avec l’empreinte de son pouce sur une clé de sécurité FIDO ou par le biais de la reconnaissance faciale Windows Hello, tandis que l’identité d’un utilisateur dans une usine pourra être authentifiée avec un scan de la rétine car il porte des gants et utilise un terminal partagé.

Le scénario décrit ci-dessus n’est qu’un simple exemple hypothétique, mais il soulève un point important :

Le Passwordless n’est pas une solution unique en soi, mais plutôt une solution qui requiert l’intégration personnalisée de multiples produits et technologies. Il n’existe pas de solution passwordless clés en main. Chaque organisation a sa propre technologie et diverses exigences en fonction des scénarios utilisateur.

Pour de nombreuses entreprises, l’absence de solutions prêtes à l’emploi et la nécessité de prendre en charge divers scénarios utilisateurs et divers cas d’usage constituent un réel frein pour passer au passwordless. Cela bloque fréquemment les efforts d’adoption.

À titre d’exemple, d’après une récente Enquête sur le passwordless, à laquelle 600 leaders de l’informatique ont répondu :

• 97 % de ceux qui n’ont pas adopté le passwordless considèrent que cela leur causera des problèmes.

   

• 83 % n’ayant pas de projet relatif au passwordless ont reconnu qu’ils n’étaient pas sûrs de savoir comment le mettre en place.

   

• 33 % de ceux qui n’ont pas adopté le passwordless ont évoqué un manque d’expertise comme une barrière à l’adoption des méthodes d’authentification passwordless.

Toutefois, les statistiques suivantes sont également ressorties de la même enquête :

• 100 % des personnes interrogées ont reconnu les avantages de l’authentification passwordless, avec :

   

  • 52 % citant des opportunités pour réduire les coûts liés à la sécurité et une sécurité renforcée.

     

  • 48 % déclarant que cela nécessiterait moins de services de support.

Réunies ensemble, toutes ces statistiques dessinent un tableau intéressant, signifiant que les responsables de l’informatique dans la plupart des organisations désirent s’orienter vers le passwordless et sont bien conscients du fait que cela renforcerait la posture de sécurité de leur organisation, réduirait la pression sur les services de support en diminuant le nombre de réinitialisations de mots de passe, sans parler d’autres avantages. Toutefois, même si la technologie passwordless offrant tous ces avantages est facilement disponible aujourd’hui, ils sont toujours peu à l’adopter car il ne savent pas par où commencer.

Qui peut le leur reprocher ? La réalité est que la plupart des organisations n’ont, en leur sein, ni l’expérience ni les ressources pour se lancer seules. Avec 82 % des failles résultant l’année dernière de mots de passe volés, d’attaques de phishing et d’une mauvaise gestion des identifiants, et un coût moyen par faille de données s’élevant à 4,35 millions de $, elles ne peuvent pourtant ignorer l’importance d’une solide gestion des mots de passe. En réalité, pour la plupart des organisations la meilleure approche pour se défendre contre les attaques impliquant des identifiants est de faire appel à une aide extérieure pour les guider dans leur parcours vers le passwordless.

Comme indiqué plus haut, chaque organisation est différente, avec ses propres spécificités, scénarios utilisateur et cas d’usage requis. De ce fait, il n’existe pas de parcours standardisé pour passer au passwordless, car chaque organisation exigera une approche unique et personnalisée. Il existe en revanche des thèmes communs et des bonnes pratiques auxquels il doit adhérer.

Il est essentiel de créer un partenariat avec le bon fournisseur de solution passwordless pour réussir à mettre en œuvre un programme passwordless solide et durable. Les fournisseurs des meilleures solutions passwordless doivent proposer au moins 5 des fonctionnalités ci-dessous, sans quoi il y aura un problème tôt ou tard.

5 Les fonctionnalités clés des fournisseurs qu’il faut chercher :

1. Vérification d’identité (preuve de l’identité)

    

   Bien que l’élimination de la nécessité des mots de passe offre un moyen plus sécurisé de s’authentifier, un inconvénient fréquent concerne la récupération des comptes. Plus précisément, la difficulté qui découle de la perte du seul terminal auquel l’identité de l’utilisateur est associée, pour s’authentifier. Si beaucoup de fournisseurs permettent de récupérer un compte par des moyens moins sécurisés tels que les OTP par SMS, ceux qui offrent la fonctionnalité de vérificationd’identité peuvent obtenir une récupération de compte plus rapide et plus sécurisée grâce à un selfie et/ou d’autres documents d’identité..

    

    

2. Authentification adaptative centralisée

    

   Associer l’authentification multifacteur (MFA) avec le single sign-on (SSO) et des signaux de risques offre une meilleure sécurité en rendant l’authentification adaptative encore plus flexible. Avec une évaluation des niveaux de risque réalisée en continu en arrière-plan, l’expérience utilisateur est la moins affectée. Les seconds facteurs tels que les notifications en push sur les terminaux mobiles des utilisateurs ne sont déclenchés que lorsque c’est absolument nécessaire (par ex. lorsqu’une alarme se déclenche à cause d’un score de risque accru, de la violation inhabituelle d’une politique, etc.). Les meilleurs fournisseurs de solutions passwordless doivent proposer des signaux de risque en plus du SSO et du MFA passwordless en tant que fonction complémentaire pouvant être intégrée pour fournir des solutions passwordless robustes et répondant à tous les scénarios.

    

3. Exigences hybrides

    

   Une solution passwordless hybride proposant à la fois des fonctionnalités SaaS et traditionnelles sur site est plus flexible, peut s’adapter à des environnements hybrides et offrira aux organisations une meilleure capacité d’évolution dans le temps qu’une solution uniquement sur site.

    

4. Couverture de toutes les identités

    

   Les types d’identité sont variés et peuvent inclure des employés, des clients, des partenaires et autres. Il en va de même pour les cas d’usage. Par exemple, imaginez une organisation avec des employés dans la grande distribution utilisant différents terminaux qui peuvent ne pas être compatibles FIDO, ainsi que d’autres collaborateurs ayant besoin de clés FIDO. Les fournisseurs de solutions passwordless pouvant prendre en charge un large éventail de scénarios de cas d’usage seront mieux adaptés pour garantir un accès sécurisé pour tous les besoins de votre organisation.

    

5. Orchestration

    

   Vous devez pouvoir créer divers parcours passwordless pour divers services et applications. L’orchestration vous permet de créer et d’optimiser facilement des flux d’authentification passwordless en no-code. Surtout, elle vous permet de tester rapidement des expériences utilisateur successives en condition réelle.

Heureusement, chez Ping, nous avons vu ce changement de paradigme arriver il y a quelques années et décidé de développer la PingOne Cloud Platform, une suite intégrant de façon transparente les meilleures solutions d’identité couvrant la vérification d’identité, la gestion des profils dans un annuaire actif, l’identification et l’autorisation. La plateforme PingOne Cloud peut prendre en compte tous les types d’identité dans des environnements hybrides. Les signaux de risques sont également disponibles pour lutter contre les menaces les plus récentes avec un minimum de frictions pour les utilisateurs grâce à une authentification adaptative plus flexible.

Figure 1. La plateforme PingOne Cloud associe les meilleures solutions pour tous les points de contrôle de l’identité pour supporter le passage au passwordless, la prévention des fraudes, les initiatives zero trust ou tout se qui trouve entre ces domaines. Grâce à un simple canevas d’orchestration des identités en glisser-déposer, les organisations peuvent construire, tester et optimiser des parcours utilisateurs de bout en bout qui sécurisent les interactions digitales tout en garantissant des expériences transparentes.

De plus, la plateforme PingOne Cloud s’appuie sur PingOne DaVinci, notre plateforme d’orchestration des identités. Grâce à PingOne DaVinci, les entreprises peuvent créer et optimiser des flux passwordless dans divers services et applications en no-code. L’orchestration des identités avec PingOne DaVinci permet aux organisations de raffiner en continu les expériences passwordless qu’ils délivrent en testant différents signaux de risque, facteurs d’authentification et même des solutions de MFA passwordless de différents fournisseurs.

Figure 2. PingOne DaVinci permet aux utilisateurs d’intégrer et de créer rapidement des flux passwordless pour de nombreux services et applications en no-code/low-code depuis une interface intuitive en glisser-déposer pour construire, tester et optimiser des expériences utilisateur sécurisées et sans frictions.

Passer au passwordless est stratégique pour s’assurer que les clients aient des expériences digitales sécurisées, rapides et sans frictions qui génèrent engagement plutôt que frustration et abandon. De même, passer au passwordless est également crucial pour optimiser la productivité des employés, réduire les coûts liés à la réinitialisation des mots de passe et protéger votre organisation contre de coûteuses fuites de données.

Choisir la meilleure méthode d’authentification passwordless pour votre organisation dépendra des scénarios propres à vos utilisateurs. Les cas d’usage et les exigences du passwordless peuvent également être extrêmement complexes, et la plupart des organisations manquent d’expertise en interne pour les mettre en œuvre seules avec succès.

Aussi, choisir le bon fournisseur de solution passwordless faisant office de partenaire et de conseiller de confiance doit être une priorité stratégique pour les organisations qui veulent sérieusement améliorer leur posture de sécurité ainsi que l’expérience utilisateur de leurs clients et de leurs employés.

Les fournisseurs qui supportent tous les types d’identité, et qui proposent aussi des fonctionnalités à la fois SaaS et traditionnelles sur site optimiseront les chances de l’implémentation réussie d’une solution passwordless robuste et durable capable d’évoluer en fonction de vos besoins.

Enfin, les organisations doivent envisager sérieusement de ne travailler qu’avec des fournisseurs de solution proposant des fonctionnalités d’orchestration des identités. En fait, concevoir, tester et optimiser les expériences passwordless que vous souhaitez fournir à vos utilisateurs implique de pouvoir rapidement raffiner et tester diverses options. Les fournisseurs d’identité qui vous permettent d’expérimenter en continu différents flux passwordless via des fonctionnalités d’orchestration vous offriront le retour sur investissement le plus rapide.

Si vous n’avez pas assez d’expertise en interne pour réussir à mettre en œuvre l’authentification passwordless, ne vous inquiétez pas, Ping Identity s’occupe de vous. Les solutions d’authentification passwordless de Ping Identity peuvent prendre en charge tous les types d’identité, à grande échelle, pour divers scénarios, à toutes les étapes de votre parcours vers le passwordless. Qu’il s’agisse de centraliser le SSO et le MFA sur une autorité d’authentification avec des signaux de risques ou de réduire l’utilisation des mots de passe via des outils biométriques, des magic links par email, des QR codes, des applis d’authentification ou d’autres facteurs d’authentification faisant office de mode de connexion principal, ou encore de mettre en place FIDO2 (Fast Identity Online), le standard ouvert qui utilise le chiffrement de clé publique, pour permettre à vos utilisateurs de s’authentifier de façon biométrique sur des clés de sécurité FIDO2 ou d’autres équipements compatibles FIDO.

De plus, PingOne DaVinci peut encore accélérer la réalisation de vos objectifs passwordless grâce à sa capacité à tester et optimiser les expériences des utilisateurs avec une plateforme d’orchestration indépendante de tout fournisseur, simple, low-code/no-code, en glisser-déposer.

Pour en savoir plus sur les bonnes pratiques pour commencer votre parcours vers le passwordless, découvrez la Solution passwordless de Ping Identity.

Mieux, vous pouvez essayez vous-même le passwordless grâce à un essai gratuit de 30 jours offert par Ping Identity.

Enfin, pour en savoir plus sur l’utilisation de l’orchestration des identités pour créer, tester et optimiser vos propres flux passwordless, découvrez PingOne DaVinci.