Authentification basée sur le niveau de risque

L’authentification basée sur le niveau de risque, aussi connu sous le nom d'authentification basée sur le contexte, est un processus consistant à vérifier un utilisateur lorsqu’il se connecte et à l’évaluer par rapport à un ensemble de politiques qui accordent ou refusent l’accès aux ressources numériques en fonction du niveau de risque perçu.

Lorsque vous vous connectez sur un site ou une application importants, vous pourrez n’avoir à fournir que votre nom d’utilisateur et votre mot de passe. Toutefois, plusieurs autres facteurs sont souvent analysés en arrière-plan.

De nos jours, une simple combinaison nom d’utilisateur/mot de passe ne suffit plus pour garantir l’identité de quelqu’un. Les entreprises doivent prendre bien d’autres éléments en considération lorsqu’elles donnent à un utilisateur accès à des informations sensibles.

Qu’est-ce que l’authentification basée sur le niveau de risque ?

L’authentification basée sur le niveau de risque prend en compte plusieurs facteurs uniques, notamment :
 

•  L’heure de la journée
•  Emplacement
•  Informations sur l’appareil et le navigateur
•  Adresse IP
•  Informations sur l’utilisateur
•  Le contexte de la demande

Ces facteurs contribuent au niveau de risque d’une transaction. En fonction du niveau de risque perçu, les utilisateurs pourraient être invités à saisir un second facteur d’authentification. Par exemple, si vous essayez de vous connecter à votre compte bancaire depuis un pays étranger, vous devrez certainement vérifier votre identité.

D’un autre côté, les utilisateurs peuvent avoir une expérience sans frictions si le niveau de risque ayant été calculé est faible. Par exemple, un utilisateur pourrait ne pas avoir à saisir à nouveau ses identifiants à l’expiration de sa session s’il se trouve sur le même appareil et le même réseau de l’entreprise que pendant les heures de travail habituelles.
 

Certaines solutions d’authentification basée sur le niveau de risque peuvent aussi élaborer et mettre à jour les profils dynamiques de chaque utilisateur. Les schémas du comportement d’un utilisateur sont appris au fur et à mesure par le logiciel, ce qui permet de calculer bien plus précisément le niveau de risque.

Souvent, les utilisateurs ne sauront même pas qu’une authentification basée sur le niveau de risque a lieu. Étant donné que la plupart des transactions ne sont pas considérées comme étant à haut risque, une authentification renforcée n’est requise qu’occasionnellement. C’est le plus grand avantage de l’authentification basée sur le niveau de risque : elle procure une expérience utilisateur fluide tout en ajoutant une dose importante de sécurité à l’infrastructure de l’entreprise.
 

Quels sont les avantages de l’authentification basée sur le niveau de risque ?

Aujourd’hui, de plus en plus d’employés travaillent depuis chez eux. Le nombre croissant de personnes travaillant à distance va de pair avec une hausse des risques de sécurité de l’identité. Traditionnellement, les organisations ont exploité les réseaux et les pares-feux des entreprises pour s’assurer qu’il soit nécessaire d’être sur place pour accéder au matériel de l’entreprise. De nos jours, il n’est pas toujours possible d’être sur site.

Les employés sont susceptibles de travailler depuis des réseaux wifi publics qui ne sont pas sécurisés et vulnérables aux écoutes clandestines de la part de tiers. L’authentification basée sur le niveau de risque peut facilement atténuer les risques associés aux réseaux publics en refusant l’accès si un tel réseau est utilisé.

Un autre risque associé au télétravail est l’utilisation d’appareils personnels. L’authentification basée sur le niveau de risque détecte les réseaux non reconnus et peut avoir recours à l’authentification renforcée pour s’assurer que l’utilisateur soit bien celui qu’il prétend être.

Les fuites de données sont de plus en plus fréquentes, ce qui signifie que la combinaison typique nom d’utilisateur/mot de passe ne garantit plus qu’un utilisateur est bien celui qu’il prétend être. Selon IBM, les identifiants ayant fuité constituaient le facteur le plus courant entraînant des fuites de données en 2021, et l’intelligence artificielle (IA) de sécurité, comme l’authentification basée sur le niveau de risque, avait le plus grand effet de réduction des coûts des fuites de données.

En plus des facteurs supplémentaires analysés par l’authentification basée sur le niveau de risque, vous pouvez évaluer les données et déterminer l’origine des fuites de données. Par exemple, vous pouvez filtrer les transactions à haut-risque en fonction de l’emplacement, de l’utilisateur, du navigateur et d’autres facteurs.

Non seulement l’authentification basée sur le niveau de risque renforce la sécurité, mais elle augmente aussi la productivité des collaborateurs. Lorsqu’une session présente un faible risque, comme lorsqu’un utilisateur utilise un appareil et un réseau de confiance pendant les horaires de travail typiques, il peut avoir une expérience fluide, ce qui signifie qu’il ne doit pas passer son temps à se ré-authentifier sur les applications qu’il utilise souvent.
 

Comment fonctionne l’authentification basée sur le niveau de risque ?

L’authentification basée sur les risques est contrôlée par des ensembles de règles, également appelés politiques, qui placent les transactions dans des catégories en fonction de leur niveau de risque.

À chaque fois qu’une demande est reçue, ces politiques analysent les divers indicateurs de risques et les comparent pour calculer un score de risque. En retour, le score de risque détermine l’expérience d’authentification pour l’utilisateur final. Il peut avoir une expérience fluide, ou il peut lui être demandé de passer par des étapes de vérification supplémentaires.

Plus en général, les indicateurs de risque rentrent dans quatre catégories différentes :
 

• La réputation de l’appareil : L’historique de l’appareil est examiné pour savoir s’il a été impliqué dans une activité frauduleuse. Les consortiums faisant appel au financement participatif associent les utilisateurs aux appareils afin de détecter des réseaux de fraude et d’identifier ceux qui attaquent plusieurs comptes, puis ils conçoivent des règles basées sur ces profils.
  
  
• Comportement de l’utilisateur : L’historique du comportement de l’utilisateur est examiné pour établir une ligne de base et reconnaître les menaces si et quand les utilisateurs s’écartent des comportements typiques. 
  
  
• Risques des réseaux : Le trafic normal des réseaux est examiné pour identifier les comportements risqués à partir des entrées sur le réseau, pour établir un score de risque de base puis corrélé au comportement de l’utilisateur pour calculer les scores de risque. 
  
  
• Biométrie comportementale : L’historique du comportement biométrique de l’utilisateur est examiné pour établir une base de référence et reconnaître les menaces si et quand les utilisateurs s’écartent des comportements typiques. Les mouvements physiques des utilisateurs, comme la cadence de frappe sur le clavier, les schémas de ce dernier, la force de la pression des touches ou les mouvements de la souris, sont comparés à la base de référence pour déterminer les risques. Ces facteurs fonctionnent également sur les appareils mobiles, comme le fait de savoir si un utilisateur tient l’appareil sous le même angle, appuie sur l’écran avec la même pression et balaie l’écran de la même manière.
   

Les politiques de risques sont personnalisables et varient en fonction des organisations mais aussi du type de données consultées. Par exemple, si une entreprise a des employés seulement au Canada, un architecte de la sécurité pourrait créer une règle classant toute les transactions provenant de tout autre pays comme présentant un risque élevé. De même, essayer d’accéder aux informations générales d’une entreprise serait considéré à plus faible risque que d’accéder à des données sensibles comme le numéro de sécurité social d’un employé.

Si une transaction est classée à haut risque, une authentification renforcée peut également être configurée en fonction de la politique de l’entreprise. Un utilisateur pourrait devoir passer par différentes méthodes d’authentification avec un second facteur en fonction du score de risque ou de la sensibilité de l’application. L’accès peut lui être refusé si trop de facteurs de risque sont suspects.

Les meilleurs systèmes d’authentification basés sur les niveaux de risque utilisent le machine learning pour établir une base de référence du comportement typique de groupes d’utilisateurs et détecter des anomalies comportementales lorsqu’elles ont lieu, en temps réel, tout en les classant par niveaux de risque différents. L’administrateur ou l’équipe de sécurité peuvent attribuer des actions spécifiques à chaque catégorie des politiques de risque.

À quoi ressemble une politique de risque ?

Les politiques de risque sont extrêmement personnalisables. Le diagramme suivant décrit un exemple de politique de risque de base et les expériences d’authentification qui en résultent en fonction du niveau de risque.